PREMESSA

Dal 10/01/2021 sono disponibili le linee guida sull'utilizzo dei cookie e degli altri sistemi di tracciamento pubblicate dall'Autorità Garante per la Protezione dei Dati Personali a seguito del Provvedimento in materia del 10/06/2021 nr. 163, pubblicato in Gazzetta Ufficiale lo scorso 9 luglio 2021.

Questo articolo vuole informare su tutte le novità introdotte in merito, affinché ogni titolare del trattamento possa verificare che il proprio sito web sia in regola con le disposizioni di legge vigenti e che ogni creatore di siti web lavori in conformità ai requisiti richiesti.

Una prima informazione fondamentale per chi ignora cosa siano i cookie è il sapere che le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

I cookie sono stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” - all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo. I terminali a cui si fa riferimento sono, ad esempio, un computer, un tablet, uno smartphone, ovvero ogni altro dispositivo in grado di archiviare informazioni.

I software per la navigazione in internet e il funzionamento di questi dispositivi, ad esempio i browser, possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web. Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito ed è per questo che la normativa privacy se ne occupa.

I cookie possono svolgere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.

Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete - in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

ESISTONO ALTRI STRUMENTI DI TRACCIAMENTO

Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti (la totalità dei quali può essere distinta tra i c.d. “identificatori attivi”, come appunto i cookie, e “passivi”, questi ultimi presupponendo la mera osservazione), che consentono di effettuare trattamenti analoghi a quelli sopra indicati.

Tra gli strumenti “passivi” è ricompreso il fingerprinting: quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, ovvero per conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione. Per tali ragioni, il fingerprinting e gli ulteriori strumenti di tracciamento devono dunque essere ricompresi nell’ambito di applicazione delle presenti Linee guida.

Esiste una differenza tra l’impiego di una tecnica attiva quale quella relativa ai cookie ed una passiva, come quella relativa al fingerprinting.

Nel primo caso, l’utente che non intenda essere profilato, oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento, ha anche la possibilità pratica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo.

Diversamente, con riguardo al fingerprinting e agli altri identificatori “passivi”, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare. Ciò in quanto quest’ultimo fa uso di una tecnica di lettura che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto e del quale potrebbe, prima ancora, non avere neppure consapevolezza.

TIPOLOGIA DI COOKIE

COOKIE TECNICI: sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio”.

COOKIE ANALITICI: sono utilizzati per raccogliere informazioni in forma aggregata sul numero di utenti e su come essi utilizzano il sito web. Tra le informazioni che essi raccolgono e mantengono c'è l'indirizzo IP del visitatore.

COOKIE DI PROFILAZIONE: sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

COOKIE DI TERZE PARTI: sono file creati dai siti web visitati che semplificano l'esperienza on line salvando i dati di navigazione. Vengono creati da altri siti e sono proprietari di alcuni dei contenuti (ad esempio annunci o immagini) che vengono visualizzati sulla pagina web che l'utente visita.

A COSA SERVONO I COOKIES

I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, o per agevolare la fruizione dei contenuti on line, come ad esempio per tenere traccia degli articoli in un carrello degli acquisti o delle informazioni per la compilazione di un modulo informatico ecc.; ma possono essere impiegati anche per profilare l’utente, cioè per "osservarne" i comportamenti, ad esempio al fine di inviare pubblicità mirate, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali. In questo caso si parla di cookie di profilazione.

Lo stesso risultato può essere conseguito anche per mezzo di altri strumenti o tecniche di tracciamento, tra i quali il fingerprinting.

COSA SONO I COOKIES TECNICI

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

I COOKIES ANALITICI SONO COOKIE TECNICI?

No. Il Garante ha tuttavia precisato che possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito.

Qualora, invece, l’elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

In via di eccezione, è comunque consentita tanto alla prima parte che vi provveda in proprio quando alla terza parte che agisca su mandato della prima, la produzione di statistiche con dati relativi a più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale.

E’ NECESSARIO IL CONSENSO DELL’UTENTE PER L’INSTALLAZIONE DI COOKIE SUL SUO TERMINALE?

Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie "tecnici" o di "profilazione" ad esempio.

Per l’installazione dei cookie tecnici e di quelli analitici non è richiesto il consenso degli utenti, mentre è comunque sempre necessario fornire l'informativa (ai sensi dell'art. 13 del Regolamento Ue 2016/679).

I cookie di profilazione o gli altri strumenti di tracciamento, invece, possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

IN CHE MODO IL TITOLARE DEL SITO DEVE FORNIRE L’INFORMATIVA SEMPLIFICATA E RICHIEDERE IL CONSENSO ALL’USO DEI COOKIE DI PROFILAZIONE?

L’informativa deve essere impostata su più livelli ed è possibile sia resa anche su più canali, adottando ogni più opportuno accorgimento per renderla fruibile senza discriminazioni anche ai soggetti portatori di disabilità.

Pur nel rispetto dell’accountability del titolare e dunque della sua libertà di scelta delle misure e delle soluzioni che meglio garantiscano la conformità agli obblighi di legge, il Garante tuttavia suggerisce l’adozione di un meccanismo per il quale, nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), compaia immediatamente un banner contenente una prima informativa "breve", la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più "estesa". In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

COME DEVE ESSERE REALIZZATO IL BANNER

Il Titolare del trattamento deve garantire che, per impostazione predefinita, siano trattati solo i dati necessari al conseguimento di specifiche finalità, limitando cioè il trattamento al minimo indispensabile per consentire agli utenti la navigazione nel sito; di conseguenza, al momento del primo accesso dell’utente, non potrà essere utilizzato nessun cookie o altro strumento di tracciamento.

Dovrà invece comparire un banner, di dimensioni adeguate ai diversi tipi di dispositivo utilizzabili, che pur non impedendo il mantenimento delle impostazioni predefinite, consenta a chi invece lo desidera di esprimere il proprio consenso.

L’utente che non intenderà prestare il proprio consenso, si limiterà a chiudere il banner selezionando l’apposito comando normalmente utilizzato a questo scopo (normalmente si tratta di un pulsante con una X posto in alto a destra del banner stesso).

QUALI INDICAZIONI E COMANDI DEVE CONTENERE IL BANNER

Il banner deve:

- specificare, se questo è il caso, che il sito utilizza cookie di profilazione, eventualmente anche di "terze parti", che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;

- contenere il link all’informativa estesa e ad una diversa area nella quale sia possibile selezionare in modo analitico solo le funzionalità, i cookie e le terze parti cui si intende prestare il proprio consenso;

- contenere un comando per esprimere il proprio consenso accettando tutti i cookie o altri strumenti di tracciamento;

- precisare che se l’utente sceglie di chiudere il banner utilizzando il pulsante con la X in alto a destra, saranno mantenute le impostazioni predefinite che non consentono l’utilizzo di cookie o altri strumenti di tracciamento diversi dai tecnici.

IN CHE MODO DEVE ESSERE DOCUMENTATA L’ACQUISIZIONE DEL CONSENSO EFFETTUATA TRAMITE L’USO DEI BANNER

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato.

Resta ferma la possibilità per l’utente di modificare, in ogni momento e in maniera agevole, le proprie opzioni. Al riguardo, costituisce buona prassi l’adozione di un accorgimento tecnico (ad esempio una icona o un segno grafico) che indichi in ogni momento lo stato dei consensi resi in precedenza dall’utente.

IL BANNER PUO’ ESSERE RIPROPOSTO A OGNI ACCESSO AL SITO SUCCESSIVO AL PRIMO?

No. Se l’utente non ha fornito il proprio consenso o lo abbia fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato se non in casi specifici: quando cambiano significativamente una o più condizioni del trattamento, ad esempio le “terze parti"; quando è impossibile per il provider sapere se un cookie tecnico è già stato posizionato nel dispositivo dell’utente (ad esempio nel caso in cui sia l’utente stesso a cancellare i cookie); quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner.

IL CONSENSO ON LINE ALL’USO DEI COOKIE Può ESSERE CHIESTO SOLO TRAMITE L’USO DEL BANNER?

No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.

L’OBBLIGO DI USARE IL BANNER GRAVA ANCHE SUI TITOLARI DEI SITI CHE UTILIZZANO SONO COONIE TECNICI?

No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

E’ POSSIBILE ESPRIMERE IL PROPRIO CONSENSO TRAMITE LO SCROLLING?

No, il semplice scorrimento del cursore di pagina non è atto in sé idoneo alla manifestazione di un consenso consapevole.

Lo scrolling potrebbe semmai costituire una delle componenti di un processo più articolato che consenta di generare un evento informatico idoneo ad esprimere una scelta registrabile, documentabile e inequivocabile.

E’ LECITO NEGARE L’ACCESSO A UN SITO A CHI NON ACCETTI DI ESPRIMERE IL PROPRIO CONSENSO

ALL’IMPIEGO DI COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO?

No, salva l’ipotesi, da verificarsi caso per caso, nella quale il titolare del sito, agendo nel rispetto del principio di correttezza, offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso.

COSA DEVE INDICARE L’INFORMATIVA ESTESA?

- Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito, elencare gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione delle informazioni e le indicazioni sulla possibilità e sulle modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.

- Deve contenere i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analytics e da quelli di profilazione.

CHI E’ TENUTO A FORNIRE L’INFORMATIVA E A RICHIEDERE IL CONSENSO PER L’USO DEI COOKIE?

Il Titolare del trattamento, ossia il proprietario del sito  sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso riguardano le terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.