COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO
Normativa di riferimento: Art. 4 punto 11), e 122 del Codice D.Lgs. 196/2003, e
Art. 7, 12, 13, 25 del GDPR – Reg UE 2016/679
1. COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO
2. COOKIE TECNICI
3. COOKIE ANALYTICS PRIME E TERZE PARTI
4. COOKIE DI PROFILAZIONE
5. PRINCIPALI NOVITA’ INTRODOTTE AL GDPR AVENTI EFFETTI SUL
TRATTAMENTO DEI COOKIE
6. INFORMATIVA E CONSENSO
7. INFORMAZIONI ULTERIORI DA RENDERE AGLI UTENTI
8. ANALISI DI ALCUNE MODALITA’ DI RACCOLTA DEL CONSENSO
9. CONSIDERAZIONI PRELIMINARI
10. LA FUNZIONE DEI COOKIE
11. ALTRI STRUMENTI DI TRACCIAMENTO
12. LA CLASSIFICAZIONE DI COOKIE ED ALTRI STRUMENTI DI TRACCIAMENTO
13. NORMATIVA APPLICABILE
___________________________
1. Cookie ed altri strumenti di tracciamento
I cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente. Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti (c.d. “identificativi attivi” e “passivi”), che consentono di effettuare trattamenti analoghi a quelli sopra indicati.
Tipologie dei cookie (2,3,4):
2. Cookie tecnici
Sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice).
Non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa.
3. Cookie Analytics prime / terze parti
Sono equiparabili ai cookie tecnici solo se:
– vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
– viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
– le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi.
4. Cookie di profilazione
Utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.
5. Principali novità introdotte dal GDPR aventi effetti sul trattamento dei cookie
– accountability
– integrazione dell’informativa (specificare anche i tempi di conservazione dei dati);
– rafforzamento del consenso (deve essere “inequivocabile”).
6. Informativa e consenso
Come rendere l’informativa:
– linguaggio semplice ed accessibile;
– anche in modalità multilayer e multichannel;
– se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale;
– se si trattano anche altri cookie, utilizzare banner a comparsa immediata e di adeguate dimensioni che contenga:
a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
c) l’indicazione che la prosecuzione della navigazione mediante la selezione di un esplicito comando o di un elemento contenuto nella pagina sottostante il banner comporta la prestazione del consenso alla profilazione;
d) un comando per accettare tutti i cookie o altre tecniche di tracciamento;
e) il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso;
f) un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
– No alla reiterazione della richiesta del consenso, tranne se mutano una o più delle condizioni alle quali è stato raccolto o quando sia impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo.
7. Informazioni ulteriori da rendere agli utenti
I criteri di codifica dei cookie e degli altri strumenti di tracciamento adottati, da comunicare, su richiesta,
all’Autorità.
8. Analisi di alcune modalità di raccolta del consenso
Scrolling: di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.
Cookie wall: illecito, salva l’ipotesi -da verificare caso per caso- nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un
9. Considerazioni preliminari
Il quadro giuridico di riferimento è, infatti, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/Ce (cd. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (di seguito Codice), quanto dal Regolamento, per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.
In proposito il Garante, come è noto, ha già adottato un provvedimento (provvedimento n. 229, dell’8 maggio 2014), teso a “individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati” come pure a “fornire idonee indicazioni sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge”, le cui indicazioni necessitano ora di essere integrate e precisate, in particolare con riferimento a taluni, specifici aspetti (al fine di agevolare i titolari del trattamento nella corretta applicazione del citato quadro regolamentare come specificato dal richiamato provvedimento del maggio 2014 e dalle presenti Linee guida, si allega a queste ultime una tabella riassuntiva delle indicazioni contenute in entrambi i provvedimenti).
Da un lato deve essere infatti considerato che il Regolamento, come precisato all’art. 95, “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”, la quale espressamente prevede, all’art. 1, par. 2, che “le disposizioni della presente direttiva precisano e integrano il Regolamento (EU) 2016/679 …”.
D’altro canto, non può essere sottovalutato come il Regolamento abbia inteso ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali, in particolar modo integrando la definizione di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo che la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che – come appunto già nel vigore della direttiva – libera, specifica ed informata, anche “inequivocabile”, ma pure esigendo che l’obiettivo della concreta ed efficace attuazione dei principi di protezione dati venga attuato sin dalla progettazione e attraverso impostazioni predefinite ( privacy by design e default).
L’esigenza di un nuovo intervento del Garante è dovuta al lungo intervallo di tempo trascorso, alle novità regolamentari frattanto intervenute e al monitoraggio che, anche per il tramite delle numerose segnalazioni e richieste di pareri pervenute, l’Autorità ha effettuato sulla concreta implementazione delle regole menzionate – in particolare considerando gli effetti riscontrabili sull’esperienza di navigazione, sui diritti e sulle tutele degli interessati, come pure sulla operatività delle imprese dei fornitori di servizi di comunicazione elettronica – nonché alla sempre crescente diffusione di nuove tecnologie di non ancora codificate potenziali perversità.
Infine, deve essere tenuta in considerazione l’evoluzione comportamentale degli stessi utenti della rete, sempre più orientati alla proliferazione delle proprie identità digitali come risultanti dall’accesso a molteplici servizi e funzioni disponibili e, in primo luogo, ai social network.
Tale fenomeno comporta infatti il rischio che le informazioni personali oggetto di trattamento siano raccolte proprio incrociando i dati anche relativi all’utilizzo di funzionalità e servizi diversi (cd. enrichment), con l’effetto della creazione di profili sempre più specifici e dettagliati. Si impone, di conseguenza, la necessità di un quadro rafforzato di tutele maggiormente orientate a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo.
10. La funzione dei cookie
Il considerando 30 del Regolamento espressamente afferma che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza.
Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
Come è noto, i cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
I terminali cui ci si riferisce sono, ad esempio, un personal computer, un tablet, uno smartphone, ovvero ogni altro dispositivo in grado di archiviare informazioni. Già oggi, e ancor più in futuro, tra essi occorre annoverare anche i cd. dispositivi IoT (Internet of Things, o Internet delle cose), i quali sono progettati per connettersi alla rete e tra loro per fornire servizi di varia natura, non necessariamente limitati alla mera comunicazione.
I software per la navigazione in internet ed il funzionamento di questi dispositivi, ad esempio i browser, possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.
Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.
I cookie possono dunque svolgere importanti funzioni tra le più disparate, compresi l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc.
Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.
I cookie cd. “di autenticazione” sono di particolare importanza ogni qualvolta sia necessaria una verifica in ordine al soggetto che accede a determinati servizi, come ad esempio quelli bancari.
Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete – in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.
11. Altri strumenti di tracciamento
Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti (c.d. “identificativi attivi” e “passivi”, questi ultimi presupponendo la mera osservazione), che consentono di effettuare trattamenti analoghi a quelli sopra indicati. Tra gli strumenti “passivi”, risulta sempre più utilizzato il fingerprinting, ossia quella tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.
Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web.
Per tali ragioni, il fingerprinting e gli ulteriori strumenti di tracciamento devono dunque essere ricompresi nell’ambito di applicazione delle presenti Linee guida. Sussiste tuttavia una non trascurabile differenza, sulla quale l’Autorità intende porre l’accento, tra l’impiego di una tecnica attiva quale quella relativa ai cookie ed una passiva, come quella relativa al fingerprinting. Nel primo caso, infatti, l’utente che non intenda essere profilato, oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento, ha anche la possibilità pratica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo. Diversamente, con riguardo al fingerprinting, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare. Ciò in quanto quest’ultimo fa uso di una tecnica di accesso che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera lettura delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del titolare, cui l’interessato non ha, ovviamente, alcun accesso libero e diretto.
12. La classificazione di cookie ed altri strumenti di tracciamento
I cookie e, in buona misura, gli altri strumenti di tracciamento, possono avere caratteristiche diverse sotto il profilo temporale e dunque essere considerati in base alla loro durata (di sessione o permanenti), ovvero dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto della “terza parte”). E tuttavia la classificazione che risponde alla ratio della disciplina di legge e dunque anche alle esigenze di tutela della persona, è quella che si basa, in definitiva, su due macro categorie:
– i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);
– i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari sempre più mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete. Analogamente, gli altri strumenti di tracciamento possono essere catalogati secondo una serie di criteri diversi, dei quali il principale resta, tuttavia, la finalità con la quale vengono utilizzati: tecnica o di natura commerciale.
13. Normativa applicabile
Per l’impiego di cookie tecnici, in virtù della funzione assolta e nei limiti ed alle condizioni richiamate, il titolare del trattamento sarà assoggettato al solo obbligo di fornire l’informativa, anche eventualmente inserita all’interno dell’informativa di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato; i cookie di profilazione e gli altri strumenti di tracciamento potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. E ciò in base alla norma tuttora applicabile alla fattispecie, ossia l’art. 122 del Codice, già menzionato, ai sensi del quale:
– 1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio.
Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
– 2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.
Questa disposizione è stata introdotta nell’ordinamento nazionale a seguito del recepimento della direttiva e Privacy n. 2002/58/Ce, precedente rispetto alla data della piena operatività degli effetti del Regolamento e anch’essa, al pari delle norme di diritto interno che la recepiscono, tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche (v., in proposito, il considerando 173 del Regolamento secondo cui “È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio …”, nonché l’art. 2, lettera l), della direttiva quadro 2002/21/CE che ricomprende anche la direttiva e Privacy nel novero delle “direttive particolari”).
Ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva e Privacy, molte attività di trattamento devono dunque essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento, con la specificazione tuttavia che, per la parte di potenziale sovrapposizione – in virtù del rapporto di genus a species sussistente tra le due discipline e di quanto disposto dall’art. 1, par. 2, della direttiva e Privacy, il quale chiarisce proprio come le norme di questa precisino e integrino quelle del Regolamento – ogniqualvolta la direttiva renda più specifiche le regole del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento. Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti.
Ad esempio, è nella direttiva E-Privacy che, nei casi previsti, si rinviene l’obbligo di acquisizione del consenso all’impiego di cookie e altri identificativi; ma è nel Regolamento che andranno ricercate le specifiche caratteristiche di quel consenso ai fini della sua validità e conformità alla disciplina generale.