A seguito della consultazione pubblica emanata dal Garante lo scorso 26 novembre 2020, sono state pubblicate le linee guida definitive in materia di cookie e altri strumenti di tracciamento.
Infatti, le prescrizioni sull’utilizzo di tali strumenti all’interno dei siti web erano ancora oggetto di linee guida emanate prima dell’entrata in vigore del 2014. Sul punto, l’Autorità ha voluto comunque precisare che le indicazioni previste nelle vecchie linee guida del 2014 siano da ritenersi conformi al quadro generale normativo nonostante è stato necessario porre in essere delle integrazioni alla luce degli ultimi risvolti in materia di protezione di dati personali, soprattutto in tema di consenso.
Così, le nuove linee guida mantengono in larga misura determinati elementi già indicati nel 2014 dal Garante: la distinzione tra cookie tecnici e non tecnici permane, sottolineando come l’utilizzo di cookie strettamente necessari a fornire un servizio all’utente non necessitano di alcun consenso da parte dell’interessato. In quest’ultimo caso il titolare dovrà semplicemente informare l’utente dell’installazione di questo tipo di cookie.
Il Garante si sofferma però, come era immaginabile, su forme di tracciamento nettamente più invasive nei confronti dell’utente, quali ad esempio l’utilizzo di cookie di profilazione volte a ricondurre a soggetti determinati specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte ovvero per inviare messaggi pubblicitari mirati e in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete. E ancora, il Garante solleva la questione dei cd. strumenti passivi, quali ad esempio il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione. Questa tecnica è appunto denominata come passiva in quanto – a differenza dei cookie – l’utente non ha alcun controllo su tale strumento, in quanto non vengono archiviate informazioni sui dispositivi utilizzati dall’utente bensì il profilo creato dalle tecniche di fingerprinting sono nella sola disponibilità del titolare.
Alla luce anche delle opinioni trasmesse da associazioni di categoria, accademici e imprenditori nel processo di consultazione preventiva, l’Autorità Garante ha, sinteticamente, impostato nei seguenti termini la conformità alla normativa in materia di cookie da parte dei titolari del trattamento.
Ogni titolare del trattamento che adotta all’interno del proprio sito web cookie non tecnici, quindi di profilazione, pubblicitari o che adotti altre tecniche di tracciamento deve richiedere un consenso preventivo, libero e dimostrabile all’utente che per la prima volta accede alla piattaforma. Ogni forma o strumento che impedisca tale scelta libera è da ritenersi illegittima. Salvo rare ipotesi di legittimità, tra le forme ritenute non coerenti alla normativa e citate dal Garante vi è il cd. cookie wall e la tecnica del cd. scrolling, tecnica ampiamente utilizzata sul nostro territorio che permette al titolare del trattamento di acquisire il consenso dell’interessato attraverso il semplice “scroll down” del cursore di pagine. Ciò – in linea con quanto dichiarato dal EDPB – è inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie non tecnici. Pertanto, il Garante suggerisce di adottare il consenso dell’interessato in maniera chiara e libera, ovvero con un’azione positiva posta in essere dall’interessato. Interessante notare come l’Autorità abbia espressamente vietato di utilizzare il legittimo interesse quale base giuridica per utilizzare i descritti sistemi di tracciamento. La ragione di tale assunto è prettamente di natura giuridica. Infatti, la normativa che regola i cookie è la Direttiva 2002/58/CE che ha previsto solo ed esclusivamente il consenso come base giuridica e, essendo la suddetta direttiva lex specialis rispetto al GDPR, non è ammissibile estendere l’efficacia giuridica di altre norme laddove espressamente previste dalla Direttiva.
Le linee guida forniscono un ulteriore elemento da tenere in considerazione per ogni publisher, ovvero che il consenso dovrà essere registrato dai titolari del trattamento e non dovrà essere nuovamente richiesto ad ogni accesso al sito web, salvo determinati casi specifici quali ad esempio l’eliminazione volontaria da parte dell’utente dal proprio dispositivo del cookie che registra il suddetto consenso.
Nondimeno, conformemente con le linee guida del 2014, il Garante evidenzia l’importanza di fornire un’informativa minima all’interno del banner che informa l’utente sull’utilizzo di cookie non tecnici, un rimando ad un’informativa estesa e un link ad un ulteriore area dedicata nella quale vengono individuati i soggetti cd. terze parti che installano cookie non tecnici all’interno del sito dei titolari del trattamento. In quest’ultimo caso, le linee guide suggeriscono altresì di aggiornare periodicamente tale lista e permettere all’utente di scegliere liberamente a quali categorie di soggetti terzi eventualmente fornire il proprio consenso al tracciamento.
Si rileva altresì che le Linee Guida emanate dal Garante si soffermano sulla posizione da tenere sui cd. cookie analitici, ovvero quei cookie che – generalmente – permettono ai publisher di avere delle statistiche sulle visite dei propri utenti, ad esempio per area geografica, per fascia oraria o altre caratteristiche. In tal caso, si è sottolineato come l’utilizzo di tali tipi di cookie possa avvenire alla stregua di quelli tecnici solo laddove vengano poste in essere tecniche di anonimizzazione dell’indirizzo IP dell’utente. In tutti gli altri casi, sarà necessario acquisire il consenso dell’interessato per evitare forme di tracciamento incrociato da parte dei soggetti terzi proprietari di tali tipi di cookie.
In ultimo, il Garante ha espresso le sue preoccupazioni sulla mancanza di un assetto generale e comune in materia di codifica semantica dei cookie, auspicando che si arrivi in tempi rapidi ad un quadro meno incerto in materia. L’Autorità ha altresì previsto un termine di sei mesi dalla pubblicazione delle linee guida affinché ogni titolare del trattamento si conformi ai dettami qui richiamati.