Cookie, consenso degli interessati e informative.
Chi decide di aprire un eCommerce deve confrontarsi necessariamente con il problema del consenso dell’utente all’installazione dei cookie del sito sul proprio browser. E’ essenziale, poi, conoscere quali sono le corrette modalità di acquisizione di tale consenso e come redigere informative adeguate in ossequio alla nuova Cookie Law.
Definizione di Cookie
Sappiamo davvero cosa sono i cookie? I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall´utente inviano al suo terminale (di norma, il browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita dell’utente medesimo.
I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server e quanto altro. In sostanza si tratta di strumenti di “tracciamento della navigazione” in quanto in grado di identificare univocamente gli utenti di un sito.
I Cookie per il Gdpr
Secondo l’art. 4, n.1, del Gdpr anche un identificativo online può essere considerato come dato personale. Ciò implica che il cookie è a tutti gli effetti un dato personale ed è soggetto alla disciplina del Regolamento europeo sulla protezione dei dati personali.
In realtà, la norma citata si riferisce ai cookie “tecnici” ossia quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell´informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.
Tali cookie possono essere installati senza richiedere il consenso dell’utente; di conseguenza l’utilizzo di tutti i cookie “non tecnici” è subordinato all’acquisizione di un consenso espresso oltre che specifico degli interessati.
Le Linee Guida del Garante Privacy italiano 2014
Nell’affrontare la Cookie Law, si è visto che l’argomento cookie è disciplinato dall’art. 122 del D. Lgs. 196/2003 (c.d. Codice Privacy), emanato in attuazione della Direttiva e-Privacy del 2002. Si è anche detto che la normativa è integrata da provvedimenti del Garante privacy italiano che, per quanto non vincolanti, si rivelano estremamente utili per gli addetti ai lavori. Tra i summenzionati provvedimenti spiccano le Linee Guida del Garante del 2014 di cui al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884. Le Linee Guida del 2014 innanzitutto distinguono tra due macro-categorie di cookie: i cookie tecnici e i cookie di profilazione.
Cookie Tecnici e Cookie di Profilazione
I cookie tecnici – secondo la definizione delle Linee Guida – sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell´informazione esplicitamente richiesto dall’abbonato o dall´utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice Privacy). Per l´installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l´obbligo di dare l´informativa ai sensi dell´art. 13 del Codice Privacy, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.
I cookie di profilazione, invece, “sono volti a creare profili relativi all´utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell´ambito della navigazione in rete”. Ad essi si riferisce l´art. 122 del Codice Privacy nel prevedere che “l´archiviazione delle informazioni nell´apparecchio terminale di un utente o l´accesso a informazioni già archiviate sono consentiti unicamente a condizione che l´utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all´articolo 13, comma 3 del Codice”.
L’informativa con modalità semplificate
Con le Linee Guida del 2014, il Garante italiano ha chiarito cosa si intende per informativa con modalità semplificate ai sensi dell’art. 13, comma 3, Codice Privacy. In particolare, l’Autorità ha stabilito che – nel momento in cui l´utente accede a un sito web – deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l´utente può accedere al sito), integrata da un´informativa “estesa”, alla quale si accede attraverso un link cliccabile dall´utente.
La richiesta di consenso all´uso dei cookie deve essere inserita proprio nel banner contenente l´informativa breve. Tale banner deve essere di idonee dimensioni e riportare, oltre all’informativa breve, anche le seguenti indicazioni:
- che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
- che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
- il link all’informativa estesa, che deve contenere l’analitica specificazione dei cookie impiegati e delle finalità perseguite;
- l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
- l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso comporta la prestazione del consenso all’uso dei cookie.
Le Linee Guida del Garante Privacy Italiano 2021
Le Linee Guida del 2014 devono, però, ritenersi parzialmente superate a seguito dell’intervento del Comitato Europeo per la Protezione dei Dati (in inglese, “EDPB”) del 4 maggio 2020.
Infatti, con le Linee Guida 5/2020 di cui al link https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_it, l’EDPB ha chiarito che risulta contraria ai principi del Gdpr la pratica dei titolari di un sito web di condizionare l’accesso al sito al rilascio di apposito consenso all’installazione e uso dei c.d. “cookie wall”. Il “cookie wall” e cioè il “muro” che dovrebbe impedire l’accesso al sito sino a quando l’interessato non accetti i cookie è pertanto illecito.
L’EDPB ha anche precisato che il consenso dell’utente deve generalmente tradursi in una manifestazione inequivocabile di volontà; di talché azioni come lo scorrimento di una pagina web o attività simili, c.d. “scrolling”, poste in essere dall’utente per procedere nella navigazione, devono ritenersi inadeguate alla raccolta di idoneo consenso.
Nuove linee guida
In ragione degli intervenuti chiarimenti comunitari, il Garante Privacy italiano ha recentemente pubblicato le nuove Linee Guida che sono state oggetto di consultazione pubblica sino al 10 gennaio scorso https://www.garanteprivacy.it/documents/10160/0/Consultazione+sulle+%E2%80%9CLinee+guida+sull%E2%80%99utilizzo+di+cookie+e+di+altri+strumenti+di+tracciamento%E2%80%9D+-+Allegato+1+-+Linee+guida.pdf/72eab081-e4c4-4500-77c3-8b6957f8cd12?version=2.0.
Il Garante ha sottolineato che, sebbene il meccanismo di acquisizione del consenso online tramite presentazione di un banner sia da considerarsi tuttora valido, è necessario che i gestori dei siti web (e dunque anche di eCommerce) consentano all’utente – mediante accesso alla home page (o ad altra pagina) del sito web – di visualizzare immediatamente un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, in modo tale da permettere l’espressione di una azione positiva nella quale si sostanzi la manifestazione del consenso dell’interessato.
Viene quindi condivisa l’opinione dell’EDPB sullo scrolling, con la precisazione che lo stesso è ammissibile se costituisce una componente di un più articolato processo nel corso del quale l’utente sia in grado di generare un evento, registrabile e documentale presso server del sito, che possa qualificarsi come scelta inequivoca di prestare il proprio consenso ai cookie.
Infine, il Garante ha ribadito l’illiceità del cookie wall poiché non conforme ai requisiti richiesti dal Gdpr, con salvezza però dell’ipotesi – da verificare caso per caso – nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie.