nuove linee guida

Cookie, come evitare le sanzioni del Garante privacy: la checklist

Entrate in vigore dal 9 gennaio le “Linee guida in materia di cookie e altri strumenti di tracciamento” del Garante privacy. Ecco cosa devono fare quanti ancora sono in ritardo per mettersi in regola. Una semplice checklist per verificare il proprio stato di compliance

13 Gen 2022
Rocco Panetta

avvocato, managing partner di Panetta Studio Legale, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals

cookie

Anno nuovo, vita nuova, o meglio, come nel caso dei cookie, regole nuove. A partire dallo scorso 9 gennaio sono infatti diventate operative le indicazioni contenute nelle “Linee guida in materia di cookie e altri strumenti di tracciamento”, approvate dall’Autorità Garante per la protezione dei dati personali con il provvedimento n. 231 dello scorso 10 giugno e pubblicate in Gazzetta Ufficiale il successivo 9 luglio.

Proprio da questa seconda data veniva fatto decorrere un periodo cuscinetto di sei mesi per permettere ai soggetti obbligati di adeguare i sistemi e i trattamenti già in atto ai principi espressi nelle linee guida, termine scaduto proprio all’alba del nuovo anno.

I cookie sotto la lente dei Garanti privacy: lo stato dell’arte in Italia e Ue

Le nuove regole privacy su cookie

Cambia dunque la disciplina di un settore che per moltissimi anni si è eretta sul noto provvedimento n. 229 dell’8 maggio 2014 (“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”) e sui relativi spin-off (le “FAQ in materia di informativa e consenso per l’uso dei cookie” del 3 dicembre 2014 ed i “Chiarimenti in merito all’attuazione della normativa in materia di cookie” del 5 giugno 2015).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Gli stravolgenti interventi normativi degli ultimi anni, Regolamento Generale sulla Protezione dei Dati (GDPR) in primis (mentre è ancora in stand by il Regolamento ePrivacy), e le sempre più nette prese di posizione delle autorità europee (pensiamo solo alle linee guida sul consenso adottate il 10 aprile 2018 dal Gruppo di lavoro Articolo 29, approvate ed aggiornate poi dall’European Data Protection Board) hanno di fatto reso questo intervento di ammodernamento quanto mai necessario e, dunque, più che benvenuto.

Ciò a maggior ragione se si considera quanto sia cruciale per tutte le imprese, sia in termini di esposizione che di strategie di business, poter contare su regole chiare ed aggiornate in materia di tecnologie di tracciamento. Del resto, di tale fattore fa piena prova il fatto che dette linee guida sono anche il risultato della consultazione pubblica avviata dall’Autorità con la pubblicazione del primo schema di provvedimento nel novembre 2020.

Cookie, adeguarsi alle linee guida del Garante privacy: ecco la checklist

Cosa prevedono dunque le nuove linee guida? E cosa devono fare quanti ancora sono in ritardo per mettersi in regola? Per rispondere a due domande che molti titolari del trattamento si stanno ancora ponendo ecco una semplice checklist per verificare il proprio stato di compliance con le nuove regole in materia di cookie.

La base giuridica: no al legittimo interesse

Per quanto riguarda innanzitutto la base giuridica che legittima l’utilizzo di cookie e altri strumenti di tracciamento, questa potrà essere ravvisata unicamente nel consenso dell’utente. Il Garante, infatti, ha chiarito in via definitiva che in nessun caso è possibile ricorrere al legittimo interesse, com’è stato invece riscontrato nel corso delle verifiche effettuate dall’Autorità su diversi siti web. Ovviamente, l’obbligo di acquisire il consenso degli interessati non sussiste in riferimento ai cookie di natura tecnica – e a tutti quelli agli stessi assimilabili – il cui utilizzo è assoggettato “al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale”.

Assimilazione dei cookie analitici ai cookie tecnici

Le linee guida hanno confermato che i cookie analitici di prime e terzi parti sono assimilabili a quelli tecnici (per il cui utilizzo non è necessario il consenso dell’utente), ma soltanto a condizione che:

  • siano utilizzati esclusivamente per la produzione di statistiche aggregate (senza identificazione degli interessati) e in relazione ad un singolo sito o app mobile;
  • venga mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
  • le terze parti si astengano dal combinare i cookie analitici, così minimizzati, con altre elaborazioni (ad esempio, file di clienti o statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terzi.

Tuttavia, per le terze parti sarà possibile produrre statistiche con dati relativi a più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale.

La centralità del consenso: le regole per l’informativa

In ragione della centralità attribuita al consenso dell’utente per il legittimo utilizzo dei cookie (ad eccezione di quelli tecnici), le linee guida forniscono indicazioni chiare e puntuali sulle modalità con cui deve essere fornita l’informativa agli interessati. In particolare, l’informativa:

  • deve avere un linguaggio semplice e accessibile a tutti;
  • deve essere resa anche in modalità multilayer e multichannel;
  • se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale;
  • deve indicare, tra le diverse informazioni, i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analitici e da quelli di profilazione.

La centralità del consenso: le regole per il cookie banner

Qualora si utilizzino cookie diversi da quelli tecnici, deve essere implementato un banner a comparsa immediata e di adeguate dimensioni che contenga:

  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
  • il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al GDPR;
  • l’avvertenza che la chiusura del banner (ad esempio, mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Pertanto, ai fini dell’acquisizione del consenso, il banner dovrà contenere i seguenti elementi:

  • il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in un’unica soluzione, se già espresso.

Inoltre, il banner per la raccolta dei consensi non potrà essere reiteratamente mostrato all’utente che non abbia prestato il consenso, tranne nei casi in cui:

  • siano nel frattempo mutate, significativamente, le condizioni del trattamento;
  • sia impossibile per il gestore del sito sapere se il cookie sia stato memorizzato sul dispositivo dell’utente;
  • siano trascorsi non meno di sei mesi dalla precedente presentazione del banner.

Ancora, il Garante ha osservato che “è buona prassi il posizionamento in ciascuna pagina del dominio (…) di un segno grafico, icona o altro accorgimento tecnico che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi dall’utente consentendone, dunque, in ogni momento l’eventuale modifica o aggiornamento”, ad esempio nel footer della pagina del dominio.

Le pratiche di scrolling e di cookie wall: divieti ed eccezioni

L’Autorità non ha mancato di analizzare alcune pratiche peculiari legate alla raccolta del consenso, quali lo “scrolling” e i “cookie wall”. Per quanto riguarda il primo, è stato osservato come il semplice “scroll down” sia inadatto alla raccolta di un idoneo consenso all’installazione di strumenti di tracciamento. Tuttavia, si potrebbe ricorrere a tale pratica laddove inserita in un processo più articolato che consenta all’utente di manifestare una scelta inequivocabile e consapevole rispetto al trattamento dei cookie, restando in capo al titolare, in ottica di valorizzazione dell’accountability, l’onere di dimostrare la tenuta del processo anche rispetto alle indicazioni dell’European Data Protection Board. Quanto ai “cookie wall”, le linee guida confermano l’illiceità di tale meccanismo (che consiste nel prevedere l’obbligo per l’utente di prestare un consenso alla ricezione dei cookie per poter accedere al sito), con la sola eccezione – da verificare di volta in volta – del caso in cui il titolare sia in grado di dimostrare che l’utente abbia la possibilità di accedere comunque ad un contenuto o servizio equivalente senza dover prestare il consenso all’installazione di cookie o altri strumenti di tracciamento.

La profilazione cross-device

Agli utenti autenticati dovrà essere consentito di “scegliere consapevolmente – menzionando dunque tale possibilità pure nell’informativa resa – se accettare la possibilità che il tracciamento che li riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device”. Sul punto, il Garante ha chiarito che in caso di profilazione cross-device, non è necessario prevedere un consenso autonomo, ma sarà sufficiente indicare nell’informativa che la profilazione può avvenire anche incrociando i dati di diversi device.

Accessibilità

In riferimento alle modalità con cui rendere l’informativa, il Garante ha posto in capo al titolare l’onere di adottare “ogni più opportuno accorgimento affinché le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari, in linea con quanto previso dalla legge 9 gennaio 2004, n. 4”. Si tratta di un richiamo ad una legge che inizialmente riguardava solo le pubbliche amministrazioni, la cui applicabilità in seguito – con il c.d. Decreto Semplificazioni (D.L. 16 luglio 2020, n. 76, convertito con modificazioni dalla L. 11 settembre 2020, n. 120) – è stata estesa anche a coloro che “offrono servizi al pubblico attraverso siti web o applicazioni mobili, con un fatturato medio, negli ultimi tre anni di attività, superiore a cinquecento milioni di euro”.

L’importanza dell’adeguamento alle regole sui cookie: uno sguardo oltralpe

Verificati uno ad un uno i punti sopra elencati non sarà difficile associare il proprio stato di compliance ad un colore in una scala che va da verde (pienamente conforme) a rosso (per nulla conforme), passando per il giallo (parzialmente conforme). Il monito per queste due ultime gradazioni è quello di mettersi in regola, e di farlo velocemente. Ciò in quanto è prevedibile che nei prossimi mesi la nostra Autorità Garante vigilerà proprio sul rispetto delle nuove regole in materia di cookie. E le conseguenze potrebbero replicare quanto avvenuto nelle scorse settimane in Francia.

Occorre infatti rilevare come diverse Autorità Garanti europee stiano dimostrando a più riprese di volerci vedere chiaro in merito all’effettivo adeguamento alla normativa in materia di cookie. Lo testimoniano le recentissime maxi-sanzioni inflitte dalla Commission nationale de l’informatique et des libertés (CNIL) a Facebook e Google. Google alla vigilia del nuovo anno è caduto sotto la scure del Garante francese in relazione ai cookie di profilazione che gli utenti si trovavano installati sui propri terminali a seguito della navigazione su alcuni siti della società, specie come veicolo di pubblicità mirata e quindi di allettanti introiti.  Sono 150 milioni di euro in totale perché – si legge nel comunicato ufficiale della CNIL – gli utenti di questi siti avrebbero sì la possibilità di rifiutare i cookie, ma non con la stessa facilità con cui sono incoraggiati ad accettarli, a meno di non voler stare alle prese con diversi click prima di poter finalmente avere accesso alla libera navigazione del sito.

Cookie e dark pattern, sanzione privacy milionaria per Google e Facebook in Francia: quale lezione per l’Italia

Facebook sul finire del 2021 (precisamente, il 30 dicembre) si è visto recapitare una sanzione pari a 60 milioni di euro per le medesime violazioni contestate al summenzionato motore di ricerca, ivi compresa la sproporzione tra facilità di accettazione e difficoltà di rifiuto dei cookie, cui si aggiunge l’indubbia destabilizzazione che un utente incontra quando, per rifiutare il tracciamento, è chiamato a cliccare sul pulsante “Accetta”. Il risultato, in entrambi i casi, è il venire meno del requisito di libertà del consenso, unica base giuridica che legittima l’impiego di cookie diversi da quelli tecnici, con conseguente violazione del disposto dell’art. 82 della Loi Informatique et Libertés, la legge francese in materia di protezione dei dati personali.

Entrambe le società sono state poi chiamate ad adeguarsi alle prescrizioni imposte dalla CNIL nel termine di tre mesi dalla pubblicazione della decisione, implementando modifiche che consentano agli utenti maggiore facilità nel rifiutare i cookie.

Ma il 2021 non è stato un palcoscenico inedito per il monitoraggio delle regole a tutela degli utenti contro il tracciamento online. Già nel 2020 la stessa CNIL aveva infatti puntato la propria lente di ingrandimento su di un importante gruppo francese operativo sia nel settore retail che in quello bancario, con un provvedimento sanzionatorio di più ampio respiro che a latere toccava però anche il tema dell’uso distorto dei cookie, in relazione all’attivazione automatica del tracciamento senza il consenso dell’utente.

Non si tratta però di sole sanzioni

Alla luce di quanto appena evidenziato, adeguarsi prontamente e correttamente alle nuove prescrizioni contenute nelle linee guida emanate dal nostro Garante può certamente consentire di mettersi al riparo da un potenziale rischio sanzionatorio.

Sulla base della nostra esperienza di professionisti, devo dire che molte società e gruppi, ma anche enti pubblici, si sono mossi per tempo già dallo scorso settembre, per avviare i cambiamenti richiesti dal Garante. Ma si registrano ancora alcune aree di non compliance, soprattutto tra chi ha aderito a soluzioni pronte, attraverso software o piattaforme di gestione dei cookies, con inevitabili imprecisioni derivanti anche da influenze interpretative d’oltralpe o d’oltreoceano.

La compliance preventiva e proattiva con le regole in materia di protezione dei dati personali può infatti rappresentare uno strumento di inedito valore aggiunto per la propria organizzazione, nell’ottica di poter coniugare crescita economica, rispetto della normativa ed approccio etico al trattamento e alla valorizzazione dei dati personali. Ciò vale anche e a maggior ragione quando si parla di cookie ed altri strumenti di tracciamento.

  1. * L’autore intende ringraziare l’avv. Elena Massignani e i dottori Gabriele Franco ed Eugenio Gualdi di Panetta Studio Legale per le ricerche e le fonti di dettaglio.
WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4