privacy

I cookie sotto la lente dei Garanti privacy: lo stato dell’arte in Italia e Ue

Una panoramica circa le recenti iniziative dei garanti europei in tema di legittimità dell’uso dei cookie da parte dei gestori dei siti web in attesa dell’approvazione del Regolamento e-privacy che introdurrà una normativa uniforme senza la necessità di un recepimento da parte dei singoli Stati membri

11 Feb 2021
Tabita Costantino

associate di Portolano Cavallo

Laura Liguori

Partner di Portolano Cavallo

Giulio Novellini

counsel di Portolano Cavallo

cookie

Alla luce della sempre crescente diffusione di nuove tecnologie e della loro invasività, i cookie sono da tempo al centro dell’attenzione dei Garanti privacy europei, un’attenzione che è cresciuta dopo l’entrata in vigore del GDPR.

La normativa rilevante

Un punto spesso sottovalutato è che il GDPR non disciplina, di fatto, l’aspetto tecnico dei cookie e, di conseguenza, ad oggi l’Europa non ha una normativa uniforme.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Infatti, quello dei cookie è un tema che rientra nell’ambito delle comunicazioni elettroniche, le quali sono soggette alla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 (cosiddetta “Cookie Law”), successivamente modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio del 25 novembre 2009. Tale direttiva pone in capo al gestore del sito l’obbligo di raccogliere il consenso informato dell’utente ancor prima di installare i cookie sul suo dispositivo e di dare inizio al tracciamento. Tuttavia, la Cookie Law non stabilisce in maniera esplicita come gli obblighi di informativa e consenso debbano essere applicati e, per sua natura, è stata recepita dagli Stati membri con differenti modalità.

Infatti, sebbene la Cookie Law abbia esplicitato che il consenso ai cookie deve essere sempre informato e basato su un’esplicita azione positiva dell’utente, tali azioni possono sostanziarsi – sulla base delle disposizioni previste dalle singole autorità locali – in diverse ipotesi (mero proseguimento della navigazione, click su un link specifico, scorrimento della pagina o altre modalità che richiedano all’utente di procedere attivamente).

In ogni caso, molte autorità nazionali preposte alla protezione dei dati hanno allineato le loro disposizioni sui cookie ai requisiti del GDPR (incluso, ad esempio, il dovere di tenere un registro dei consensi) e vale anche per il cookie la regola secondo cui è necessario che l’utente autorizzi certi trattamenti dei propri dati personali in via preventiva. Sulla base dei principi consolidati dal GDPR, tale consenso deve essere libero, specifico, informato, inequivocabile, revocabile e dimostrabile.

In particolare, l’attuale normativa in materia di cookie, di cui alle direttive europee, è stata recepita in Italia con l’art. 122 D. Lgs 196/2003 (Codice Privacy). Tale normativa prevede i principi – già anticipati in premessa – secondo cui i cookie tecnici (vedi box in basso) possono essere utilizzati anche in assenza del consenso dell’utente (fermo restando l’obbligo di preventiva informativa) e i cookie non qualificabili come tecnici (poiché maggiormente invasivi nella sfera privata degli utenti se utilizzati per finalità di profilazione/ marketing) possono essere installati sui terminali degli utenti se questi vengono adeguatamente e preventivamente informati e prestano un valido consenso.

Cosa accade in Europa

La corretta applicazione dei principi appena espressi in tema di cookie – e, nella specie, circa la necessità del consenso – è sotto la lente di ingrandimento delle autorità privacy europee, le quali non risparmiano sanzioni pecuniarie in caso di violazioni.

In Francia, nel dicembre 2020, la Commissione Nazionale per l’Informatica e la Libertà (CNIL) ha multato Google.fr e Amazon.fr per ben rispettivamente 100 e 35 milioni di euro, per aver installato cookie di marketing e profilazione sui dispositivi di milioni di utenti senza richiedere l’esplicita autorizzazione da parte di questi ultimi, pratica contraria all’articolo 82 della legge dell’ordinamento francese sull’informatica e la libertà.

Oltre alla comminazione delle sanzioni, l’autorità francese ha disposto che le due big tech modificassero il loro banner informativo entro i successivi 3 mesi; in caso contrario, il CNIL potrà comminare una multa aggiuntiva di 100 mila euro per ogni giorno di mancato rispetto dell’ordine imposto.

Nell’ottobre 2019, l’Autorità spagnola per la Protezione dei Dati (AEPD) ha comminato una sanzione amministrativa a Vueling Airlines per una somma pari a Euro 30.000 euro per non aver richiesto il consenso sui cookie ai visitatori del proprio sito internet.  L’AEPD ha richiamato la decisione della Corte di giustizia dell’Unione europea del 10 settembre 2019 sui requisiti di consenso per l’uso dei cookie, la quale aveva stabilito che il consenso ottenuto mediante una casella a spunta o preselezionata non sarebbe più stato considerato valido, poiché non in linea con i requisiti per un consenso “affermativo” imposto dalla direttiva e-privacy e dal GDPR, prevedendo dunque l’obbligo per i gestori dei siti web, dal 1° ottobre 2019, di un consenso attivo sull’uso dei cookie.

Infine, nel luglio 2019, l’Autorità inglese per la Protezione dei Dati Personali (ICO), ha precisato nella propria relazione annuale 2018-2019 di aver emesso 23 avvisi di sanzioni pecuniarie per violazioni della legge sulla privacy e le comunicazioni elettroniche (“PECR”), legge che nel Regno Unito regola l’uso dei cookie e del marketing elettronico. Secondo tale relazione, il totale delle sanzioni imposte è stato di poco più di 2 milioni di sterline.

Cosa accade in Italia

Nello scorso dicembre 2020, il Garante Privacy ha avviato una consultazione pubblica in merito alle proprie linee guida emanate nel novembre 2020 sull’uso dei cookie da parte dei gestori dei siti e, dunque, non ancora definitive.

Secondo l’autorità italiana, è necessario intervenire nuovamente sul tema dei cookie e, in generale, sugli altri strumenti di tracciamento, in modo da integrare i propri precedenti interventi del 2014 e del 2015 (rispettivamente relativi all’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, ai chiarimenti forniti in merito all´attuazione della normativa in materia di cookie e alle linee guida in materia di trattamento di dati personali per profilazione on-line) anche alla luce delle indicazioni fornite dal Comitato che riunisce i Garanti europei (EDPB) nelle Linee guida del 4 maggio 2020 in materia di consenso, “rendendosi necessari chiarimenti sulle corrette modalità per rendere l’informativa online agli utenti della rete e acquisire, quando necessario, il loro consenso”.

In particolare, le novità più rilevanti introdotte dall’EDPB erano state il divieto di utilizzare i cosiddetti “cookie wall” (un meccanismo di “take it or leave it”, finestre simili a grandi muri che impediscono di utilizzare il sito web in assenza di consenso ai cookie) e il fatto che scorrimento e proseguimento della navigazione non siano più considerati meccanismi validi di raccolta del consenso. La finalità perseguita è quella di evitare che il comportamento istintivo dell’utente possa portare lo stesso ad accettare l’installazione di cookie in maniera inconsapevole.

Cookie: i chiarimenti dei Garanti Ue (in attesa del Regolamento ePrivacy)

Nelle ultime linee guida del novembre 2020, il Garante si è allineato alle indicazioni dell’EDPB specificando che:

  • lo scrolling è di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento;
  • il cookie wall è illecito, salva l’ipotesi nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del GDPR.

Nella pratica, al fine di informare l’utente dell’uso dei cookie, i siti web italiani devono lanciare un banner a comparsa immediata e di adeguate dimensioni. Tale banner deve essere corredato da un link che, rinviando a una pagina di approfondimento, spiega cosa sono i cookie, la tipologia dei dati raccolti e i tempi di conservazione degli stessi mediante un’informativa estesa che consenta all’utente di negare il proprio consenso all’uso dei cookie. Deve essere inoltre presente un comando (come una X) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione, mantenendo le impostazioni di default del sito.

Infine, il Garante ha sottolineato che è illecita la reiterazione della richiesta del consenso, tranne nel caso in cui mutino una o più delle condizioni alle quali è stato raccolto o quando sia impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo.

I prossimi passi

Alla luce delle varie iniziative (attraverso linee guida o attività di enforcement) delle diverse Autorità europee in tema di cookie, appare sempre più evidente l’urgenza di finalizzare l’iter di approvazione del Regolamento e-privacy (la cui bozza, è stata presentata ufficialmente dall’UE il 10 gennaio 2017) che, abrogando la Direttiva e-privacy, affiancherà il GDPR e introdurrà una normativa uniforme in tema di cookie senza la necessità di un recepimento da parte dei singoli Stati membri. L’ultima bozza di Regolamento e-privacy è stata presentata dalla presidenza portoghese del Consiglio europeo alle delegazioni degli Stati membri il 5 gennaio scorso.

Regolamento ePrivacy: a che punto siamo e cosa aspettarsi con la Presidenza tedesca

In tal modo, qualsiasi interrogativo ancora esistente circa l’idoneità di singole modalità di manifestazione del consenso, e il conseguente livello di protezione garantito all’utente, troverebbe risposta univoca ovunque quest’ultimo sia localizzato in Europa. O almeno, questo sarebbe l’obiettivo del Regolamento e l’auspicio di chi si trova ad applicarlo: un dubbio sul suo raggiungimento è lecito, data l’esperienza (ormai lunga più di due anni) di piena applicazione del GDPR, per il quale rimangono differenze di interpretazione (talvolta anche importanti) ma soprattutto di approccio tra le varie autorità europee, che non sempre riescono ad essere superate dai meccanismi previsti dallo stesso GDPR per una sua coerente applicazione all’interno dell’Unione.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati