L’Autorità Garante per la protezione dei dati personali ha pubblicato in Gazzetta Ufficiale (n. 163 del 9 giugno 2021) la nuova versione delle linee guida sui cookie. L’obiettivo è rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. I titolari dei siti web hanno sei mesi di tempo per adeguare i propri siti.
Cosa sono i Cookie
Un cookie è un piccolo file, memorizzato nel computer dai siti web dell’utente durante la navigazione, utile a salvare le preferenze e a migliorare la navigazione. In questo modo ogni volta che un utente entra in un determinato sito internet viene “riconosciuto” e la sua esperienza di navigazione è tenuta sotto controllo così da renderla più veloce e semplice.
Questo riconoscimento, ad esempio, permette di realizzare meccanismi di autenticazione usati ad esempio per il login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull’aspetto grafico o linguistico del sito; di tracciare la navigazione dell’utente, ad esempio per fini statistici o pubblicitari, di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico. I cookie, e in particolare i cookie di terza parte, sono comunemente usati per memorizzare le ricerche di navigazione degli utenti.
I cookie e la privacy
Questo controllo comporta implicazioni sulla riservatezza e la privacy degli utenti. Per questo motivo l’uso dei cookie è disciplinato negli ordinamenti giuridici di numerosi paesi, tra cui quelli europei, inclusa l’Italia. I dati dati sensibili raccolti dai siti web, e dai motori di ricerca, possono essere una potenziale minaccia alla privacy degli utenti. Per questo motivo la legislazione europea impone a tutti i siti degli stati membri di informare gli utenti che il sito usa certi tipi di cookie.
Le novità nella revisione delle linee guida del Garante
L’aggiornamento delle precedenti linee guida, che risalivano al 2014, è divenuto necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori:
- l’esperienza maturata in questi anni sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati
- il crescente uso di tracciatori particolarmente invasivi
- la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati
Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva o passiva.
Profilazione, scrolling, wall e banner
Per i cookie di profilazione (utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, ecc), rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati.
Riguardo in particolare allo scrolling (lo scorrimento verso l’alto o il basso della pagina web visitata), il Garante precisa che il semplice spostamento in basso del cursore non rappresenta una idonea manifestazione del consenso. I titolari dei siti dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.
Riguardo al cookie wall (sistema che vincola gli utenti all’espressione del consenso), il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.
L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.
