Cookies e strumenti di tracciamento: disposizioni normative e linee guida del Garante della Privacy
Con la pubblicazione della circolare n. 5 del 14 febbraio 2022 dal titolo “La disciplina sull’utilizzo dei cookie e degli altri strumenti di tracciamento”, Assonime evidenzia il quadro delle disposizioni normative che regolano la materia e analizza le regole operative contenute nelle nuove Linee guida che il Garante della protezione dei dati personali suggerisce di adottare, al fine di garantire la conformità alla normativa vigente del trattamento dei dati raccolti attraverso l’installazione di cookie o di altri strumenti di tracciamento.
Vengono illustrati i punti principali delle nuove linee guida del Garante e in particolare viene spiegato come raccogliere il consenso dell’utente a un più ampio utilizzo dei suoi dati e come impostare il cookie banner.
In particolare la circolare evidenzia che la disciplina sull’utilizzo dei cookie e degli altri strumenti di tracciamento è contenuta in più fonti normative. Nel quadro regolatorio rappresentato dalla normativa generale in tema di trattamento dei dati personali si inseriscono le previsioni speciali che tutelano la vita privata nel settore delle comunicazioni elettroniche.
Ovviamente lo sviluppo di nuove tecnologie che consentono di trattare rilevanti quantità di dati personali espone l’individuo a un maggior rischio di violazione della sua privacy. Gli strumenti volti a memorizzare l’interazione tra l’utente e il dispositivo, se da un lato sono necessari per garantire una migliore navigazione nella rete e un livello di maggiore efficienza del servizio, dall’altro possono servire a creare profili relativi all’utente. Pertanto, il loro impiego è condizionato al rispetto dell’obbligo dell’informativa e, laddove diano luogo ad attività di profilazione, anche dell’obbligo del consenso dell’utente.
La circolare analizza le regole operative contenute nelle nuove Linee guida che il Garante della protezione dei dati personali suggerisce di adottare, al fine di garantire la conformità alla normativa vigente del trattamento dei dati raccolti attraverso l’installazione di cookie o di altri strumenti di tracciamento.
Disciplina applicabile ai cookies
L’articolo 122 del Codice privacy con riguardo al trattamento dei dati derivante dall’utilizzo di cookie dispone che l’archiviazione delle informazioni nell’apparecchio terminale dell’utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che l’utente abbia espresso il proprio consenso, dopo essere stato informato.
Questa regola prevede due eccezioni:
- quando l’archiviazione di informazioni o l’accesso alle informazioni già archiviate è finalizzata unicamente ad effettuare la trasmissione di una comunicazione;
- nella misura strettamente necessaria ad erogare un servizio esplicitamente richiesto dall’utente.
In entrambi i casi si tratta di utilizzare i cookie per finalità tecniche che vengono cancellati automaticamente alla fine della sessione di navigazione oppure permangono per un breve periodo di tempo nell’eventualità che l’utente chiuda inavvertitamente il sito. Per l’utilizzo di tali cookie tecnici è sufficiente fornire all’utente, al momento del primo accesso al sito, idonea informativa circa il loro impiego e la loro funzione.
Acquisizione del consenso on line
Per installare cookie di profilazione nel dispositivo dell’utente, il titolare del trattamento è assoggettato all’obbligo di acquisire il consenso.
Rispetto a quanto previsto dalla direttiva 95/46/Ce, il Regolamento ha modificato la definizione di consenso, chiarendo che la manifestazione di volontà dell’interessato oltre ad essere libera, specifica e informata deve essere anche ‘inequivocabile’. Da questo discende che non dovrebbe configurare un consenso il silenzio, l’inattività o la preselezione di caselle. Qualora il trattamento abbia ad oggetto finalità diverse, il consenso dovrebbe essere prestato per ciascuna di esse. Se il consenso è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
In tema di acquisizione del consenso online, le nuove Linee guida analizzano alcune modalità che più spesso vengono utilizzate nel contesto informatico, al fine di fornire alcuni chiarimenti anche alla luce del parere adottato dall’EDPB nel 2020. In particolare la circolare precisa che:
- lo scrolling, cioè il semplice scorrimento del cursore nella pagina, può essere utilizzato come componente del più ampio processo di acquisizione del consenso che consente all’utente di segnalare al titolare del sito, ad esempio con la generazione di un preciso pattern, la sua scelta al trattamento. In tal caso, tuttavia occorre limitare la possibilità che azioni casuali possano essere interpretate come espressioni consapevoli di consenso;
- il cookie wall, cioè il meccanismo per cui l’utente è posto davanti alla scelta di rilasciare il consenso all’installazione di cookie di profilazione oppure di trovarsi nell’impossibilità di accedere al sito o usufruire di un servizio, sarebbe illecito e da verificare caso per caso, in cui lo stesso titolare del sito dia all’interessato, che non esprime il consenso, la possibilità di accedere a contenuti o servizi equivalenti;
Il consenso va richiesto nel momento del primo accesso al sito. Tuttavia, nel caso in cui l’utente neghi il consenso, nella prassi una nuova richiesta viene solitamente riproposta ad ogni successivo accesso dell’utente al medesimo sito, compromettendo così la fluidità della navigazione.
La circolare fornisce infine, le indicazioni operative su come impostare il cookie banner e le condizioni per l’utilizzo dei cookie analytics.
Business Defence, nel pieno rispetto della normativa vigente, ha applicato tutte le procedure necessarie alle impostazioni dei cookies su tutte le piattaforme in proprio possesso.