Cosa cambierà dal 10 gennaio, quando entreranno in vigore le indicazioni del Garante della Privacy sulla gestione dei cookie?
I cookies sono dei file che i siti web che visitiamo salvano sul nostro computer, attraverso il browser, per memorizzare informazioni utili come le nostre preferenze: uno strumento molto amato da chi fa pubblicità on line. Ed è per questo che l’Unione Europea e il Garante della Privacy si sono preoccupati di regolamentare la materia. Come è noto, dal GDPR in poi è necessario chiedere agli utenti il consenso per memorizzare i cookie. Perché dunque regolamentare ancora? Perché molti hanno aggirato il consenso dell’utente.
Secondo la nuova normativa non basterà più scrollare verso il basso la pagina per dare il consenso: serve dimostrare in modo più esplicito la volontà di accettare e di decidere a quali cookie diciamo di si e a quali diciamo di no. Secondo il Garante, il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti (libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento) richiesti dal Regolamento. Del resto, questo aspetto era già stato chiarito dall’EDPB, con il parere del 4 maggio 2020: “il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso”.
Una precisazione è d’obbligo. Esistono diversi tipi di cookie: ci sono quelli tecnici tipo gli indirizzi IP degli utenti – che non possono essere raccolti o devono esserlo in forma parziale, in modo da non “scoprire” completamente l’utente – e ci sono i cookie di profilatura.
I primi vengono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice); i cookie di profilazione – spiega il Garante – “vengono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete”.
Cosa cambia dunque? I cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. Il consenso, inoltre, deve essere dimostrabile, attraverso un cookie tecnico o conservando il consenso in un apposito archivio. In sostanza, dal 10 gennaio saremo in un approccio di legal design sulla base del quale deve essere chiaramente comprensibile la volontà di un utente che ha comunque sempre il diritto di rivedere le scelte che ha selezionato.
In sostanza, aprendo un sito troveremo un cookie banner che ci avvertirà di alcune cose: chiudendo il banner resteremo con le nostre impostazioni di default e potremo continuare a navigare senza cookies o altri strumenti di tracciamento che non siano puramente tecnici; il cookie banner dovrà indicare che il sito in cui vogliamo entrare usa cookie tecnici e, se noi accetteremo, anche cookie di profilazione; ci sarà una informativa privacy completa ed un comando col quale potremo dire si ai cookie non tecnici e ad altri eventuali strumenti di tracciamento. Ci sarà anche un link che rimanda ad un’area dedicata dove potremo selezionare a quali cookie aderire (scelta che potremo comunque rivedere anche in un secondo momento: l’utente dovrà poter sempre modificare le autorizzazioni concesse).
Questo significa che saremo bombardati sempre dalla stessa richiesta di modificare o meno le nostre preferenze sui cookie? Il Garante ha pensato anche a questo ed ha chiarito: “L’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso, laddove l’utente l’abbia in precedenza negato, appare suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione libero dalla comparsa del banner contenente l’informativa breve e la richiesta di prestazione del consenso”.
Il Garante ha individuato in quali casi un sito può chiedere di nuovo l’autorizzazione: “Nel caso in cui l’utente mantenga le impostazioni di default e dunque non acconsenta all’impiego di cookie o altri strumenti di tracciamento, così come nel caso in cui abbia acconsentito solo all’impiego di alcuni cookie o altri strumenti di tracciamento, tale scelta dovrà essere debitamente registrata e la prestazione del consenso non più nuovamente sollecitata se non quando ricorra uno dei seguenti casi: quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”; quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati); – quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner”.
E i siti che non si adegueranno? La multa è salata: iIl Garante per la Protezione dei Dati Personali italiano può imporre multe fino a 20 milioni di euro o corrispondenti al 4% del fatturato globale annuale.