Cookie: cosa cambia con le nuove Linee Guida del Garante Privacy

Home PA Digitale Cookie: cosa cambia con le nuove Linee Guida del Garante Privacy

Dal 9 gennaio 2022 sono operative le nuove Linee Guida del Garante Privacy sui cookie. Il provvedimento, che interessa tutti i siti web pubblici e privati, è del 10 giugno 2021: le pubbliche amministrazioni, come le aziende, hanno avuto dunque sei mesi di tempo per adeguarsi alle nuove indicazioni. Ma non sempre sono bastati. Vediamo dunque meglio cosa sono i famosi cookie e a che punto siamo con l’applicazione delle nuove regole

17 Marzo 2022

C

Patrizia Cardillo

Esperta di Protezione dati personali, Coordinatrice del Network dei RPD delle Autorità indipendenti

Photo by Conor Brown on Unsplash - https://unsplash.com/photos/H1uISjlRXJE

Le nuove Linee Guida del Garante Privacy sui cookie sono del 10 giugno 2021, ma sono operative dal 9 gennaio scorso. Il provvedimento interessa tutti i siti web pubblici e privati. Vediamo dunque meglio cosa sono i famosi cookie e a che punto siamo con l’applicazione delle nuove regole.

Ascolta l’articolo in podcast


Cosa sono i cookie

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi usati per la consultazione (computer, smartphone, tablet, smartTV, ecc.) per essere memorizzati e poi ritrasmessi agli stessi siti in occasione della visita successiva. I cookie semplificano e velocizzano gli accessi ai siti web da parte degli utenti memorizzando alcune informazioni che non vengono così più richieste dopo il primo accesso, oppure tengono traccia degli articoli già acquistati online o delle informazioni già inserite in un modulo informatico.

Ma i cookie, soprattutto, sono molto utili proprio ai soggetti che gestiscono i siti web, perché consentono la raccolta e il trattamento di diversi dati personali (indirizzo IP, nome utente, identificativo univoco o indirizzo e-mail) e non personali (impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito): informazioni che possono essere utilizzate a fini di marketing e di profilazione, e condivise eventualmente anche con terze parti.

Non solo: se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete, e quindi migliorarne la stessa operatività dei siti, sempre attraverso i cookie è possibile veicolare la pubblicità comportamentale[1]e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

Le Linee Guida sui cookie del Garante Privacy

Con il provvedimento del 10 giugno 2021 “Linee guida cookie e altri strumenti di tracciamento”[2], al termine  della consultazione pubblica, il Garante ha inteso adeguare le prescrizioni vigenti al nuovo quadro normativo introdotto dal regolamento europeo  2016/679 (di seguito: Regolamento) e far fronte alla continua e rapida innovazione tecnica e tecnologica delle reti e degli strumenti, ma soprattutto tener conto dell’evoluzione comportamentale degli stessi utenti della rete, che utilizzano sempre più spesso servizi (web, social media, app, ecc.) e strumenti plurimi (computer, tablet, smartphone, smartTV, ecc.), con il conseguente moltiplicarsi delle possibilità di raccolta e incrocio dei dati ad essi riferiti. Tale fenomeno determina la creazione di profili sempre più specifici e dettagliati e quindi più pervasivi che ha imposto, di conseguenza, al regolatore la necessità di predisporre un quadro rafforzato di tutele maggiormente orientate a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo.

Intervento dovuto in forza di un Regolamento che amplia e rafforza il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali, integrando la definizione di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo che la manifestazione di volontà espressa deve essere, oltre che libera, specifica ed informata, anche “inequivocabile”[3] ma pure esigendo che l’obiettivo della concreta ed efficace attuazione dei principi di protezione dati deve essere conseguito sin dalla progettazione e attraverso impostazioni predefinite (privacy by design e by default).

Le nuove Linee Guida sonooperative dal 9 gennaio 2022: sei mesi che dovrebbero aver consentito ad aziende e amministrazioni di adeguarsi alle nuove indicazioni proprio in considerazione della potenziale complessità di eventuali adeguamenti dei sistemi e dei trattamenti già in atto; difficoltà riconosciute dallo stesso Garante. Ma, ad oltre due mesi dall’effettiva entrata in vigore delle nuove regole, ogni giorno verifichiamo che non sempre è così.

Le novità delle Linee Guida del Garante Privacy

  • L’informativa
    • se ne rafforzano i contenuti: deve avere un linguaggio semplice ed essere facilmente accessibile (dislocata su più livelli o anche resa tramite più canali e modalità ad esempio con il ricorso a pop-up informativi, interazioni vocali, assistenti virtuali, contatto telefono, chatbot…) ma soprattutto deve rendere noti i criteri di codifica utilizzati da ciascun titolare per la classificazione dei cookie e degli altri strumenti di tracciamento che consenta di distinguere quelli tecnici dagli analytics o da quelli di profilazione;
    • si ne rafforza la visibilità: se il sito web utilizza SOLO cookie tecnici l’informativa deve essere collocata in home page o nell’informativa del sito;
    • si evidenziano le differenze: se il sito tratta anche altri cookie e altri identificatori “non tecnici”, occorre altresì rendere evidenti banner, a comparsa immediata e di adeguate dimensioni, che contengano:
      • l’indicazione che il sito utilizza, solo previo consenso dell’utente, i cookie non tecnici di profilazione o altri strumenti di tracciamento, di cui devono essere riportate anche le finalità del trattamento (informativa breve);
      • il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e le modalità dell’esercizio dei diritti di cui agli art. 15-22 del Regolamento;
      • l’avvertenza che la chiusura del banner (selezionando l’apposito comando di RIFIUTO) comporta comunque il permanere delle impostazioni di default e, sempre, la possibilità di continuare della navigazione.
  • Il consenso. Per la corretta acquisizione del consenso il banner dovrà contenere:
    • il comando per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo comunque le impostazioni di default;
    • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
    • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie o revocarlo se già espresso;
    • un comando per chiudere il banner senza prestare il consenso all’uso dei cookie;
    • gli utenti autenticati dovranno essere messi in grado di acconsentire specificatamente al tracciamento effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device.

In particolare, la richiesta del consenso può essere reiterata solo se sono trascorsi almeno 6 mesi dalla prestazione del precedente diniego, salvo nel caso in cui siano mutate significativamente le condizioni del trattamento oppure sia impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo. A tal fine, costituisce buona prassi, rendere noto all’utente lo stato dei consensi precedentemente resi consentendone l’eventuale modifica o aggiornamento.

I consensi già raccolti, purché conformi alle caratteristiche richieste dal Regolamento, potranno essere ritenuti validi a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque debitamente documentabili, anche mediante evidenze informatiche.

Da quanto sopra emerge che non possono essere usate artatamente alcune modalità oggi in essere per la raccolta del consenso quali:

  • lo scrolling di una pagina: ancora possibile esclusivamente nel caso in cui sia inserito in un processo più articolato, nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, tale da essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento;
  • il cookie wall: non è più possibile essere costretti ad esprimere il consenso per fruire dei contenuti del sito.  Ancora possibile solo nell’ipotesi – da sottoporre alla verifica, caso per caso, del rispetto dei principi del GDPR – in cui il sito offra all’interessato la possibilità di accedere, in caso consenso negato, ad un contenuto o a un servizio equivalenti.

Conclusioni: come rispettare le nuove Linee Guida sui cookie?

Occorre sempre precisare che il consenso all’impiego di cookie e altri strumenti di trattamento, per essere validamente espresso, deve, al pari di qualsiasi manifestazione di volontà dell’interessato al trattamento dei propri dati personali, rispettare tutti i requisiti imposti dal Regolamento e in primo luogo quello relativo all’obbligo, che grava sul titolare, di dimostrarne l’avvenuta, corretta acquisizione. Dato il regime di accountability, né nella disciplina di legge né nelle Linee Guida del Garante si prevede alcuna misura specifica circa le modalità per assicurare l’adempimento di tale obbligo: l’individuazione di misure è rimessa esclusivamente al titolare stesso.

Infatti anche le soluzioni suggerite dal Garante, in linea con le previsioni di legge, non sono tuttavia da considerarsi le sole che possano conseguire il duplice obiettivo di assicurare, per il tramite del trattamento, la conformità alle norme applicabili all’impiego di cookie e altri strumenti di tracciamento e la piena tutela degli interessati. In base del principio di accountability, infatti, compete comunque al titolare l’individuazione degli accorgimenti e delle soluzioni più idonee, eventualmente anche incrementando la trasparenza relativamente alle scelte rimesse all’interessato e privilegiando il ricorso a meccanismi di acquisizione del consenso online in grado di conseguire il più ampio livello possibile di standardizzazione.


[1] La pubblicità comportamentale (behavioural advertising) o pubblicità basata sugli interessi è una forma di pubblicità on line che prevede l’erogazione di messaggi pubblicitari personalizzati, e quindi più efficaci, mirati su interessi ed esigenze specifiche di chi utilizza un qualsiasi device.

[2] La procedura era stata avviata con la deliberazione del Garante n. 255 del 26 novembre 2020 con la quale è stato adottato uno schema di “Linee guida sull’utilizzo di cookie e altri strumenti di tracciamento”.

[3] Cfr. considerando 32 del Regolamento e il raffronto tra l’art. 2, lettera h) della direttiva 95/46/Ce e l’art. 4, punto 11) del Regolamento.

Su questo argomento

Il Responsabile del Trattamento dei Dati personali (RTD): chi è e che ruolo svolge