A valle dell’entrata in vigore del Gdpr, alcune Authority stanno rivedendo la modalità di espressione del consenso ai cookie nel non facile tentativo di stare al passo con una tecnologia in rapida evoluzione. E’ il caso, ad esempio, dell’Autorità inglese per la protezione dei dati personali (ICO), cui segue in scia anche il Garante francese, CNIL.
Cosa sono i cookie
I cookie sono file di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale, solitamente al browser (Google Chrome, Internet Explorer, Mozilla Firefox, ecc.). Vengono classificati in diverse tipologie (vedi Provvedimento del Garante dell’8.05.2014 ed i chiarimenti in merito all’attuazione della normativa in materia di cookie):
- in relazione alla durata, il cookie può essere di “sessione”;
- in relazione alla provenienza, il cookie può essere di “prima parte” (inviato al browser direttamente dal titolare del sito che si sta visitando) oppure di “terza parte” (inviato al browser da terze parti che si innestano all’interno del sito che si sta visitando, in qualità di responsabili del trattamento fornitori di analytics o in qualità di titolari del trattamento per loro autonome finalità);
- in relazione alle finalità, il cookie può essere “tecnico” e serve per migliorare l’esperienza di navigazione, memorizzando talune informazioni fornite dall’interessato per evitare di fargliele re-inserire nel momento in cui dovesse ritornare a visitare il sito Web (es. credenziali di acceso, memorizzazione del “carrello di spesa” digitale). All’interno di questa tipologia rientrano anche gli analitici anonimizzati oppure di “profilazione”: tali cookie sono infatti volti ad analizzare le preferenze e le abitudini degli utenti al fine di fargli visualizzare contenuti/pubblicità in linea con le sue preferenze.
Proprio grazie ai cookie, il sito ricorda le azioni e le preferenze dell’utente. Ciò che è importante chiarire sin d’ora è che i cookie tecnici non necessitano del preventivo consenso dell’interessato/utente prima di essere “serviti”, mentre i cookie di profilazione, al contrario, possono essere “serviti” solo ove l’utente abbia espresso il proprio consenso, previo rilascio, in entrambi i casi, dell’informativa affinché tale consenso possa dirsi effettivamente informato (cfr. art. 5(3) Direttiva ePrivacy 2002/58/CE così come modificata nel 2009).
Come e perché si deve acquisire il consenso ai cookie
Ciò premesso, il Garante nel Provvedimento dell’8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” sopra citato (nel prosieguo solo “Provvedimento”) si è occupato delle modalità di acquisizione del consenso online ai cookie, coniugando la necessità di acquisirlo in modo espresso e specifico, con quello di rendere previamente l’informativa. Nell’intento di semplificare la resa di quest’ultima, ha previsto la possibilità di presentarla in forma “stratificata” dapprima tramite un’informativa “breve” contenuta nel banner, secondariamente tramite un’informativa “estesa”, cui l’utente è rinviato, cliccando sull’apposito link che dovrebbe essere inserito nel banner stesso (si vedano al riguardo i principi di trasparenza indicati dall’EDPB nelle Linee guida sulla trasparenza, ed in particolare il cosiddetto layered privacy statement/notice ivi citato).
Tale banner, come noto, dovrebbe comparire al momento in cui l’utente accede per la prima volta alla home page e deve essere di dimensioni tali da costituire una “percettibile discontinuità nella fruizione dei contenuti della pagina Web”, ossia una discontinuità nell’esperienza di navigazione. Si chiarisce poi, nel citato Provvedimento, che il superamento del banner deve essere possibile solo mediante “un intervento attivo dell’utente” (attraverso il cosiddetto “click fuori dal banner”, ossia nella selezione di un elemento contenuto nella pagina sottostante al banner). Naturalmente, dell’avvenuta prestazione del consenso, il titolare del trattamento deve procurarsene la prova, eventualmente attraverso un apposito cookie tecnico di memorizzazione del consenso. Del pari, la stessa Direttiva ePrivacy stabilisce la necessità di acquisire il consenso per la memorizzazione e l’accesso ai cookie prima che il trattamento dei dati abbia inizio, e lo stesso articolo 5(3) della Direttiva ePrivacy poc’anzi citato, contempla espressamente il solo consenso quale base giuridica.
Le indicazioni dei Garanti Ue
Già il WP 208 Working Document 02/2013 providing guidance on obtaining consent for cookies dell’ex WP29, oggi European Data Protection Board (di seguito solo “EDPB”), nel descrivere le modalità attraverso le quali acquisire il consenso aveva invero chiarito alcuni elementi rilevanti per comprendere oggi la portata degli assunti di ICO, e del CNIL, Autorità garante francese, che si è mossa negli stessi termini.
In primo luogo, chiariva l’EDPB, che vi deve essere il consenso, ed esso deve essere fornito liberamente prima che i cookie siano impostati e/o letti, in secondo luogo il comportamento attivo necessario per esprimere tale consenso deve essere inequivocabile. A tal fine l’EDPB ha specificato che esso deve passare attraverso un’azione positiva o altri comportamenti attivi degli utenti, espressamente contemplando il click “su un pulsante o un link” oppure “barrando una casella all’interno o vicino allo spazio in cui viene fornita l’informativa”, oppure “ponendo in essere qualsiasi comportamento attivo” da cui si possa “desumere inequivocabilmente” che ciò manifesti un consenso specifico ed informato. Tra queste azioni contempla espressamente il cosiddetto click fuori dal banner (cfr. “cliccando su un link, su un’immagine o su un altro contenuto presente sulla pagina di avvio del sito Web”), del pari specificando che l’assenza di qualsiasi comportamento non può valere quale silenzio (i.e comportamento) – assenso, ossia non può considerarsi quale espressiva di un valido consenso, ossia inequivocabile.
La nuova prospettiva di ICO
Tanto premesso e chiarito, sono di pochi giorni fa le precisazioni dell’Autorità britannica che, a valle del Regolamento Europeo 2016/679 (“GDPR”), e nonostante la Direttiva ePrivacy possa dirsi lex specialis rispetto al GDPR (cfr. anche art. 95 e Considerando 173 GDPR), ha sentito l’esigenza di rivedere la modalità di espressione del consenso ai cookie, alla luce della disordinata impostazione dei banner che hanno creato un altrettanto disordinata user experience per l’utente. Ciò per almeno due ordini di ragioni:
- la necessità di dare armonia ai requisiti richiesti per il consenso alla luce di due normative che, per loro natura (regolamento vs direttiva), sono state implementate in modo diverso ma che hanno quale indiscutibile punto in comune la nozione stessa di consenso, in attesa che il tutto venga uniformato dal Regolamento ePrivacy;
- l’esigenza di far fronte alle nuove sfide presentate ad ICO per effetto delle altrettanto nuove modalità con le quali si possono sfruttare i cookie (i.e. programmatic), segnalate ad ICO da alcune ONG e portate all’attenzione anche del CNIL.
ICO chiarisce che qualsiasi cookie sia necessario per l’esecuzione del contratto richiesto dall’utente non necessita di consenso, esattamente come non necessita di consenso il trattamento dei dati personali se ciò avviene, appunto, in esecuzione di un contratto con ciò ponendo un veto per i cookie “non essenziali”. Il concetto di “essenzialità” dei cookie è richiamato dall’EDPB in questi termini: “[…] strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service”.
Si può comprendere dunque come l’evoluzione normativa che sta venendo alla luce impatterà sul settore delle tecnologie pubblicitarie (i.e. inserzionisti e venditori di tecnologie pubblicitarie), ma anche sugli operatori di mercato che vogliono assettare i propri siti in modo compliant alla normativa, per evitare il rischio di incorrere in sanzioni. L’obiettivo delle linee guida sui cookie, ha chiarito ICO, è quello di allineare perfettamente la normativa sui cookie a quanto previsto dal Regolamento, ed in particolare allo standard di consenso ivi previsto.
Addio al consenso implicito
Addio quindi al consenso implicito: gli utenti, con riferimento ai cookie non essenziali, devono dare un consenso esplicito. Bandito, come più volte invero già chiarito, qualsiasi pre-flag, gli utenti devono poter avere il controllo sui cookie che vengono serviti al momento della loro visita sulla pagina web.
Ma quali cookie rientrano tra quelli non essenziali e quindi necessitano di consenso esplicito? Sono i cookie analitici, quelli utilizzati a fini di marketing e pubblicità.
La terminologia dovrebbe rendere l’idea: si tratta di un cookie wall. Ossia un banner che informa l’utente dell’uso dei cookie, configurato in modo tale che quest’ultimo, fintanto che non acconsenta esplicitamente all’uso dei cookie non essenziali, non dovrebbe poter avere accesso al contenuto del sito. Insomma, una tecnologia non più solo tracciante, ma bloccante, nel senso pratico del termine. È una misura prodromica ed anticipatoria rispetto a quello che l’ePrivacy Regulation introdurrà: saranno direttamente i browser a fare da gatekeeper dei tracciamenti dei siti.
Chiarisce ICO inoltre, che i disclaimer presenti sul web, ove si assume che l’utilizzo del sito comporta accettazione dei cookie (analitici), non valgono a surrogare il consenso esplicito richiesto dalla normativa, e non vale quindi a dirsi compliant alla normativa.
Insomma, prepariamoci a dire addio al “click fuori dal banner” e allo scroll e ad accogliere le nuove sfide del programmatic alla luce di una nativa normativa che sta cercando di tenere il passo rispetto ad una tecnologia che – come sempre – avanza velocemente.
