Il Garante per la protezione dei dati personali ha adottato le nuove Linee guida sui cookie e altri strumenti di tracciamento a seguito dell’esame dei contributi ricevuti e relativi alla consultazione conclusasi nel mese di gennaio. I titolari del trattamento avranno 6 mesi di tempo, a partire dalla pubblicazione in Gazzetta Ufficiale, per conformarsi ai principi contenuti all’interno delle Linee guida
Sono state pubblicate in Gazzetta Ufficiale le nuove Linee guida sui cookie e altri strumenti di tracciamento adottate dal Garante per la protezione dei dati personali a seguito dell’esame dei contributi ricevuti e relativi alla consultazione conclusasi lo scorso 9 gennaio.
Alla luce della piena applicazione del Regolamento UE 2016/679, il Garante ha ritenuto opportuno aggiornare le indicazioni sull’utilizzo dei cookie contenute nel provvedimento 229 del maggio 2014 in cui si era già occupato di affrontare i temi dell’informativa e dell’acquisizione del consenso al fine di integrare e specificare alcuni aspetti sia a seguito delle novità introdotte a livello normativo sia per riscontrare le numerose richieste di parere ricevute.
Il Garante ha inteso fornire delle indicazioni chiare e con un taglio prettamente operativo per consentire ai titolari del trattamento la piena conformità alla normativa vigente. Tanto anche al fine di porre fine alle pratiche ingannevoli (c.d. dark patterns) volte all’acquisizione di un gran numero di consensi da parte degli utenti contro la loro libera scelta a causa di una progettazione del banner non rispettosa dei principi del GDPR come quelli di correttezza e trasparenza.
La normativa vigente in materia
La disciplina in materia di cookie è stata introdotta dalla Direttiva 2002/58/CE (meglio conosciuta come Direttiva ePrivacy o Cookie Law), recepita in Italia dall’art. 122 del D. Lgs. 196/2003 (Codice Privacy).
Come già precisato all’interno delle linee guida per le quali era stata promossa la consultazione, il Garante ha specificato il rapporto tra la direttiva ePrivacy e il GDPR indicando che, fuori delle ipotesi in cui la direttiva specifichi delle fattispecie in via esclusiva ed esaustiva, per tutto quanto rientri invece nella contestuale applicazione sia della direttiva che del GDPR si verifica un rapporto di genus a species. Pertanto, come definito dall’art. 1, par. 2, della direttiva ePrivacy, “ogniqualvolta la direttiva renda più specifiche le regole del Regolamento, essa in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento”.
Per cui nella pratica, sulla base del rapporto di genus a species, l’obbligo o meno di acquisizione del consenso all’utilizzo dei cookie si ritrova all’interno della direttiva ePrivacy mentre le caratteristiche del consenso andranno ricercate nel GDPR.
Le principali novità introdotte dalle Linee guida
- La base giuridica
La novità più significativa riguarda i presupposti di liceità del trattamento. Viene spedito in soffitta il legittimo interesse, base giuridica a cui molti fanno ricorso. Il Garante, infatti, afferma che la normativa di riferimento non ammette basi giuridiche diverse dal consenso dell’interessato: pertanto, il legittimo interesse non potrà essere invocato per giustificare l’installazione di cookie o altri strumenti di tracciamento.
- L’acquisizione del consenso
Nel ribadire nuovamente che lo scrolling (quale azione consistente nel lasciar scorrere la pagina per consentire l’installazione di cookie di profilazione) e il cookie wall (vero e proprio “muro di cookie” che consentirebbe la navigazione del sito solo previa accettazione obbligatoria di tutti i cookie installati, senza poter di fatto compiere nessuna altra operazione) non sono meccanismi idonei all’acquisizione del consenso secondo le caratteristiche previste dal GDPR, il Garante focalizza l’attenzione sulle modalità di acquisizione del consenso. L’utente infatti, in apertura della pagina visitata, dovrà essere messo in condizione di conoscere se il sito utilizza esclusivamente cookie tecnici o anche cookie di profilazione per i quali può esprimere il consenso all’installazione.
Il banner infatti dovrà contenere un tasto per accettare tutti i cookie, un tasto per consentire la gestione delle preferenze, un link che rimandi all’informativa estesa e la “X” di chiusura, collocata in alto a destra, che consenta la scomparsa del banner con la contestuale installazione dei soli cookie tecnici, necessari al funzionamento del sito. Inoltre al fine di consentire una revoca tanto agevole quanto il consenso prestato all’installazione di tutti i cookie, dovrà prevedersi un tasto, collocato sul banner di secondo livello, che consenta di revocare tutti i consensi fino a quel momento accordati.
- La riproposizione del banner
Con le nuove Linee guida, l’Autorità chiarisce che il banner non possa essere riproposto a ogni successiva visita del sito soprattutto se l’utente abbia già espresso la sua volontà di non acconsentire all’utilizzo dei cookie di profilazione. Tanto per consentire una gradevole user experiece ed evitare che l’utente si senta costretto a prestare un consenso contro la sua volontà solo per non vedersi più riproporre il banner a ogni successiva visita del sito web.
Pertanto, a meno che il titolare non sia più in grado di avere certezza circa la memorizzazione di un determinato cookie sul dispositivo oppure nei casi in cui vi siano dei mutamenti significativi come la sostituzione di una terza parte che installa i cookie, il banner potrà essere riproposto solo dopo 6 mesi.
- L’esercizio dei diritti
Il Garante precisa che l’informativa estesa deve riportare tutte le informazioni di cui agli artt. 12 e 13 del Regolamento con particolare riferimento ai diritti esercitabili e alle modalità con cui rivolgere le richieste al titolare del trattamento. Inoltre, una novità rispetto alle Linee guida precedenti consiste nella previsione di un link che sia sempre raggiungibile dal footer del sito che consenta all’utente in maniera intuitiva e immediata di poter gestire tutte le sue scelte e verificare in ogni momento lo stato dei consensi prestati. Lo stesso obiettivo potrebbe essere raggiunto grazie a piccoli simboli o icone, evocativi dei cookie, da collocare in ogni pagina del sito web.
- I tempi di adeguamento
L’Autorità ha precisato che i titolari avranno tempo fino al 9 gennaio 2022 (6 mesi a partire dal 9 luglio 2021, data di pubblicazione in Gazzetta Ufficiale) per conformarsi ai principi contenuti all’interno delle Linee guida.
