ApprnaFinalmente, a distanza di sette mesi esatti dalla pubblicazione della versione per la consultazione, il Garante Privacy ha stata emanato la versione definitiva delle linee guida sull’uso dei cookie e delle altre tecniche di tracciamento che sostituiscono quelle emanate nell’ormai lontano 2014. In vigore da sabato scorso con la pubblicazione in Gazzetta Ufficiale.
Linee guida cookie, le principali differenze rispetto al testo noto
Confrontando le due versioni del provvedimento notiamo subito che in quello odierno non vengono definiti i “cookie cd. “di autenticazione” e che, nel paragrafo dedicato alla classificazione dei cookie e degli altri strumenti di tracciamento, con riferimento agli altri identificatori di natura non tecnica, viene chiarito che quest’ultima categoria debba essere intesa in senso ampio, dal momento che l’attuale disciplina di legge è inequivocabilmente formulata secondo lo schema di una generale proibizione di trattamento dei dati degli interessati, salvo eccezioni rigorosamente e restrittivamente codificate, insuscettibili di estensione analogica.
Nuove regole cookie in vista dal Garante Privacy: ecco quali
La prima importante specificazione la troviamo, invece, in conclusione del sesto paragrafo dove si chiarisce definitivamente quello che nella versione in bozza traspariva soltanto e cioè che la normativa sui cookie attualmente applicabile non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non il consenso dell’interessato e pertanto, in nessun caso sarà possibile invocare una delle altre condizioni di liceità, come ad esempio il legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.
Con questa affermazione, si sancisce la fine dell’uso inopportuno e mal ponderato del legittimo interesse che è stato troppe volte usato come scappatoia da chi, non volendo chiedere il consenso, riteneva di avere una condizione di liceità da piegare alle proprie esigenze.
Linee guida cookie del Garante Privacy, le novità del testo in Gazzetta Ufficiale
Scrolling
Veniamo adesso allo scrolling.
L’EDPB si era da tempo espresso sull’inadeguatezza dello scrolling a configurarsi come valida manifestazione di consenso poiché l’azione può dipendere anche da un movimento involontario della mano e quindi non fornisce garanzia di certezza ed inequivocabilità della prestazione del consenso.
Il Garante, ovviamente, già nel dicembre si era mostrato concorde con il board ma precisava che benché lo scrolling fosse di per sé inidoneo a fornire una valida manifestazione di consenso, lo stesso non potesse dirsi nel caso in cui quest’azione fosse inserita in un procedimento più ampio che fosse in grado di determinare, con certezza, la volontà dell’utente.
Ebbene, nel provvedimento odierno, dopo aver ricordato che l’azione “positiva” deve essere inequivocabile, il Garante ha aggiunto che spetta al titolare del trattamento, in applicazione del principio di accountability, trovare le soluzioni più appropriate.
Responsabilità del titolare
Questa è una novità.
Da oggi, il titolare del trattamento è autorizzato a valutare, seppur con estremo rigore, ogni possibile soluzione anche di carattere tecnico, idonea ad essere interpretata e registrata dai sistemi come una forma di consenso all’installazione dei cookie o all’impiego di altri strumenti di tracciamento.
Ovviamente, affinché il consenso risulti acquisito legittimamente, queste modalità “alternative” devono essere realizzate in modo tale che all’utente sia chiaro che quell’azione corrisponde proprio alla prestazione del consenso all’installazione dei cookie.
In caso contrario, ossia quando all’azione dell’utente non corrisponde alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche anche sotto il profilo della consapevolezza per lo stesso utente, allora in nessun modo sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.
Cookie wall
In linea con la versione di dicembre, invece, la disciplina sui cookie wall che restano tendenzialmente illeciti, salva l’ipotesi da verificare caso per caso nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.
Banner, no riproposizione
Altra interessante modifica, rispetto alle linee guida di dicembre, si rinviene in relazione al banner .Le linee guida, infatti, evidenziano che l’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso, laddove l’utente l’abbia in precedenza negato, appare suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione libero dalla comparsa del banner.
Si stabilisce quindi che una volta che l’utente abbia fatto la propria scelta, questa debba essere registrata e la richiesta di consenso possa essere reiterata solo in presenza di una delle tre circostanze espressamente previste:
- quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”;
- quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato;
- quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.
Le linee guida impongono anche ai siti di consentire una chiusura del banner con un semplice clic su una X in alto a destra; una novità già nota ma comunque rilevante. Non ci saranno più, almeno in italiano, siti che consentono solo di accettare tutti i cookie o di scegliere in altra finestra quali selezionare.
Sempre in relazione al banner, il Garante ha ritenuto doveroso ricordare che sarà onere del titolare adottare ogni più opportuno accorgimento affinché le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.
Acquisizione consenso
Un’altra interessante novità riguarda le impostazioni circa la modalità di acquisizione del consenso e modifica delle scelte effettuate:
Da un lato si afferma, infatti, che è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, indichi lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento e dall’altro si stabilisce inoltre, che l’area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio e che ne sia resa esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga.
Inoltre, quando i cookie sono raggruppati per categorie omogenee, se si verificano successive modifiche tra le terze parti e dunque ulteriori soggetti terze parti devono essere aggiunti alla lista, il gestore del sito dovrà provvedere alla loro accurata selezione ed alla necessaria attività di vigilanza per assicurare che l’ingresso di tali soggetti ed il trattamento che ne discende permanga in linea con il raggruppamento per categorie omogenee come già effettuato.
Analytics
E gli analytics? In relazione ai cookie analitici, chiarito già da tempo che il loro uso deve essere limitato unicamente alla produzione di statistiche aggregate e che essi devono essere utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi, il nuovo provvedimento impone ai soggetti terzi, che forniscono al publisher il servizio di web measurement, di non combinare i dati, anche così minimizzati, con altre elaborazioni nè trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente.
È tuttavia possibile reputare lecito il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale.
La scheda di sintesi del provvedimento illustra per punti l’attuale disciplina è reperibile al link seguente: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9679270
Sei mesi di tempo
Infine, le società hanno 6 mesi di tempo a partire da oggi per adeguarsi. Buon lavoro a tutte loro.
