Uso dei cookie in relazione alla GDPR

Uso dei cookie in relazione alla GDPR – I parte
(Come rendere compliance al Regolamento UE 679/16 i sistemi di tracciamento – I PARTE)

Parlare di “HTTP cookie” non è facilissimo, soprattutto perché l’argomento si caratterizza per aspetti tecnici -informatici che un po’ esulano dalla professione strettamente legale del consulente privacy.

Partiamo quindi dalla definizione dei famosi “biscotti” per poi approfondire come il GDPR ha impattato sull’argomento.

Il termine “cookie”, che letteralmente significa “biscotto”, deriva dal magic cookie (biscotto magico) una tecnica nota in ambiente UNIX già negli anni ’80 e tipicamente utilizzata per implementare meccanismi di identificazione di un client presso un server, come ad esempio l’autenticazione del server X Window System.

I “cookies” sono piccoli file di testo, creati automaticamente al momento dell’accesso a un determinato sito, aventi lo scopo di eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche riguardanti l’Utente di un sito internet e la sua visita.

I server inviano i cookie nella risposta HTTP al client e ci si aspetta che i web browser salvino e inviino i cookie al server, ogni qual volta si facciano richieste aggiuntive al web server.

Tale riconoscimento permette di realizzare meccanismi di autenticazione usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull’aspetto grafico o linguistico del sito; di tracciare la navigazione dell’utente, ad esempio per fini statistici o pubblicitari; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico.

Il quadro giuridico di riferimento è, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/Ce (cd. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (di seguito Codice), quanto dal Regolamento, per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.

Da un lato deve essere infatti considerato che il Regolamento, come precisato all’art. 95, “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”, la quale espressamente prevede, all’art. 1, par. 2, che “le disposizioni della presente direttiva precisano e integrano [il Regolamento (EU) 2016/679] …”.

D’altro canto, non può essere sottovalutato come il Regolamento UE 679/16 abbia inteso ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali, in particolar modo integrando la definizione di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo che la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che – come appunto già nel vigore della direttiva – libera, specifica ed informata, anche “inequivocabile” 1 , ma pure esigendo che l’obiettivo della concreta ed efficace attuazione dei principi di protezione dati venga attuato sin dalla progettazione e attraverso impostazioni predefinite (cd. privacy by design e by default).

I cookie possono dunque svolgere importanti funzioni tra le più disparate, compresi l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico. I cookie cd. “di autenticazione” sono di particolare importanza ogni qualvolta sia necessaria una verifica in ordine al soggetto che accede a determinati servizi, come ad esempio quelli bancari.

Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete – in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario. 

Considerata la particolare invasività che i cookie (soprattutto quelli di profilazione e di terze parti) possono avere nell´ambito della sfera privata degli utenti, la normativa europea e italiana prevedono che l´utente debba essere adeguatamente informato sull´uso degli stessi ed esprimere il proprio valido consenso all´inserimento dei cookie sul suo terminale.

In proposito il Garante, come è noto, ha già adottato un provvedimento (provvedimento n. 229, dell’8 maggio 2014 – [doc web n. 3118884]), teso a “individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati” come pure a “fornire idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge”, le cui indicazioni necessitano ora di essere integrate e precisate, in particolare con riferimento a taluni, specifici aspetti (al fine di agevolare i titolari del trattamento nella corretta applicazione del citato quadro regolamentare come specificato dal richiamato provvedimento del maggio 2014 e dalle presenti Linee guida, si allega a queste ultime una tabella riassuntiva delle indicazioni contenute in entrambi i provvedimenti).

In particolare, con tale provvedimento il Garante per la protezione dei dati personali ha stabilito che quando si accede alla home page o ad un’altra pagina di un sito web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) che il sito consente anche l’invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;

4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un´altra area del sito o selezionando un´immagine o un link) si presta il consenso all´uso dei cookie.

Si segnala ancora che con la sentenza della Corte di giustizia dell’Unione europea del 1° ottobre 2019 in merito all’applicazione del GDPR e in seguito agli aggiornamenti di maggio 2020 del Comitato europeo per la protezione dei dati (EDPB) sono state emanate delle importanti indicazioni in merito all’impiego dei cookie. 

Queste nuove linee guida “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” – contenute nel documento del 26 novembre 2020 – predispongono che vi sia un’azione inequivocabile da parte dell’utente in merito alla concessione dei propri dati.

Si ricorda infine al lettore che la mancata osservanza delle indicazioni in merito all’utilizzo dei cookie potrebbe portare l’azienda a pesanti sanzioni che possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato totale annuo.


Uso dei cookie in relazione alla GDPR
(Come rendere compliance al Regolamento UE 679/16 i sistemi di tracciamento – II PARTE)

Nel precedente contributo in argomento, abbiamo approfondito la funzione di tali sistemi di tracciamento imparando che tali stringhe di testo sono utilizzati dalle applicazioni web lato server per archiviare e recuperare informazioni a lungo termine sul lato client.

Le applicazioni più comuni riguardano la memorizzazione di informazioni sulle abitudini dell’utente stesso all’interno dei siti web che visita. 

Per completare il tema, è opportuno illustrare la diversa natura dei cookie cui l’Utente può imbattersi durante la navigazione tra i vari siti internet.

Nella comune classificazione, troviamo le seguenti tipologie di Cookie.

– Cookie Tecnici: questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie, persistenti e di sessione. Quelli persistenti, una volta chiuso il browser, non vengono distrutti ma rimangono fino ad una data di scadenza preimpostata mentre quelli di sessione vengono distrutti ogni volta che il browser viene chiuso.

Questi cookie, inviati sempre dal dominio del sito di navigazione, sono necessari a visualizzare correttamente il sito e in relazione ai servizi tecnici offerti, verranno quindi sempre utilizzati e inviati, a meno che l’utenza non modifichi le impostazioni nel proprio browser (inficiando così la visualizzazione delle pagine del sito).

– Cookie analitici: i cookie di questa categoria vengono utilizzati per collezionare informazioni sull’uso del sito e queste informazioni sono utilizzate dal gestore del sito in merito ad analisi statistiche anonime al fine di migliorare l’utilizzo del sito e per rendere i contenuti più interessanti e attinenti ai desideri dell’utenza. Questa tipologia di cookie raccoglie dati in forma anonima sull’attività dell’utenza e su come è arrivata sul sito. I cookie analitici sono inviati dal sito stesso o da domini di terze parti.

– Cookie di analisi di servizi di terze parti: questi cookie sono invece utilizzati al fine di raccogliere informazioni sull’uso del sito da parte degli utenti in forma anonima quali: pagine visitate, tempo di permanenza, origini del traffico di provenienza, provenienza geografica, età, genere e interessi ai fini di campagne di marketing. Questi cookie sono inviati da domini di terze parti esterni al gestore del sito.

– Cookie di profilazione: sono cookie necessari a creare profili utenti al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente all’interno delle pagine del sito.

Dal punto di vista del Regolamento GDPR, per l’impiego di cookie tecnici, in virtù della funzione assolta e nei limiti ed alle condizioni richiamate, il titolare del trattamento sarà assoggettato al solo obbligo di fornire l’informativa, anche eventualmente inserita all’interno dell’informativa di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato; i cookie di profilazione e gli altri strumenti di tracciamento potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. 

E ciò in base alla norma tuttora applicabile alla fattispecie, ossia l’art. 122 del Codice, ai sensi del quale:

“1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.

  1. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.

(…)

Questa disposizione è stata introdotta nell’ordinamento nazionale a seguito del recepimento della direttiva ePrivacy n. 2002/58/Ce, precedente rispetto alla data della piena operatività degli effetti del Regolamento e anch’essa, al pari delle norme di diritto interno che la recepiscono, tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche.

Ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva ePrivacy, molte attività di trattamento devono dunque essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento 679/16, con la specificazione tuttavia che, per la parte di potenziale sovrapposizione – in virtù del rapporto di genus a species sussistente tra le due discipline e di quanto disposto dall’art. 1, par. 2, della direttiva ePrivacy, il quale chiarisce proprio come le norme di questa precisino e integrino quelle del Regolamento – ogniqualvolta la direttiva renda più specifiche le regole del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento GDPR. 

Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti3.

Ad esempio, è nella direttiva ePrivacy che, nei casi previsti, si rinviene l’obbligo di acquisizione del consenso all’impiego di cookie e altri identificativi; ma è nel Regolamento che andranno ricercate le specifiche caratteristiche di quel consenso ai fini della sua validità e conformità alla disciplina generale.

Il Garante ha ribadito, in tema, che l’impianto teso alla individuazione della modalità tecnica per l’acquisizione del consenso online per il tracciamento a mezzo cookie illustrato nel provvedimento del maggio 2014 sia da ritenersi tuttora valido, anche nel mutato assetto normativo che privilegia ed impone ai titolari di agire in ossequio al nuovo regime di accountability (art. 5, par. 2 del Regolamento).

Sul punto, già nelle FAQ del Garante privacy in materia di informativa e consenso per l’uso dei cookie del 3 dicembre 2014 si è affermato che qualora le soluzioni adottate ai fini della raccolta del consenso all’installazione e all’utilizzo di cookie (tra cui il c.d. scrolling o il c.d. cookie wall) “siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”, idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento, esse saranno da ritenersi “in linea con i requisiti di legge”.

Eleonora Mataloni

Condividi
Cart
Your cart is currently empty.