Come rendere compliance al Regolamento UE 679/16 i sistemi di tracciamento
I PARTE
Parlare di “HTTP cookie” non è facilissimo, soprattutto perché l’argomento si caratterizza per aspetti tecnici -informatici che un po’ esulano dalla professione strettamente legale del consulente privacy.
E utile dare prima una definizione di Cookie per poi valutare le implicazioni del GDPR su questi “biscotti”.
“Cookie”, letteralmente significa “biscotto” e deriva dal magic cookie (biscotto magico) una tecnica nota in ambiente UNIX già negli anni ’80 utilizzata nei meccanismi di identificazione di un client presso un server.
I “cookies” sono piccoli file di testo, creati automaticamente al momento dell’accesso di un Utente a un determinato sito, che servono ad eseguire autenticazioni informatiche, a monitorare di sessioni e memorizzare informazioni specifiche dell’Utente stesso.
Le varie norme che disciplinano tale meccanismo sono contenute in diverse fonti, tra cui l’art122 del nostro Codice Privacy nonché dagli artt. 4, punto 11) e 7 e al considerando 32 del Regolamento 679/2016 quanto dal Regolamento quanto alla nozione di consenso di cui come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.
Ed invero, il Regolamento 679/16, come precisato all’art. 95, “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”, la quale espressamente prevede, all’art. 1, par. 2, che “le disposizioni della presente direttiva precisano e integrano [il Regolamento (EU) 2016/679] …”.
Evidente quindi l’intento del GDPR di voler affidare al soggetto, persona fisica, il pieno controllo con riferimento al trattamento delle sue informazioni personali, in particolar modo integrando la definizione di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo che la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che – come appunto già nel vigore della direttiva – libera, specifica ed informata, anche “inequivocabile”.
Considerata la particolare invasività che i cookie (soprattutto quelli di profilazione e di terze parti) possono avere nell´ambito della sfera privata degli utenti, la normativa europea e italiana prevedono che l´utente debba essere adeguatamente informato sull´uso degli stessi ed esprimere il proprio valido consenso all´inserimento dei cookie sul suo terminale.
In proposito il Garante, come è noto, ha già adottato un provvedimento (provvedimento n. 229, dell’8 maggio 2014 – [doc web n. 3118884]), teso a “individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati” come pure a “fornire idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge”, le cui indicazioni necessitano ora di essere integrate e precisate, in particolare con riferimento a taluni, specifici aspetti (al fine di agevolare i titolari del trattamento nella corretta applicazione del citato quadro regolamentare come specificato dal richiamato provvedimento del maggio 2014 e dalle presenti Linee guida, si allega a queste ultime una tabella riassuntiva delle indicazioni contenute in entrambi i provvedimenti).
Da tale provvedimento emerge che qualora un sito utilizzi cookie per finalità di profilazione e marketing dovrà essere indicato all’Utente l’utilizzo di un cookie di profilazione, cookie di terze parti, la possibilità di acconsentire o meno a tale utilizzo di questi cookie.
In argomento, è bene segnalare ancora al lettore che la Corte di giustizia dell’Unione europea, in seguito agli aggiornamenti di maggio 2020 del Comitato europeo per la protezione dei dati (EDPB) ha emanato nuove linee guida “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” – contenute nel documento del 26 novembre 2020.
Si ricorda infine al lettore che la mancata osservanza delle indicazioni in merito all’utilizzo dei cookie potrebbe portare l’azienda a pesanti sanzioni che possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato totale annuo.
II PARTE
Nel precedente contributo in argomento, abbiamo approfondito la funzione di tali sistemi di tracciamento imparando che tali stringhe di testo sono utilizzati dalle applicazioni web lato server per archiviare e recuperare informazioni a lungo termine sul lato client.
Le applicazioni più comuni riguardano la memorizzazione di informazioni sulle abitudini dell’utente stesso all’interno dei siti web che visita.
Per completare il tema, è opportuno illustrare la diversa natura dei cookie cui l’Utente può imbattersi durante la navigazione tra i vari siti internet.
Diverse le tipologie dei Cookie.
Esistono i cd cookie tecnici che servono per la funzionalità dello stesso sito e possono intervenire a facilitare alcune procedure, per es. quando l’utente procede con la propria autenticazione o quando un sito web riconosce in automatico la lingua che utilizzi di solito.
I cookie, detti analytics, sono poi utilizzati dai gestori dei siti web per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso, e quindi elaborare statistiche generali sul servizio e sul suo utilizzo.
I cookie di profilazione possono invece essere utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (la cd: La pubblicità comportamentale (behavioural advertising) o pubblicità basata sugli interessi per allo inviare pubblicità di prodotti e servizi mirati e personalizzati.
Attraverso questa tipologia di cookie, gli spazi web riconoscono il dispositivo dell’utente con il quale ci si collega e sono utilizzati per inviare messaggi promozionali “profilati” in base alle ricerche che un determinato utente ha svolto.
Una differente categoria sono poi i cosiddetti cookie terze parti, di solito utilizzati a fini di profilazione, e che si hanno quando una pagina web contiene cookie provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa, come ad esempio banner pubblicitari, immagini, video, ecc.
Secondo le disposizioni del GDPR, il Titolare del sito internet, a seconda dei cookie utilizzati, dovrà fornire non solo una privacy policy estesa ma anche un’accurata cookie policy in cui spiega, nel dettaglio, la tipologia dei cookie in uso, dovendo prevedere uno specifico consenso informato e consapevole in caso di cookie di profilazione.
Tale obbligo discende dalla norma, tuttora applicabile alla fattispecie, ossia l’art. 122, par 1 e 2 del Codice privacy
1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
Il Garante ha ribadito, in tema, che l’impianto teso alla individuazione della modalità tecnica per l’acquisizione del consenso online per il tracciamento a mezzo cookie illustrato nel provvedimento del maggio 2014 sia da ritenersi tuttora valido, anche nel mutato assetto normativo che privilegia ed impone ai titolari di agire in ossequio al nuovo regime di accountability (art. 5, par. 2 del Regolamento).
Sul punto, già nelle FAQ del Garante privacy in materia di informativa e consenso per l’uso dei cookie del 3 dicembre 2014 si è affermato che qualora le soluzioni adottate ai fini della raccolta del consenso all’installazione e all’utilizzo di cookie (tra cui il c.d. scrolling o il c.d. cookie wall) “siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”, idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento, esse saranno da ritenersi “in linea con i requisiti di legge”.