Alla luce della sempre crescente diffusione di nuove tecnologie e della loro invasività, i cookie sono da tempo al centro dell’attenzione dei Garanti privacy europei, un’attenzione che è cresciuta dopo l’entrata in vigore del GDPR.
La normativa rilevante
Un punto spesso sottovalutato è che il GDPR non disciplina, di fatto, l’aspetto tecnico dei cookie e, di conseguenza, ad oggi l’Europa non ha una normativa uniforme.
Infatti, quello dei cookie è un tema che rientra nell’ambito delle comunicazioni elettroniche, le quali sono soggette alla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 (cosiddetta “Cookie Law”), successivamente modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio del 25 novembre 2009. Tale direttiva pone in capo al gestore del sito l’obbligo di raccogliere il consenso informato dell’utente ancor prima di installare i cookie sul suo dispositivo e di dare inizio al tracciamento. Tuttavia, la Cookie Law non stabilisce in maniera esplicita come gli obblighi di informativa e consenso debbano essere applicati e, per sua natura, è stata recepita dagli Stati membri con differenti modalità.
Infatti, sebbene la Cookie Law abbia esplicitato che il consenso ai cookie deve essere sempre informato e basato su un’esplicita azione positiva dell’utente, tali azioni possono sostanziarsi – sulla base delle disposizioni previste dalle singole autorità locali – in diverse ipotesi (mero proseguimento della navigazione, click su un link specifico, scorrimento della pagina o altre modalità che richiedano all’utente di procedere attivamente).
In ogni caso, molte autorità nazionali preposte alla protezione dei dati hanno allineato le loro disposizioni sui cookie ai requisiti del GDPR (incluso, ad esempio, il dovere di tenere un registro dei consensi) e vale anche per il cookie la regola secondo cui è necessario che l’utente autorizzi certi trattamenti dei propri dati personali in via preventiva. Sulla base dei principi consolidati dal GDPR, tale consenso deve essere libero, specifico, informato, inequivocabile, revocabile e dimostrabile.
In particolare, l’attuale normativa in materia di cookie, di cui alle direttive europee, è stata recepita in Italia con l’art. 122 D. Lgs 196/2003 (Codice Privacy). Tale normativa prevede i principi – già anticipati in premessa – secondo cui i cookie tecnici (vedi box in basso) possono essere utilizzati anche in assenza del consenso dell’utente (fermo restando l’obbligo di preventiva informativa) e i cookie non qualificabili come tecnici (poiché maggiormente invasivi nella sfera privata degli utenti se utilizzati per finalità di profilazione/ marketing) possono essere installati sui terminali degli utenti se questi vengono adeguatamente e preventivamente informati e prestano un valido consenso.
Cosa sono i cookie, in breve
Il termine inglese cookie significa, letteralmente, “biscotto” e viene comunemente usato per indicare quei file di testo di piccole dimensioni che un sito internet invia al terminale di un proprio utente nel corso della navigazione di quest’ultimo, registrandone dati e impostazioni di personalizzazione.
In altre parole, grazie ai cookie, un sito riconosce chi lo sta visitando e si adatta alle esigenze specifiche dell’utente sulla base dei suoi comportamenti passati.
In via preliminare, è bene sottolineare che esistono diverse tipologie di cookie in relazione alla finalità perseguita. Il cookie “tecnico” ha, in via generale, la funzione di migliorare l’esperienza di navigazione dell’utente, memorizzando alcune informazioni volontariamente inserite da quest’ultimo per evitare il reinserimento delle stesse in un secondo momento e rendere così il sito più “user-friendly” (si pensi, ad esempio, alle credenziali di log-in o alle preferenze linguistiche). In questa tipologia rientrano altresì i cd. cookie “analytics”, laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e sulle loro relative modalità di visita del sito stesso. Questi cookie, servendo unicamente per la corretta navigazione sul sito o per finalità statistiche/analisi di informazioni aggregate non trattano dati personali e non necessitano del consenso dell’utente, ma resta fermo l’obbligo per il gestore del sito di fornire, con le modalità che ritiene più idonee, l’informativa ai sensi dell´art. 13 del GDPR.
Alcuni cookie sono invece utilizzati a vantaggio dei gestori dei siti web: il cookie di “profilazione” analizza le preferenze e le abitudini dell’utente per far sì che quest’ultimo visualizzi automaticamente contenuti personalizzati e pubblicità mirate che si avvicinino alle sue preferenze, nell’ambito di strategie di marketing e targeting. Per fare un esempio, un utente che visita spesso siti web che trattano di giardinaggio, vedrà comparire inserzioni relative a fertilizzanti e utensili vari su siti che nulla hanno a che fare con tale attività. Al contempo, un utente diverso vedrà su quegli stessi spazi pubblicitari inserzioni differenti, sulla base degli interessi che i siti sui quali naviga, grazie ai cookie, sono riusciti a tracciare. Questa tipologia di cookie, non indispensabile alla navigazione del sito stesso, può permettere l’identificazione del soggetto; in questo caso il consenso (preventivo) dell’utente diviene obbligatorio.
Cosa accade in Europa
La corretta applicazione dei principi appena espressi in tema di cookie – e, nella specie, circa la necessità del consenso – è sotto la lente di ingrandimento delle autorità privacy europee, le quali non risparmiano sanzioni pecuniarie in caso di violazioni.
In Francia, nel dicembre 2020, la Commissione Nazionale per l’Informatica e la Libertà (CNIL) ha multato Google.fr e Amazon.fr per ben rispettivamente 100 e 35 milioni di euro, per aver installato cookie di marketing e profilazione sui dispositivi di milioni di utenti senza richiedere l’esplicita autorizzazione da parte di questi ultimi, pratica contraria all’articolo 82 della legge dell’ordinamento francese sull’informatica e la libertà.
Oltre alla comminazione delle sanzioni, l’autorità francese ha disposto che le due big tech modificassero il loro banner informativo entro i successivi 3 mesi; in caso contrario, il CNIL potrà comminare una multa aggiuntiva di 100 mila euro per ogni giorno di mancato rispetto dell’ordine imposto.
Nell’ottobre 2019, l’Autorità spagnola per la Protezione dei Dati (AEPD) ha comminato una sanzione amministrativa a Vueling Airlines per una somma pari a Euro 30.000 euro per non aver richiesto il consenso sui cookie ai visitatori del proprio sito internet. L’AEPD ha richiamato la decisione della Corte di giustizia dell’Unione europea del 10 settembre 2019 sui requisiti di consenso per l’uso dei cookie, la quale aveva stabilito che il consenso ottenuto mediante una casella a spunta o preselezionata non sarebbe più stato considerato valido, poiché non in linea con i requisiti per un consenso “affermativo” imposto dalla direttiva e-privacy e dal GDPR, prevedendo dunque l’obbligo per i gestori dei siti web, dal 1° ottobre 2019, di un consenso attivo sull’uso dei cookie.
Infine, nel luglio 2019, l’Autorità inglese per la Protezione dei Dati Personali (ICO), ha precisato nella propria relazione annuale 2018-2019 di aver emesso 23 avvisi di sanzioni pecuniarie per violazioni della legge sulla privacy e le comunicazioni elettroniche (“PECR”), legge che nel Regno Unito regola l’uso dei cookie e del marketing elettronico. Secondo tale relazione, il totale delle sanzioni imposte è stato di poco più di 2 milioni di sterline.
Cosa accade in Italia
Nello scorso dicembre 2020, il Garante Privacy ha avviato una consultazione pubblica in merito alle proprie linee guida emanate nel novembre 2020 sull’uso dei cookie da parte dei gestori dei siti e, dunque, non ancora definitive.
Secondo l’autorità italiana, è necessario intervenire nuovamente sul tema dei cookie e, in generale, sugli altri strumenti di tracciamento, in modo da integrare i propri precedenti interventi del 2014 e del 2015 (rispettivamente relativi all’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, ai chiarimenti forniti in merito all´attuazione della normativa in materia di cookie e alle linee guida in materia di trattamento di dati personali per profilazione on-line) anche alla luce delle indicazioni fornite dal Comitato che riunisce i Garanti europei (EDPB) nelle Linee guida del 4 maggio 2020 in materia di consenso, “rendendosi necessari chiarimenti sulle corrette modalità per rendere l’informativa online agli utenti della rete e acquisire, quando necessario, il loro consenso”.
In particolare, le novità più rilevanti introdotte dall’EDPB erano state il divieto di utilizzare i cosiddetti “cookie wall” (un meccanismo di “take it or leave it”, finestre simili a grandi muri che impediscono di utilizzare il sito web in assenza di consenso ai cookie) e il fatto che scorrimento e proseguimento della navigazione non siano più considerati meccanismi validi di raccolta del consenso. La finalità perseguita è quella di evitare che il comportamento istintivo dell’utente possa portare lo stesso ad accettare l’installazione di cookie in maniera inconsapevole.
Cookie: i chiarimenti dei Garanti Ue (in attesa del Regolamento ePrivacy)
Nelle ultime linee guida del novembre 2020, il Garante si è allineato alle indicazioni dell’EDPB specificando che:
- lo scrolling è di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento;
- il cookie wall è illecito, salva l’ipotesi nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del GDPR.
Nella pratica, al fine di informare l’utente dell’uso dei cookie, i siti web italiani devono lanciare un banner a comparsa immediata e di adeguate dimensioni. Tale banner deve essere corredato da un link che, rinviando a una pagina di approfondimento, spiega cosa sono i cookie, la tipologia dei dati raccolti e i tempi di conservazione degli stessi mediante un’informativa estesa che consenta all’utente di negare il proprio consenso all’uso dei cookie. Deve essere inoltre presente un comando (come una X) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione, mantenendo le impostazioni di default del sito.
Infine, il Garante ha sottolineato che è illecita la reiterazione della richiesta del consenso, tranne nel caso in cui mutino una o più delle condizioni alle quali è stato raccolto o quando sia impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo.
I prossimi passi
Alla luce delle varie iniziative (attraverso linee guida o attività di enforcement) delle diverse Autorità europee in tema di cookie, appare sempre più evidente l’urgenza di finalizzare l’iter di approvazione del Regolamento e-privacy (la cui bozza, è stata presentata ufficialmente dall’UE il 10 gennaio 2017) che, abrogando la Direttiva e-privacy, affiancherà il GDPR e introdurrà una normativa uniforme in tema di cookie senza la necessità di un recepimento da parte dei singoli Stati membri. L’ultima bozza di Regolamento e-privacy è stata presentata dalla presidenza portoghese del Consiglio europeo alle delegazioni degli Stati membri il 5 gennaio scorso.
Regolamento ePrivacy: a che punto siamo e cosa aspettarsi con la Presidenza tedesca
In tal modo, qualsiasi interrogativo ancora esistente circa l’idoneità di singole modalità di manifestazione del consenso, e il conseguente livello di protezione garantito all’utente, troverebbe risposta univoca ovunque quest’ultimo sia localizzato in Europa. O almeno, questo sarebbe l’obiettivo del Regolamento e l’auspicio di chi si trova ad applicarlo: un dubbio sul suo raggiungimento è lecito, data l’esperienza (ormai lunga più di due anni) di piena applicazione del GDPR, per il quale rimangono differenze di interpretazione (talvolta anche importanti) ma soprattutto di approccio tra le varie autorità europee, che non sempre riescono ad essere superate dai meccanismi previsti dallo stesso GDPR per una sua coerente applicazione all’interno dell’Unione.