Indice
Una scadenza “alle porte”
Premessa
Com’è noto recentemente il Garante della protezione dei dati personali è tornato ad affrontare in maniera organica la tematica dei cookie. Le nuove Linee guida, senz’altro apprezzabili per la coerenza e chiarezza espositiva, aggiornano il precedente intervento del 2014 fornendo delle specificazioni ed integrazioni relative al trattamento dei dati personali nel contesto della “navigazione online”.
In particolare i titolari dei siti internet (ma non solo questi) avranno tempo fino al 9 Gennaio 2022 per potersi adeguare alle nuove prescrizioni dell’Autorità. L’inosservanza comporterà l’applicazione delle sanzioni previste dalla normativa di riferimento.
Perché si è reso necessario un nuovo intervento sul tema da parte dell’Autorità Garante?
La motivazione che ha spinto l’Autorità Garante della Protezione dei dati personali a tracciare delle nuove Linee Guida sui cookie (e sugli altri strumenti di tracciamento) è da rinvenire essenzialmente nell’esigenza di integrare e specificare alcune tematiche che ad oggi risultano preminenti.
Infatti, come chiaramente espresso nelle considerazioni preliminari del suddetto documento, dal 2014 non solo è mutato il quadro normativo (si pensi all’entrata in vigore del Regolamento UE 2016/679 – GDPR) ma è anche cambiato il contesto tecnologico e l’approccio degli utenti nei confronti dei sistemi di comunicazione. In questo senso il proliferare di strumenti sempre più pervasivi è stato accelerato dalla “risposta” resa dagli utenti, sempre più inclini alla moltiplicazione delle loro identità digitali e dei loro devices.
Non solo. L’esigenza di specificare ed integrare le “vecchie” Linee guida è stata anche determinata dall’esperienza maturata durante l’attività di monitoraggio eseguita dalla stessa Autorità sulla “concreta e corretta implementazione delle regole prescritte”.
Cosa è cambiato rispetto alle Linee Guida del 2014?
A livello di contenuto si può affermare che le nuove Linee Guida, se da un lato ribadiscono (precisandoli) alcuni concetti fondamentali già presenti nel precedente intervento, dall’altra introducono delle importantissime novità a livello di applicazione dei principi contenuti nel GDPR.
In un’ottica di continuità con il passato viene ribadita la descrizione della funzione dei cookie e mantenuta l’originaria classificazione degli stessi per soggetto (“prima parte” e “terza parte”), per durata (“di sessione” e “permanenti”), per finalità (“tecnici” e “non tecnici”).
Parlando di basi giuridiche del trattamento viene poi confermata l’esigenza dell’acquisizione del consenso qualora si utilizzino i cookie diversi da quelli tecnici (anche se con un distinguo per quanto concerne la categoria degli analitici).
Continuando con l’approccio “tassonomico” si rinviene un più specifico riferimento agli “altri strumenti di tracciamento”, cioè a quei sistemi che consentono di effettuare trattamenti analoghi a quelli eseguiti a mezzo dei cookie.
L’Autorità Garante distingue in questo senso gli identificatori “passivi” (all’interno dei quali si pongono i cookie) da quelli “attiviti” (come, ad esempio, le tecniche di fingerprinting) ponendo particolare attenzione su quest’ultimi. Gli identificatori attivi, infatti, a differenza di quelli passivi, si basano sulla “mera osservazione” della configurazione del dispositivo dell’utente, e non presuppongono dunque l’archiviazione di informazioni all’interno dello stesso.
Con riferimento invece alle novità di maggior rilievo si evidenziano quegli interventi che si pongono in perfetta linea con i principi cardine del GDPR (tra cui l’accountability, la privacy by design e by default, la trasparenza, l’importanza del consenso).
L’Autorità Garante rende, infatti, dei chiarimenti e delle utilissime chiavi di lettura sulle modalità di acquisizione del consenso online soffermandosi su argomenti particolarmente delicati come il c.d. “scrolling” e il c.d. “cookie wall”. Entrambe le ipotesi (in un’ottica senz’altro “più aperta” rispetto anche all’EDPB) non vengono escluse “a priori” ma si ritiene possibile il loro utilizzo a condizione che vegano rispettati determinati requisiti e sempre secondo un approccio fondato sull’accountability (vera e propria “pietra angolare”, insieme al considerando 32 del GDPR, per l’interpretazione ed applicazione concreta).
Sempre in ordine al consenso online le Linee guida si pongono poi in una prospettiva di estrema valorizzazione delle scelte effettuate dall’utente ritenendo che la “ridondante ed invasiva riproposizione del consenso […] attraverso un meccanismo basato sulla presentazione del banner ad ogni nuovo accesso” sia suscettibile di incidere negativamente sulla libertà dell’utente stesso. Per questo motivo l’Autorità prevede che un’ulteriore richiesta di consenso ai cookie debba essere rilasciata solo in particolari casi.
Altro aspetto degno di nota è il riferimento ai concetti di privacy by design e by default durante le modalità di acquisizione del consenso.
Forse più degli altri l’applicazione di questi due ultimi principi ha dei notevoli impatti sulla configurazione e sulla progettazione della struttura del sito web perché va ad incidere su molteplici aspetti.
Si pensi, a titolo esemplificativo, che dal punto di vista funzionale si devono osservare alcune prescrizioni, ossia: a) senza il consenso nessun cookie o altro strumento diverso da quelli tecnici può essere posizionato all’interno del dispositivo dell’utente e che non può essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento; b) l’utente deve essere posto in condizione di modificare le scelte compiute; c) il consenso eventualmente acquisito deve essere conservato per un certo periodo di tempo e che ciò sia dimostrabile; d) la congruità del banner dovrà essere visualizzata in maniera uniforme su vari dispositivi (pc, tablet, smartphone).
Ed ancora, dal punto di vista “grafico”, è necessario che il banner contenente l’informativa breve sia per formato, dimensione e colore tale da “costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando”.
Infine ma non meno importante è il riferimento al principio della trasparenza nella resa delle informazioni all’utente ai sensi dell’art. 12 e 13 del GDPR.
Ci sono dei punti problematici che le Linee Guida lasciano in sospeso?
In effetti nell’ultimo paragrafo delle Linee Guida il Garante prende coscienza di alcune carenza definite della stessa Autorità di “cruciale rilievo”. In particolare ci si riferisce al fatto che:
- “non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguerli oggettivamente” in base alle categorie sopra indicate;
- “è stato riscontrato che alcuni cookie possono avere esiti diversi di posizionamento a seconda del browser utilizzato”
Si auspica dunque che in tempi brevi vengano risolte tali lacune nell’ottica di una definizione di criteri generali che possano essere seguiti dai titolari del trattamento.
Cosa dovrà fare il titolare di un sito per adeguarsi alle nuove Linee Guida?
Per prima cosa ritengo che, senza una specifica conoscenza tecnica e legale sul tema, sia sconsigliabile optare per soluzioni “fai da te”. Un suggerimento senz’altro utile per i titolari dei siti web potrebbe essere quello di far riferimento al supporto sinergico di un professionista che si occupa di tematiche connesse al trattamento dei dati personali e di una web agency che abbiano maturato un’adeguata esperienza sul tema.
Solo attraverso l’interazione e collaborazione di queste due figure sarà possibile comprendere in maniera compiuta le tematiche e le problematiche da risolvere.
Si possono utilizzare programmi informatici per conformarsi alle prescrizioni contenute nelle Linee Guida?
Dal mio modesto punto di vista credo che, sebbene il mercato offra delle ottime soluzioni, un approccio esclusivamente automatizzato rischia di non cogliere tutte le sfumature relative alle problematiche che si possono porre durante tale attività di adeguamento.
Sicuramente alcune soluzioni sono un ottimo ausilio sia nella fase di individuazione dei cookie ma anche nella gestione degli stessi. Tuttavia, a mio parere, queste da sole non sono completamente sufficienti.
Insomma nel bene o nel male in questo settore l’intervento della componente umana è ancora oggi necessaria. Probabilmente il futuro (forse anche prossimo) ci riserverà delle sorprese rendendo superfluo anche la redazione di articoli come il presente.
