Il Garante per la protezione dei dati personali ha avviato una consultazione pubblica sull’utilizzo di cookie e di altri strumenti di tracciamento, integrando le indicazioni già fornite negli anni scorsi, alla luce di un aggiornato quadro normativo e di numerose richieste di parere ricevute. Le categorie interessate potranno far pervenire i propri contributi all’Autorità scrivendo all’indirizzo lineeguidacookie@gpdp.it

Di Marilara Coppola


Il Garante per la protezione dei dati personali ha avviato una consultazione pubblica sulle “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”.

Con queste linee guida, il Garante Privacy aggiorna le indicazioni sull’utilizzo dei cookie, a seguito del provvedimento 229 del maggio 2014 in cui si era occupato di affrontare i temi dell’informativa e dell’acquisizione del consenso per integrare e specificare alcuni aspetti a seguito – non soltanto – delle  novità introdotte a livello normativo ma anche delle numerose richieste di pareri e segnalazioni pervenute.

La disciplina, a livello normativo, si ritrova tanto nella direttiva 2002/58/CE (meglio conosciuta come direttiva ePrivacy o Cookie Law), che è stata recepita nell’ordinamento italiano dall’art. 122 del Codice Privacy – in cui è specificato l’obbligo di acquisire il consenso per alcune tipologie di cookie – quanto nel Regolamento UE 2016/679 (meglio conosciuto come GDPR) che a sua volta specifica sia le caratteristiche del consenso, affinché lo stesso possa essere considerato validamente prestato (C32 e art. 7 GDPR), sia le informazioni da fornire agli utenti (artt. 12 e 13 GDPR).

Nel testo delle Linee guida, il Garante si sofferma anche sul rapporto tra la direttiva ePrivacy e il GDPR indicando che, fuori delle ipotesi in cui la direttiva specifichi delle fattispecie in via esclusiva ed esaustiva, per tutto quanto rientri invece nella contestuale applicazione sia della direttiva che del GDPR si verifica un rapporto di genus a species. Pertanto, come definito dall’art. 1, par. 2, della direttiva ePrivacy, “ogniqualvolta la direttiva renda più specifiche le regole del Regolamento, essa in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento”. Pertanto, in virtù di tale rapporto di genus a species, l’obbligo o meno di acquisizione del consenso all’utilizzo dei cookie si ritrova all’interno della direttiva ePrivacy mentre le caratteristiche del consenso andranno ricercate nel GDPR.

D’altronde, un approfondimento si rende necessario anche alla luce dell’evoluzione tecnologica in quanto i dispositivi oggi utilizzati non si limitano più soltanto a personal computer, tablet, smartphone ma si estendono altresì ai dispositivi di IoT in grado di fornire sempre maggiori servizi. In questo contesto, si inserisce anche il frequente, se non costante, utilizzo di social network che, incrociando dati degli utenti con altri servizi, sono in grado di creare profili sempre più dettagliati di ciascun utilizzatore. Il Garante, pertanto, con queste linee guida, si sofferma sia sugli strumenti di tracciamento attivi di cui il navigante del web ha evidenza (c.d. cookie) sia su quelli passivi (c.d. fingerprinting) di cui invece solo il titolare del sito ha disponibilità.

Il file rouge sotteso alle linee guida oggetto di analisi è rappresentato certamente dal principio di accountability in virtù del quale il titolare del trattamento è competente per il rispetto dei principi del GDPR ed è in grado di dimostrarlo. In particolare, per il consenso da acquisire in merito ad alcune tipologie di cookie, ai sensi dell’art. 7 GDPR, il titolare dovrà essere in grado di dimostrare che lo stesso sia stato specificamente prestato da ciascun interessato.

Le principali novità rispetto al provvedimento del Garante n. 229 del 8 maggio 2014

Il Garante, unitamente alla conferma circa la validità del provvedimento n. 229/2014, si sofferma principalmente sui concetti di “cookie wall” e “scrolling”, esaminati nelle linee guida dell’Europea Data Protection Board approvate il 4 maggio 2020. L’EDPB ha considerato entrambi quali modalità inidonee di acquisizione del consenso all’installazione di cookie di profilazione.

Nel primo caso, l’utente si troverebbe dinanzi un vero e proprio “muro di cookie” che gli consentirebbe la navigazione del sito solo previa accettazione obbligatoria di tutti i cookie installati, senza poter di fatto compiere nessuna altra operazione.

Nel secondo caso, invece, si tratta dell’azione consistente nel lasciar scorrere la pagina (c.d. scroll down) per consentire l’installazione di cookie di profilazione. È proprio qui che si rinviene una differenza rispetto a quanto affermato dal Garante circa la predisposizione del banner contenente l’informativa breve nel quale era possibile informare l’utente che la prosecuzione della navigazione del sito comportava la prestazione del consenso all’utilizzo dei cookie.

Il Garante, condividendo la posizione del Board, nelle presenti Linee guida precisa che “il semplice scroll down del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione”. L’Autorità in particolare precisa l’inidoneità dello scrolling per acquisire consensi a meno che lo stesso venga inserito in un processo più complesso tale da poter essere qualificato come manifestazione inequivocabile di consenso.

Un’altra novità, per quanto di novità si possa parlare, si rinviene nell’assenza di notifica al Garante per l’utilizzo dei cookie di profilazione che invece era prevista nel provvedimento del 2014.

Il Garante, inoltre nelle presenti Linee guida, individua degli esempi pratici di mascheramento di una parte degli indirizzi IP per l’installazione dei c.d. cookie analytics che contribuiscono a verificare il traffico sul sito. Tali cookie, con le opportune tecniche di troncamento, rientrano nella macro categoria di cookie tecnici per i quali non bisogna acquisire il consenso. Gli esempi di dettaglio sono riportati al paragrafo 7.2 delle Linee guida.

L’acquisizione del consenso e la sua reiterazione

Circa l’acquisizione del consenso, resta sempre valida la presentazione del banner in apertura del sito attraverso il quale il titolare segnala all’utente sia l’utilizzo di default di cookie tecnici che, per loro natura e finalità, rientrano nella categoria di esenzione dall’acquisizione del consenso sia l’utilizzo di cookie di profilazione che, solo previa azione positiva e inequivocabile dell’utente (come la selezione di una casella o di un elemento esplicito contenuto nella pagina sottostante il banner) consentono l’installazione sul dispositivo. Il Garante raccomanda quindi che tutti i cookie – diversi da quelli tecnici – non siano preselezionati, in modo da rispettare il meccanismo di opt-in e non obbligare invece l’utente a effettuare una deselezione esprimendo il proprio diniego tramite il meccanismo di opt-out, estraneo al nostro ordinamento. Ne discende quindi che l’utente che non desideri attivare cookie di profilazione possa semplicemente chiudere il banner cliccando sulla X in alto a destra senza dover necessariamente accedere ad altre aree o sezioni.

Inoltre, il banner dovrà contenere due ulteriori tasti: uno che consenta all’utente con un’unica azione di accettare tutti i cookie di profilazione, l’altro che consenta di revocare i cookie già attivati. Tanto perché le modalità di revoca devono essere tanto agevoli quanto quelle di conferimento del consenso.  

Sempre con riferimento al banner, il Garante specifica che non dovrà essere ripresentato all’utente a ogni successiva visita del sito ma solo nei casi in cui vi siano dei mutamenti delle condizioni alle quali il consenso è stato raccolto (ad esempio se sia spirato il termine o se non si abbia contezza che il cookie sia stato già memorizzato sul dispositivo).

Le informazioni da fornire agli utenti

Sulla linea di quanto già affermato nel provvedimento del 2014, gli utenti potranno essere informati dell’uso dei cookie e altri strumenti di tracciamento mediante il banner posto in apertura del sito web contenente l’informativa breve e attraverso l’informativa estesa, raggiungibile dal banner stesso.

Il banner dovrà inoltre contenere un link a un’area dedicata dalla quale l’utente possa selezionare in modo analitico le funzionalità, i soggetti terzi e i cookie (raggruppati anche per categorie) a cui l’utente scelga di acconsentire.

Il Garante precisa inoltre che, con l’obiettivo di rendere informazioni semplici agli utenti, le informazioni di cui agli articoli 12 e 13 del GDPR potranno essere rese anche tramite il ricorso a chatbot, interazioni vocali, canali video e ogni altro strumento in grado di raggiungere la finalità.

In particolare, alla luce della normativa vigente, il titolare dovrà fornire agli interessati delle informazioni aggiuntive rispetto a quelle fornite sotto la vigenza dell’art. 13 Codice Privacy, tra cui i dati del DPO, i destinatari dei dati, il periodo di conservazione, le finalità nonché la possibilità di esercitare i diritti di cui al Regolamento europeo e di proporre reclamo all’Autorità di controllo.

Proprio nel testo dell’informativa, il Garante raccomanda ai titolari del trattamento di fornire informazioni quanto più chiare possibili in ordine alla classificazione dei cookie, alle funzionalità e alle terze parti che li installano.

Come partecipare alla consultazione

Le Linee guida resteranno in consultazione per 30 giorni dalla pubblicazione dell’avviso in Gazzetta Ufficiale per consentire ai fornitori di servizi di comunicazione elettronica, le associazione dei consumatori e ogni altra categoria economica interessata di partecipare facendo pervenire all’Autorità i propri contributi all’indirizzo lineeguidacookie@gpdp.it. Tali contributi, di cui il Garante terrà conto nella predisposizione del provvedimento a carattere generale in virtù dei compiti ad esso assegnati, possono consistere in osservazioni e proposte sulle indicazioni contenute nelle Linee guida.  Il Garante sottolinea l’importanza che i contributi pervengano da tutti i soggetti interessati preferibilmente attraverso le associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali, dei consumatori e degli operatori.

Alla luce di quanto riportato nelle Linee guida è possibile immaginare che le osservazioni più numerose perverranno in tema di predisposizione del banner circa l’applicabilità del concetto di granularità all’indicazione delle terze parti e delle tipologie di cookie. Si auspica, altresì, la presentazione da parte dei fornitori di servizi di comunicazione elettronica di soluzioni alternative ai classici bottoni virtuali per segnalare più facilmente le azioni positive e inequivocabili degli utenti circa il conferimento del consenso.

Con riferimento alle pubbliche amministrazioni, invece, si ritiene, anche alla luce del provvedimento generale che sarà adottato, che le stesse, in qualità di titolari del trattamento, procedano alla verifica dei propri siti coinvolgendo i soggetti che si sono occupati della realizzazione al fine di verificare la conformità con quanto indicato dal Garante. Per i nuovi affidamenti, è auspicabile un dialogo col fornitore in modo da definire le tipologie di cookie da installare sul sito e l’eventuale collaborazione per la predisposizione delle informazioni da rendere agli utenti.

Immagine di Pankaj Patel su Unsplash

Author Marilara Coppola

More posts by Marilara Coppola