cookie, privacy, gdpr
Immagine di Martina Mastrogiacomo
Martina Mastrogiacomo

Cookie, le nuove linee guida del Garante Privacy

Il Garante per la Protezione dei Dai Personali ha varato un nuovo provvedimento teso a regolamentare l'impiego dei cookie e degli strumenti di tracciamento. Dalla gestione dell'informativa, passando per la trasparenza delle pratiche implementate, fino ad arrivare alla disciplina dei meccanismi di acquisizione del consenso: parliamo di aggiornamenti e integrazioni alle vecchie linee guida del 2014 ('Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie') nate alla luce degli sviluppi in materia di GDPR e a cui i titolari dei siti web dovranno adeguarsi entro i prossimi sei mesi.
Indice dei contenuti

Lo scorso 9 luglio è stato pubblicato sulla Gazzetta Ufficiale il provvedimento Linee guida cookie e altri strumenti di tracciamento’ approvato dal Garante per la Protezione dei Dati Personali. Si tratta di un aggiornamento resosi necessario a seguito delle novità sulla privacy introdotte dal Regolamento Europeo e a cui i proprietari di siti web dovranno allinearsi entro i prossimi sei mesi. Dalla gestione dei consensi alla limitazione di tracciatori particolarmente invasivi, vediamo quali sono gli aspetti tecnici e legali su cui si dovrà intervenire affinché gli adeguamenti rispettino le richieste delle nuove disposizioni.

Cosa sono i cookie

Nel linguaggio informatico un cookie è una piccola stringa testuale utilizzata per memorizzare i dati di chi naviga il sito web su cui sono installati. Quando un utente visita le pagine di un sito, compie un vero e proprio percorso lasciando una serie di tracce che forniscono informazioni sull’uso che fa dell’ambiente virtuale. L’incaricato di raccogliere i cookie è il browser da cui parte la navigazione, il quale raggruppa le informazioni dal sito web e le invia al server in cui i dati vengono archiviati. 

In generale, i cookie possono essere:

  • ‘di sessione’, ovvero attivi esclusivamente per la durata di una singola navigazione, per cui all’utente viene chiesto di accettare o rifiutare il consenso al tracciamento relativamente alla quantità di tempo che spende su uno specifico sito;
  • ‘permanenti’, cioè quei casi in cui la risposta di consenso o diniego data alla prima visita è valida anche per le volte successive in cui l’utente tornerà a navigare quel sito;
  • ‘di terze parti’ quando vengono creati da un sito diverso da quello che si sta visitando.
    •  

Tuttavia, i cookie presi in oggetto dalla nuova disciplina del Garante della Privacy sono quelli che possono essere ricondotti a due categorie principali: 

  • cookie tecnici: sono elementi informatici essenziali per assicurare all’utente una navigazione fluida ed efficiente e hanno, dunque, un ruolo esclusivamente funzionale. All’utente non è data l’opportunità di scegliere se acconsentire o meno perché, appunto, senza i cookie tecnici il sito web non sarebbe nelle condizioni di poter essere visitato agevolmente.
  • Cookie di profilazione: si pongono all’opposto dei cookie tecnici in quanto tracciano i comportamenti dell’utente e identificano le precise modalità con cui esso usufruisce degli spazi messi a disposizione dal sito. Il fine dei cookie di profilazione è prettamente promozionale, motivo per cui sono attivabili soltanto previo consenso esplicito di chi naviga. Le informazioni ricavate vengono impiegate nella realizzazione di cluster omogenei di utenti verso cui indirizzare messaggi pubblicitari mirati, creati sulla base delle evidenze comportamentali emerse dalla profilazione stessa.

Il perché del provvedimento

Abbiamo detto che i cookie rappresentano uno strumento nelle mani dei siti web per tenere traccia dei comportamenti online degli utenti. Negli anni però è emerso un acceso dibattito che vede in questi piccoli file di testo la potenziale miccia di una tendenza che rischierebbe di scavalcare il concetto di privacy, delineando un confine molto sottile tra il limite concesso nell’utilizzo dei sistemi di tracciamento e la violazione della riservatezza dell’utente. In virtù poi delle normative espresse dal GDPR, con le nuove linee guida il Garante della Privacy ha definitivamente sancito la necessità di ampliare il grado di trasparenza nei confronti degli utenti e, soprattutto, di difenderne il diritto di decidere arbitrariamente se concedere, negare o ripensare i consensi al trattamento dei propri dati su un sito web. 

Va specificato che oltre ai cookie, esistono una moltitudine di sistemi di tracciamento analoghi – anch’essi destinatari delle nuove linee guida – di cui vanno distinte due forme, quelle attive e quelle passive: 

  • il primo caso è quello dei cookie, in cui gli utenti che non intendono assecondare le richieste di profilazione possono scegliere di rifiutare il consenso o, addirittura, rimuovere autonomamente gli stessi cookie in virtù della loro archiviazione sui dispositivi da cui parte la navigazione.
  • i cosiddetti identificatori passivi, come il fingerprinting, limitano fortemente la libertà di scelta dell’utente perché si esplicano in un sistema basato sulla sola attività di osservazione delle specifiche configurazioni che identificano il dispositivo da cui si sta navigando. Ciò significa che – a differenza delle tecniche attive – gli strumenti passivi non archiviano informazioni all’interno del dispositivo dell’utente, ma ricorrono a una tecnica di lettura dall’esterno che identifica un certo profilo dati che sarà poi disponibile soltanto al titolare del sito. In casi analoghi l’utente non ha accesso alle informazioni rilevate e non può compiere alcun tipo di azione autonoma per revocare il permesso di tracciamento, dovendo necessariamente richiedere l’intervento del titolare del sito web. 
    •  

Il Garante della Privacy ha giustamente ritenuto fondamentale porre il focus sulla distinzione tra identificatori attivi e passivi al fine di regolamentare l’impiego della totalità dei sistemi attualmente presenti nel digitale. Per questo le linee guida si ritengono riferite tanto ai cookie quanto alle pratiche come il fingerprinting e simili.

Cos’è cambiato

Entriamo ora nel vivo della questione: quali sono gli aspetti su cui il Garante chiede di intervenire? Vediamoli punto per punto.

  • Consenso e informativa. Al fine di garantire consapevolezza e trasparenza, l’utente dovrà essere espressamente informato della presenza di cookie tecnici, a prescindere dal loro carattere di essenzialità. Discorso ancora più stringente va fatto per i cookie di profilazione e tutti gli strumenti di tracciamento utilizzati per finalità diverse da quelle tecniche: questi potranno essere utilizzati soltanto previo esplicito consenso informato dell’utente. Il Garante sottolinea l’invalidità del principio ‘silenzio, assenso’ legato allo stato di inattività dell’utente sul sito, in aggiunta alla legittimità delle pratiche che minano l’arbitrio dell’interessato, come ad esempio le caselle preselezionate. Infine, non si potrà più invocare il legittimo interesse del titolare del trattamento per utilizzare i sistemi di tracciamento.
  • Scrolling e Cookie Wall. L’azione di scrolling all’interno della pagina non è sufficiente a raccogliere il consenso all’installazione dei cookie di profilazione e degli altri strumenti di tracciamento. Tuttavia, il Garante non esclude che tale azione possa contribuire a formare le basi dell’acquisizione di un consenso valido se vista in un complesso di altri elementi che consentano all’utente di segnalare al titolare del sito la consapevolezza della propria scelta. Interviene qui il principio di valorizzazione dell’accountability che pone il titolare nella condizione di scegliere le soluzioni e gli strumenti tecnici più idonei per essere interpretati e verificabili come una valida forma di consenso. Medesimo discorso va fatto per il cookie wall, ovvero quella pratica in cui l’utente è obbligato da un banner che impedisce la visione ad esprimere il consenso, pena l’impossibilità di navigare il sito. In conclusione, sia nel caso dello scrolling che nel cookie wall, la soluzione per rispettare le nuove linee guida sarebbe quella di abbinare ai due sistemi – illegittimi se presi singolarmente – un altro strumento per acquisire un consenso più informato e sicuro.
  • Reiterazione del banner. Il Garante ha dichiarato lesivo alla libertà di scelta, la pratica di riproporre il banner per l’acquisizione del consenso ogni qualvolta un utente accede su un sito a cui ha in precedenza rifiutato l’installazione dei cookie. Tale pratica induce infatti il visitatore ad acconsentire anche se non d’accordo, pur di rimuovere la fastidiosa reiterazione della richiesta e navigare senza interruzioni. Le nuove linee guida stabiliscono che il primo feedback dell’utente, sia esso di consenso ad alcuni cookie sia esso di rifiuto, dovrà essere registrato al fine di evitare il ripetuto sollecito da parte del banner.
  • Meccanismo di acquisizione del consenso. L’attuale disciplina sulle modalità di acquisizione del consenso online mediante il banner resta sostanzialmente valida, con l’aggiunta di alcune migliorie necessarie alla luce della Regolamentazione Europea. Sarà necessario che tale banner non installi per privacy by default alcun tipo di cookie diverso da quelli tecnici prima che l’utente abbia espresso la sua scelta. Inoltre, dovrà essere di dimensioni adeguate con il pulsante di chiusura ben evidente e con presenza di omogeneità cromatica e grafica tra tutti gli altri pulsanti, allo scopo di mantenere neutralità ed evitare condizionamenti visivi. Il banner dovrà poi contenere una breve informativa che rimandi esplicitamente ad una sezione più approfondita nel footer, in cui l’utente potrà rimodulare le proprie scelte deselezionando i permessi ad alcuni cookie o revocando i consensi in toto e in cui reperire l’elenco aggiornato di eventuali funzionalità di cookie di terze parti. 
  • Cookie analytics. In precedenza, i cookie utilizzati per valutare l’efficacia del sito e analizzare il traffico di visitatori erano assimilati ai cookie tecnici, quindi non necessari di consenso per essere installati. Il nuovo asset normativo generale ha richiesto una rivisitazione di tale concezione al fine di tutelare maggiormente l’interessato e minimizzare il potere identificativo laddove il loro utilizzo avvenga da terze parti. In tal senso, il Garante ha deciso che sarà necessario prevedere la possibilità di riferire un cookie a più dispositivi per ‘confondere’ sulla reale identità informatica dell’utente: per fare ciò bisognerà lavorare sull’oscuramento di sezioni dell’indirizzo IP all’interno dei cookie.
  • Informativa. Ultimo aspetto su cui si sofferma il Garante è il miglioramento della comunicazione di un’informativa che sia conforme ai requisiti di trasparenza degli articoli 12 e 13 del Regolamento. Andranno fornite indicazioni su eventuali altri soggetti destinatari dei dati, sui tempi di conservazione delle informazioni e su come i soggetti possono esercitare i diritti previsti dal Regolamento stesso. L’informativa dovrà essere multilayer e multichannel, prevedendo la trasmissione anche su canali non tradizionali al fine di creare ulteriori touchpoint con gli utenti.
    •  

Clicca qui per leggere il provvedimento completo.


Articoli correlati:
  1. Le linee guida EDPB relative all’uso dei servizi cloud nel settore pubblico
  2. Sempre più cloud, senza dimenticare la privacy
  3. Hangout su cloud e diritti: nuove certezze, nuove domande
  4. WordPress cache Seeweb: velocità super e nuove funzionalità
  5. SSL e WordPress una guida per imparare a eliminare i mixed content
  6. Come ottenere un certificato SSL: guida alla scelta e all’attivazione

CONDIVIDI SUI SOCIAL

Altri articoli da non perdere

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

97 − = 92