Nuove linee guida cookie

Nuove linee guida cookie

da | 23 Lug 2021

Nuove linee guida cookie

Premessa

Il 10 luglio 2021, l’autorità italiana per la protezione dei dati (il “Garante Privacy”) ha approvato le nuove linee guida cookie e delle altre tecniche di tracciamento. Nel nuovo testo vengono definiti i cookie cd. “di autenticazione” e i titolari dei siti online avranno tempo fino al 10 gennaio 2022 per adeguarsi alle nuove linee guida cookie che vanno dallo stop al legittimo interesse fino all’acquisizione del consenso.

Quadro giuridico di riferimento

Il quadro giuridico di riferimento è infatti, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (di seguito Codice), quanto dal Regolamento, per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.

La funzione dei cookie

L’art.30 del Regolamento 2016/679 afferma espressamente che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Come è noto, i cookie sono di regola stringhe di testo che i siti web posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo. Questa caratteristica li fa definire “identificatori attivi

I terminali cui ci si riferisce sono, ad esempio, un computer, un tablet, uno smartphone, un dispositivi IoT, ovvero ogni altro dispositivo in grado di archiviare informazioni.

Ad esempio i browser (Chrome, Safari, Firefox, ecc…), possono memorizzare i cookie e in seguito trasmetterli nuovamente ai siti web che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.

Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

I cookie salvati all’interno dei nostri dispositivi, lasciano traccia nei siti web visitati. Ad esempio vengono utilizzati come dei conta-persone per misurare l’affluenza a un sito web. Le stesse informazioni possono permettere alle aziende di veicolare la pubblicità comportamentale  e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

Altri strumenti di tracciamento individuati nelle nuove linee guida cookie

Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti  che consentono di effettuare trattamenti analoghi a quelli sopra indicati, ma in modo “passivo“.

Tra questi strumenti è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità dei cookie, anche se con alcune non trascurabili differenze.

Nel caso dei cookie l’utente che non intenda essere profilato, ha anche la possibilità tecnica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo.

Diversamente, con riguardo al fingerprinting e agli altri identificatori “passivi”, l’utente non dispone di strumenti autonomamente utilizzabili per non essere profilato in quanto le informazioni derivano da dati intrinsecamente presenti nel dispositivo e sempre leggibili in fase di navigazione.

La classificazione di cookie ed altri strumenti di tracciamento

I cookie e anche gli altri strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale e dunque essere considerati in base alla loro durata (di sessione o permanenti).

E tuttavia la classificazione  si basa su due macro categorie:

i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);

i cookie di profilazione “non tecnica” utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Analogamente, esistono anche altri identificatori catalogabili secondo criteri diversi, ma tuttavia riconducibili alle medesime finalità: “tecnica” o “non tecnica”. Quest’ultima categoria é stata formulata secondo lo schema di una generale proibizione del trattamento dei dati degli interessati, salvo eccezioni rigorosamente e restrittivamente definite.

🎯 Cosa fare con Moview

Moview fornisce la consulenza tecnica per comprendere la situazione privacy in cui versa il tuo sito web ed in generale la tua azienda.

 

INFORMATI PRIMA CHE SIA TROPPO TARDI!

Applicazione

Per l’utilizzo di cookie e degli altri identificatori tecnici, in virtù della funzione assolta e nei limiti ed alle condizioni richiamate, il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa. Il loro utilizzo non comporterà l’obbligo di acquisizione del consenso dell’interessato.

I cookie e gli altri strumenti “non tecnici” potranno essere utilizzati esclusivamente previa acquisizione del consenso informato del contraente o utente. In nessun caso sarà pertanto possibile la “motivazione” del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.

La prova del consenso online nelle nuove linee guida cookie

Il c.d. “scrolling”

Al riguardo, deve essere innanzitutto ricordato che, secondo il considerando 32 del Regolamento, “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto.

Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

Ne consegue che il semplice “scroll down” non è adatto ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e non equivale al consenso “in nessuna circostanza”.

Tuttavia il legislatore lascia spazio alla possibilità che lo scrolling possa intervenire nella procedura di acquisizione del consenso, ma non è questa la sede per affrontare questa ipotesi.

Tale conclusione risulta tesa alla valorizzazione dell’accountability e al relativo potere di autonomia del titolare nell’identificazione delle soluzioni più appropriate per conseguire la conformità alle regole dei trattamenti di dati personali effettuati, il Garante invita i titolari a valutare con estremo rigore ogni possibile soluzione, anche di carattere tecnico, idonea ad essere interpretata e registrata come una forma di consenso espresso dall’utente per l’installazione dei cookie o per l’impiego di altri strumenti di tracciamento.

Qualora invece all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche anche sotto il profilo della consapevolezza per lo stesso utente, allora in nessun modo sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.

 

NO SCROLL DOWN

CONSENSO NON VALIDO SE AMBIGUO O NON DOCUMENTABILE

☠︎ Attenzione!!!

Più dell’80% dei Cookie plugin utilizzati nei siti web NON gestisce la funzione di DOCUMENTAZIONE del consenso richiesta dalle nuove linee guida Cookie.

Il tuo sito web è uno di questi?

Moview è in grado di dirti se il tuo sito web è adeguato alle nuove linee guida cookie e in caso contrario di risolverti il problema adeguandoti.

Le sanzioni amministrative non sono variate.

La sanzione amministrativa per l’installazione del cookie (o il suo uso per scopi ulteriori) senza il preventivo e conforme consenso va da 10.000 Euro a 120.000 Euro.

 

Il cookie wall

Ulteriori chiarimenti appaiono opportuni con riferimento al cd. cookie wall, intendendosi con tale espressione un meccanismo vincolante nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.

Tale meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal Regolamento, e segnatamente al suo art. 4, punto 11 con particolare riferimento al requisito della “libertà” del consenso, è da ritenersi illecito.

 

NO COOKIE WALL

La continua richiesta del consenso

Il legislatore pone attenzione soprattutto al meccanismo che vede la continua richiesta, attraverso il banner, del consenso dell’utente che ha già in precedenza manifestato il suo rifiuto. Tale comportamento salvo, la mutazione delle “terze parti”, l’impossibilità del gestore di memorizzare i cookie o il trascorere di un tempo non inferiore a 6 mesi dall’ultima espressione di volontà, sembra voler forzare l’utente a concedere il consenso per liberarsi del continuo assillo  

NO CONTINUA RICHIESTA

 

I cookie analytics di prima e terze parti – Nuove linee guida cookie

I cookie possono anche essere utilizzati per valutare l’efficacia di un sito web o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria o altre caratteristiche.

L’Autorità ha affermato, nel provvedimento del maggio 2014, che tali identificativi, definiti cookie analytics, possono essere ricompresi nella categoria di quelli tecnici, e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, se verranno poste in essere misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti”.

Affinché i cookie analytics siano equiparati ai tecnici è indispensabile precludere la possibilità di effettuare la diretta individuazione dell’interessato (cd. single out), il che equivale impedire l’impiego di cookie analytics che possano risultare identificatori diretti ed univoci.

La struttura del cookie analytics dovrà allora prevedere la possibilità che lo stesso cookie sia riferibile non soltanto ad uno, bensì a più dispositivi mascherando, ad esempio, opportune porzioni dell’indirizzo IP all’interno del cookie.

Il Garante sottolinea, inoltre, la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.

🎯 Come farlo con Moview

Moview fornisce sia gli strumenti tecnici per rimanere adeguato alla normativa sui Cookie che la consulenza e il software per implementare le disposizioni dettate dal Regolamento europeo GDPR. 

 

BASTA RINVIARE O SOTTOVALUTARE, E’ NECESSARIO FARE L’ADEGUAMENTO ADESSO!

Le novità in termini di informativa

I garante in fine ha posto l’attenzione sul tema delle informative, sia per quello che concerne la necessità che le stesse siano strutturate su più livelli e che contemplino una sempre più diffusa multicanalità come ad esempio, al sempre più diffuso ricorso a canali video, a pop-up informativi, a interazioni vocali, ad assistenti virtuali, all’impiego del telefono, al ricorso a chatbot, etc.

Conclusioni

Anche queste nuove linee guida cookie percorrono la strada di integrazione con le altre normative dedicate alla protezione dei dati personali, chiarendo e riordinando alcuni concetti fondamentali.

Caro imprenditore non è necessario diventare esperti in queste discipline tecnico-giuridiche, ma è certamente necessario informarsi e adeguare la propria impresa rapidamente.

Moview is a brand of Johnny Sabadin - VAT: IT02663500391 – REA: RA221450

Share This