Lo scorso 10 dicembre il Garante per la protezione dei dati personali ha avviato una consultazione pubblica sull’utilizzo di cookie e altri strumenti di tracciamento.
Le Linee guida sottoposte dal Garante alla consultazione pubblica contengono alcune interessanti precisazioni rispetto alle prassi maggiormente diffuse tra i gestori dei siti; d’altra parte, alcuni passaggi del documento meritano a nostro avviso un chiarimento da parte del Garante e costituiscono lo spunto per ulteriori riflessioni.
Di seguito, tratteremo solo dei cosiddetti cookie di profilazione e non dei cookie tecnici; qualsiasi riferimento generico ai cookie, dovrà quindi essere inteso come un riferimento ai soli cookie di profilazione.
Di Dario Reccia e Maria Laura Salvati
Divieto di scroll down e cookie wall
Il Garante è innanzitutto intervenuto sul valore giuridico dello scroll down, chiarendo che ad esso non si può attribuire il significato di consenso dell’utente all’installazione dei cookie sul suo dispositivo. Tale azione può ritenersi idonea a manifestare in maniera inequivoca la volontà dell’utente di prestare il proprio consenso solo nell’ambito di un processo più articolato.
Per l’acquisizione del consenso all’installazione dei cookie, il documento in consultazione suggerisce il ricorso a modalità più evolute, basate sul paradigma del web dinamico, che sarebbero in grado di generare un evento, registrabile presso il server del gestore del sito e qualificabile come azione positiva dell’utente idonea a manifestare in modo non equivoco la volontà di prestare un consenso al trattamento.
Su questo aspetto, sarebbe senz’altro utile un esempio concreto del Garante al fine di ispirare buone prassi ed evitare la diffusione di soluzioni che, al pari dello scroll down, non sono in grado di soddisfare il requisito dell’espressione di un consenso libero e consapevole da parte dell’utente.
Tale chiarimento operativo è tanto più opportuno, se si considera che in un altro passaggio del documento in consultazione viene indicato come evento idoneo alla manifestazione del consenso la selezione di un elemento contenuto nella pagina sottostante il banner informativo.
Affinché tale indicazione operativa sia coerente con il divieto di utilizzo dello scroll down come tecnica per l’acquisizione del consenso, le Linee guida dovrebbero chiarire al riguardo che non la selezione di un qualsiasi elemento sottostante il banner è idonea a tal fine, bensì solo quella di un elemento che, per il suo contenuto, manifesti in modo certo la volontà di consentire all’installazione dei cookie.
Peraltro, la selezione di un elemento per acconsentire ai cookie dovrebbe essere sempre armonizzata con il divieto di cookie wall; in altri termini, quindi, la selezione di tale elemento non deve mai porsi come un’azione per la prosecuzione della navigazione sul sito.
Chiusura del banner e negazione del consenso
Precisazione importante e per nulla scontata è quella che riguarda il significato da attribuire al comando, in genere contraddistinto da una X, con cui si chiude il banner contenente l’informativa breve sui cookie. Il Garante chiarisce che la chiusura del banner mediante l’apposito comando non vale come prestazione del consenso per l’installazione dei cookie; pertanto, se un utente, accedendo a un sito, si limita a chiudere il banner, il sito deve essere impostato by default in modo tale da non installare alcun cookie di profilazione sul dispositivo dell’utente (o comunque in modo da non utilizzare altri sistemi di tracciamento equivalenti ai cookie di profilazione). L’installazione di cookie di profilazione, nonostante la chiusura del banner e in assenza di altri comportamenti idonei a configurare un consenso al trattamento per finalità di profilazione, comporta quindi un illecito trattamento dei dati personali dell’utente.
A questo proposito deve però notarsi che che molti siti non danno in realtà la possibilità di chiudere il banner mediante un apposito comando, lasciando all’utente solo la scelta tra accettare i cookie e accedere a maggiori informazioni sui cookie mediante rinvio alla pagina contenente l’informativa estesa (molto utilizzato è il tasto “Gestisci preferenze” che si affianca al tasto “Accetto”).
Tale prassi è “disegnata” in modo tale da spingere l’utente a prestare il consenso alla profilazione mediante cookie in quanto l’azione per la prestazione del consenso risulta più semplice rispetto a quella volta a negarlo; per proseguire velocemente nella navigazione, l’utente non ha infatti altra scelta se non quella di cliccare sul tasto per l’accettazione dei cookie; se invece volesse negare il consenso, l’utente dovrebbe interrompere la navigazione per accedere all’informativa e da lì seguire le istruzioni per opporsi all’installazione dei cookie.
Tale prassi, molto utilizzata sui siti internet, è in contrasto con i principi della privacy by design e by default, e sarebbe pertanto opportuno un intervento sul punto del Garante che spinga i gestori e gli sviluppatori dei siti verso soluzioni più virtuose.
Al riguardo, le Linee guida dovrebbero specificare che il banner sui cookie deve sempre dare la possibilità di negare il consenso con un solo clic, chiudendo il banner o per mezzo di un apposito tasto speculare a quello per l’accettazione dei cookie (per esempio, tasto “No”, “Non accetto” o “Nego consenso”). Tasti come “Gestisci preferenze” o similari dovrebbero pertanto essere inseriti solo come una terza opzione a disposizione dell’utente e mai come l’unica alternativa al tasto per la prestazione del consenso.
L’invasiva riproposizione dei banner
Altro tema su cui il Garante interviene è quello della invasiva riproposizione, da parte dei gestori dei siti web, del banner sui cookie ad ogni nuovo accesso dell’utente. Tale meccanismo ha un impatto negativo sulla fluidità della navigazione che è ormai sotto gli occhi di tutti. Anche in questo caso, peraltro, l’impatto negativo sulla navigazione si traduce in realtà in un elemento di design che spinge l’utente a prestare il consenso sui cookie all’unico fine di eliminare il fastidioso banner, tornando così a visualizzare i contenuti sull’intero schermo del dispositivo. In altri termini, la scelta di prestare il consenso non è fatta in modo consapevole bensì risponde all’obiettivo di superare un ostacolo nella user experience del sito.
Su questo punto, il Garante osserva che i gestori dei siti possono tenere traccia, mediante un apposito cookie tecnico, del consenso prestato dall’utente al momento del primo accesso al sito, non mostrando così il banner in occasione degli accessi successivi, salvo che mutino le condizioni alle quali il consenso è stato raccolto (per esempio, laddove il gestore del sito intenda installare ulteriori cookie rispetto a quelli per i quali è stato già prestato il consenso).
Sarebbe tuttavia opportuno che le Linee Guida esaminassero anche lo scenario opposto, cioè quello in cui, accedendo al sito, l’utente neghi il consenso all’installazione dei cookie; anche in questo caso, a nostro avviso il gestore del sito dovrebbe tenere traccia della negazione del consenso e non riproporre il banner in occasione degli accessi successivi, salvo che non mutino in modo sostanziale le condizioni alle quali il consenso è stato negato.
Tale precisazione sarebbe opportuna in quanto la reiterata richiesta del consenso ad ogni accesso priva di rilevanza la scelta di non consentire l’installazione dei cookie, costringendo ogni volta l’utente ad opporsi al trattamento dei suoi dati. Resta inteso che i siti potranno comunque dare all’utente che ha negato il consenso la possibilità di cambiare idea, accedendo all’informativa estesa per consentire l’installazione dei cookie.
Il banner è la migliore soluzione?
Il documento in consultazione si muove evidentemente nei limiti del quadro normativo vigente, e in particolare di quanto disposto dall’art. 122 del D. Lgs. 30 giugno 2003, n.196.
Ci sembra però che il sistema del banner costituisca un approccio molto formalistico che, pur volendo nelle sue intenzioni assicurare il massimo della tutela, non garantisce affatto il diritto di decidere degli utenti. Tale sistema muove infatti dal presupposto che, navigando su internet, gli utenti abbiano il tempo, l’interesse e le competenze per leggere lunghi documenti legali sul trattamento dei loro dati mediante i cookie, arrivando così a scegliere in modo informato quali cookie autorizzare e quali invece rifiutare. Tuttavia, tale presupposto non trova alcun riscontro nella realtà dove invece gli utenti accedono in continuazione ai contenuti passando rapidamente da un sito all’altro, senza il tempo per leggere lunghe informative che spesso rinviano ad altri documenti.
In questo contesto, la prestazione del consenso non rappresenta quasi mai una scelta informata dell’utente (che non ha letto nulla o quasi di quanto scritto nelle informative), bensì solo l’ennesimo clic necessario per accedere ai contenuti di proprio interesse.
A nostro avviso, allargando la prospettiva, è invece possibile individuare altre strade in grado di garantire in modo più efficace e meno formale la libertà di scelta degli utenti sul trattamento dei loro dati mediante cookie.
Ci riferiamo in particolare alla possibilità che la scelta sui cookie da installare venga effettuata a monte a livello di browser; da un lato attraverso le impostazioni del browser l’utente dovrebbe poter scegliere quali categorie di cookie autorizzare (per esempio, scegliendo di non autorizzare by default i cookie di profilazione, ovvero autorizzando by default solo i cookie di profilazione prima parte); dall’altro i siti internet dovrebbero essere progettati, nel rispetto del principio della privacy by design, in modo tale da riconoscere e rispettare in modo automatico le scelte manifestate dagli utenti attraverso le impostazioni del proprio browser.
In questo modo, non ci sarebbe più bisogno di impostare banner al momento dell’accesso a un sito internet e l’utente sarebbe libero di navigare nella consapevolezza che i gestori dei siti sono tenuti al rispetto delle sue scelte in materia di trattamento dei dati.
Inoltre l’utente potrebbe comunque accedere in qualsiasi momento all’informativa estesa disponibile sui siti, per decidere se autorizzare o meno un’eccezione per un determinato sito (per esempio, autorizzando solo per quel sito i cookie di profilazione prima parte).
Ci pare una soluzione semplice e che meriterebbe un’adeguata riflessione.
