Internet, nuove tecnologie  -  Redazione P&D  -  05/10/2021

Cookie e altri strumenti di tracciamento. Le nuove Linee guida del Garante della privacy - Emanuela Burgio

1. Il 10 Giugno 2021, con il provvedimento n. 231, il Garante per la protezione dei dati personali ha emanato delle nuove Linee guida in materia di cookie e altri strumenti di tracciamento (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677876).  Questo intervento è stato ritenuto necessario per adeguare alla ricca produzione normativa europea le linee guida adottate addirittura prima dell’entrata in vigore del GDPR (provvedimento n. 229 dell’8 maggio 2014). 

2. Da tempo era atteso un intervento chiarificatore in materia di consenso e di informativa a seguito dell’entrata in vigore del GDPR. Inoltre, la necessità di un indirizzo da parte delle autorità a competenti era emersa in seguito ad una decisione della Corte di Giustizia dell’Unione Europea che nell’Ottobre 2019 era stata chiamata a dirimere l’incertezza legata ai requisiti del consenso in materia di cookie. Il caso traeva origine dalla domanda pregiudiziale della corte federale tedesca, presentata nell’ambito di una controversia riguardante la legittimità del comportamento di una società che, organizzando un gioco a premi sulla propria piattaforma, presentava come preselezionata la casella relativa all’accettazione dei cookie sui propri terminali. I giudici tedeschi, dubbiosi della legittimità del consenso prestato con questa modalità (per il vero molto comune), hanno sottoposto la questione alla CGUE ponendo tre questioni: in primo luogo, come già illustrato, se il consenso prestato tramite una casella preselezionata fosse efficace alla luce della normativa vigente; poi se le condizioni differiscano nel caso in cui le informazioni archiviate o consultate consistano in dati personali; ed in ultimo quali siano i requisiti di un efficace consenso informato. 

La CGUE, alla luce delle disposizioni contenute nella Direttiva 95/46, della direttiva 2002/58 e in ultimo della Direttiva 2016/679 ha stabilito che il consenso debba essere prestato in modo attivo, di tal che il consenso prestato attraverso una casella di testo preselezionata è insufficiente a rispettare i requisiti richiesti dal combinato disposto delle direttive sopra citate. Inoltre, poiché la normativa mira a proteggere gli utenti da qualsiasi ingerenza illecita nella vita privata, comunque perseguita, ne consegue che la nozione di consenso non deve essere interpretata in modo diverso a seconda che le informazioni archiviate o consultate nell’apparecchiatura terminale dell’utente di un sito Internet costituiscano o meno dati personali.

In ultima analisi, la corte ha chiarito che un’informazione chiara e completa deve consentire ad un utente di determinare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa. A tal proposito, la Corte ha considerato che i dati identificativi del titolare, la finalità con cui sono trattati i dati, il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie, rientrano nell’informazione chiara e completa che il fornitore di servizi deve comunicare all’utente di un sito Internet. 

Agli osservatori più attenti non è poi sfuggito che la Corte, sebbene la fattispecie non ricorresse nel caso esaminato, ha avuto modo di segnalare la necessità di scrutinare anche la legittimità dei c.d. “cookie wall”, ossia quelle modalità di richiesta del consenso che impediscono la prosecuzione della navigazione in difetto di accettazione.

Le conclusioni della CGUE costituiscono uno strumento prezioso di uniformità, in un contesto in cui le interpretazioni della normativa differivano a livello transnazionale tanto che in alcuni Stati era ammesso il silenzio come strumento per il consenso, in altri no. 

È possibile sostenere allora, che la necessità di armonizzazione ha determinato le novità legislative cui le Linee Guida in argomento si confanno.

3. E’ utile precisare che cosa si intenda per cookie, poiché – curiosamente – non c’è molta chiarezza riguardo a cosa siano questi strumenti così diffusi, in cui tutti ci imbattiamo. 

I cookie, come definiti dal Garante stesso “sono di regola stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” - all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo”. Come ancora rilevato dal Garante: “le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito”. Si tratta dunque di informazioni, anche relative agli utenti delle piattaforme on line, che consentono ai gestori delle piattaforme di tenere traccia dell’utente stesso, identificandolo, nonché del suo comportamento online. Tale identificazione avviene, perché nel momento in cui si accede ad un sito ovvero ad una piattaforma,  implicitamente si chiede ai gestori delle stesse di ricevere le immagini, i suoni, tutto ciò che appare sulla schermata; i gestori però nel momento in cui accolgono la richiesta di accedere allo stesso, posizionano all’interno dei nostri dispositivi dei file di testo che incorporano informazioni circa il nostro comportamento sulla piattaforma che verranno ritrasmessi dal browser alla piattaforma ogni volta che si accede al medesimo dominio. 

I cookie, di per sé, sono uno strumento imprescindibile per un più agile funzionamento delle piattaforme e ne consentono una esperienza ottimale. Tuttavia, sono pervasivi i cookie che memorizzano le preferenze e il comportamento degli utenti quali consumatori.

 I cookie infatti si distinguono prevalentemente in cookie tecnici e di profilazione. I primi sono strettamente funzionali all’erogazione del servizio di navigazione, i secondi invece consentono di profilare gli utenti e consentono di offrire loro un servizio personalizzato. 

Gli utenti però non devono rassegnarsi, come spesso accade, all’inesorabile trattamento indistinto dei propri dati personali. Con riferimento ai cookie “non necessari”, sulla base del GDPR (Regolamento UE 679/2016) il consenso è il mezzo privilegiato di tutela di cui gli utenti dispongono. Questo deve essere libero, informato ed inequivocabile, il che significa che solo una manifestazione chiara ed espressa costituisce consenso. A ciò si aggiunga che sempre il GDPR prescrive l’obbligo di adottare misure tecniche e organizzative adeguate sia in fase di progettazione che per impostazione predefinita. È sulla scorta di queste premesse che si procederà ad illustrare le modifiche in argomento. 

4. In primo luogo, il Garante individua i c.d. “cookie tecnici”, ossia quelli che sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice della privacy (d.lgs n. 196/2003). L’uso di questi cookie non richiede l’acquisizione del consenso, ma essi vanno indicati nell’informativa.

Ilprende poi in considerazione i 

5. Con riguardo agli altri cookie, che chiameremo “non necessari”, il Garante ha invece disposto che sia insufficiente a manifestare il consenso il c.d. scrolling, ovvero la pratica secondo cui il semplice scendere in basso (scroll-down) con il cursore autorizzi all’accettazione dei cookie diversi da quelli tecnici, che non necessitano di consenso. E ancora, viene esplicitato che non è ammissibile il c.d. cookie wall, ossia il rifiuto di far proseguire la navigazione su un sito in mancanza di prestazione del consenso, e ciò proprio perché tale modalità farebbe venir meno la libertà di espressione del consenso. 

Dunque, il Garante ha inteso chiarire con tale intervento che i cookie di profilazione devono essere una libera scelta e non un obbligo o una necessità; mentre deve essere avvertita e consentita l’opzione di non permettere alcun tracciamento. Il cookie wall si pone in netto contrasto con questa impostazione, imponendo un meccanismo vincolante (take it or leave it). Solo in casi particolari tale modalità è ammissibile, ossia quando all’utente sia consentita una equivalente esperienza di navigazione. 

Nella stessa ottica è stato introdotto l’obbligo di opt-in come impostazione predefinita, il che equivale a sancire l’obbligo che di default nessun tracciamento è eseguito a meno che non vi si aderisca in modo consapevole. In pratica, non si dovranno più deselezionare tutte le caselle. 

Anche la vessatoria comparsa del pop-up ad ogni accesso sul sito viene eliminata: le preferenze infatti verranno impostate al primo accesso al sito e poi richieste nuovamente dopo 6 mesi. Inoltre, deve essere consentita la possibilità di modificarle in ogni momento, tramite un link che il garante consiglia di inserire nel footer del sito, in cui sarà anche posizionato un comando che riassume lo stato dei consensi. L’eccessiva riproposizione del banner infatti lede la libertà dell’utente inducendolo a prestare il consenso pur di eliminare un ostacolo tanto noioso. 

La riproposizione dello stesso, prima del termine dei sei mesi, è necessaria però in due casi e segnatamente quando mutano sensibilmente le condizioni del trattamento, ovvero quando sia impossibile per il gestore della piattaforma sapere se siano o meno già stati memorizzati i cookie. 

6. La libera scelta è il criterio guida dell’intervento in argomento; è per questa ragione che il Garante ha disposto la presenza di un comando rapido che chiuda il banner, che sia parimenti identificabile con altri comandi rapidi che dispongano l’accettazione di tutti i cookie o la gestione delle preferenze, e che consenta una navigazione libera da cookie di profilazione. È infatti necessario che finanche le caratteristiche grafiche dei comandi non siano devianti ai fini di un libero consenso. 

A differenza della scelta fatta in Francia in cui è stato inserito un terzo comando “rifiuta tutti i cookie”, il Garante ha optato per il simbolo classico della “X” per far percepire all’utente la scelta come ancora più libera e al contrario “il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti”. 

Per questa ragione il banner dovrà contenere, in aggiunta ai comandi sopra citati, tutte le informazioni sui cookie in forma breve, salvo poi rimandare con un link all’informativa estesa. 

È fatto obbligo ai titolari di prevedere una pagina dedicata ai cookie i cui elencarli analiticamente, rendere noti i sistemi di codifica, elencare le terze parti ed aggiornare costantemente queste informazioni a vantaggio della chiarezza e della trasparenza per gli utenti. 

7. Questo intervento, oltre a rispondere alle novità di cui sopra, può determinare una nuova consapevolezza rispetto ai propri dati personali che gli utenti pretendono di avere. Anche le c.d. big tech hanno il dovere di uniformarsi a quanto previsto perfino a scapito della raccolta di dati che quindi potrebbe essere inferiore al passato a causa del diniego al tracciamento degli utenti e alla condivisione di dati a terzi. 

Apple si è dimostrata antesignana dei tempi lanciando, già da qualche periodo, una nuova funzionalità dal nome “App Tracking Transparency”. Tale applicazione rende edotto l’utente, possessore di un dispositivo targato Apple, di sapere se l’app che sta usando esegue il tracciamento dei suoi dati personali e consente di negare l’accesso agli stessi agevolmente, così come pure agevolmente è possibile modificare in ogni momento le preferenze. Senza consenso, l'applicazione non potrà conoscere l'Idfa (Identify for advertisers), cioè un codice assegnato dall’azienda di Cupertino a ciascun dispositivo che permette di riconoscere l'utente e quindi di proporgli annunci personalizzati.

Non sono mancati gli oppositori a tale sistema, poiché è stato registrato un calo degli introiti pubblicitari dovuto alla impossibilità di perseguire delle campagne mirate, favorite dalla profilazione. Ciò sia da parte degli inserzionisti, sia da parte di chi, come Google, consente il tracciamento tramite i suoi canali e di fatto fa della condivisione dei dati la fonte prevalente di ricavi. 

Dal canto suo Apple non intende cedere sul versante privacy investendo sulla sicurezza dei suoi utenti come elemento su cui costruire un’immagine solida e che dia fiducia ai consumatori, tanto che dalla sera del 20 Settembre 2021 ha lanciato il nuovo sistema operativo iOS 15, che rende l’utilizzo dei dispositivi targati Apple ancora più sicuri. 

8. È ormai sempre più manifesto che il tema della protezione dei dati personali non sia più riferito alla mera riservatezza, ma sia ormai divenuto un elemento fondamentale che favorisce l’andamento economico delle aziende. Alla luce di ciò le Linee Guida sopra illustrate sono uno strumento in più di consapevolezza e trasparenza per gli utenti, ma non si dubita che ancora molto deve essere fatto a partire da un cambio di prospettiva che tenga conto della realtà economica in cui la raccolta di dati personali si inserisce.  

Per l’adeguamento alle Linee guida il Garante ha concesso sei mesi, in considerazione del fatto che si tratta di un intervento significativo che cambia le regole per i provider e per gli operatori del settore.