Il Garante privacy – a seguito della consultazione pubblica completatasi nel 2020, ha rilasciato le nuove linee guida sui cookie che aggiornano quelle del 2014 a seguito delle modifiche apportate dal GDPR.

Sebbene esse escono nel pieno del negoziato del trilogo tra le istituzioni legislative dell’Unione in merito alla proposta di Regolamento ePrivacy, e la loro entrata in vigore (i.e. 9 gennaio 2022) potrebbe coincidere con l’approvazione finale di quest’ultimo da parte di Parlamento e Consiglio UE, le nuove linee guida interpretano l’attuale disciplina delle direttive 2002/58/CE e 2009/136/CE sulla riservatezza nelle comunicazioni elettroniche, alla luce delle novità introdotte dal GDPR, senza formulare anticipazioni rispetto ai temi oggetto del futuro regolamento ePrivacy.

Sintesi

 

Figura 1 – Sintesi dei maggiori profili affrontati nelle linee guida 2021 sui cookie.

Modello precedente

Il modello indicato dal Garante privacy nel 2014 per la gestione di informativa e consenso online in relazione all’uso dei cookie e di altri tracciatori si basava essenzialmente (qualora i cookie non fossero solo “tecnici”) su un banner da far comparire nella pagina web di primo accesso, contenente un’informativa breve che rinviava con link ad un’informativa estesa e con l’avvertenza che qualsiasi operazione che costituisse una percettibile discontinuità (i.e. in sostanza, la prosecuzione della navigazione) avrebbe rappresentato la manifestazione dell’utente di accettazione di tutti i cookie. Nell’informativa estesa, poi, l’utente era messo nelle condizioni di effettuare scelte più granulari o anche di revocare il consenso eventualmente già prestato. Nelle attuali linee guida – anche alla luce dei contributi ricevuti nel corso della consultazione pubblica – il Garante ritiene che l’impianto indicato in precedenza rimanga sostanzialmente valido, seppure con le modifiche resesi necessarie a seguito delle novità apportate dal GDPR.

Principali profili

Questi i principali aspetti affrontati nelle linee guida 2021.

Cookie e altri tracciatori – Le linee guida e la disciplina che ne forma oggetto si rivolgono indistintamente ai cookie e a qualsiasi altra tecnica di tracciamento “attiva” (come pixel, clickcommand) o “passiva” (es. fingerprinting).

Informativa – Quella estesa – ai sensi degli articoli 13 e 14 GDPR – dovrà indicare anche i destinatari di dati personali e i tempi di conservazione dei dati; potranno essere utilizzati canali e modalità diverse (e.g. pop-up, video, chat).

Consenso – L’utente deve avere libertà di: (a) non pronunciarsi (b) accettare cookie e tracciatori (c) rifiutarli. Per il caso (a) il banner deve potersi chiudere significando il mantenimento dell’impostazione iniziale di default (i.e. l’impossibilità di posizionare alcun cookie o tracciatore nel dispositivo dell’utente); per l’ipotesi (b) il banner conterrà un pulsante “Accetta tutti”; per l’opzione (c) il banner riporterà un link ad un’area di livello sottostante in cui l’utente avrà la possibilità di acconsentire solo ad alcuni cookie o tracciatori (anche aggregati per categorie), di rifiutarli tutti oppure di revocare il consenso precedentemente prestato. La scelta dell’utente va registrata sia per documentarla come prova sia per evitare la riproposizione del banner all’utente di ritorno. Il banner potrà essere riproposto a determinate condizioni oppure decorsi 6 mesi.

Scrolling – Non è un’idonea manifestazione del consenso eccetto che sia parte di un meccanismo in grado di essere percepito come azione positiva e inequivoca della volontà dell’utente di acconsentire. 

Cookie wall –  Deve ritenersi illegittimo eccetto che il titolare del sito renda possibile l’accesso a contenuti o servizi equivalenti che non prevedono l’uso di tracciatori. 

Cookie tecnici – Se sono gli unici a essere utilizzati, non occorre il banner ma solo la loro menzione nell’informativa estesa. 

Analytics – Sono equiparabili ai cookie tecnici a condizione che siano utilizzati solo a fini statistici e, inoltre: se di prima parte, possono essere utilizzati anche in chiaro; se di terza parte occorre mascherare la quarta componente dell’indirizzo IP e le terze parti devono astenersi dal combinarli con altre elaborazioni.

Stato dei consensi – Il Garante ritiene sia buona prassi prevedere un’area contenente lo stato dei consensi resi dall’utente, dove è possibile modificarli o revocarli, raggiungibile tramite link posizionato nel footer di qualsiasi pagina web del dominio.