Con la consultazione pubblica avviata il 10 dicembre 2020 e conclusasi all’inizio di gennaio 2021, il Garante per la protezione dei dati personali (“Garante”) ha iniziato il processo di aggiornamento degli orientamenti del 2014 e del 2015 relativi ai cookie e ad altri simili strumenti di tracciamento[1].
L’adeguatezza dell’attuale disciplina relativa a cookie e tecnologie simili è da qualche anno oggetto di dibattito, a livello europeo a nazionale, a causa della rapida evoluzione tecnologica e della crescente importanza del cd. “behavioural advertising”, nonché dell’entrata in vigore – nel maggio 2018 – del Regolamento 2016/679 (“GDPR”). A livello europeo, altre autorità di controllo, come il CNIL in Francia, si sono già da tempo occupate di tale tema, aggiornando i loro orientamenti in seguito appunto all’entrata in vigore del GDPR. Una rinnovata disciplina è, inoltre, attesa nell’ambito del Regolamento E-Privacy, ad oggi ancora in fase di gestazione a livello europeo.
Ad un’attenta lettura, il testo sottoposto a consultazione pubblica risulta essere incentrato sul principio di privacy by design e by default che si pone, ancora una volta, come il principio cardine che gli operatori devono seguire nell’adeguarsi alla normativa, coniugando tecnica e diritto.
Le Linee Guida in consultazione (“Linee Guida”) si applicheranno, dopo essere formalmente adottate nella versione definitiva, a tutte quelle tecnologie di tracciamento installate nei dispositivi degli utenti tramite siti web, a prescindere dalla natura dell’operatore. Pertanto, anche le banche, nella implementazione dei propri siti web, dovranno tenere in debita considerazione le indicazioni del Garante, al fine di non incorrere in violazioni.
I cookie e gli strumenti di tracciamento
In primo luogo, è opportuno ricordare che per cookie si intendono quelle stringhe di testo che i siti web posizionano e archiviano nei dispositivi terminali degli utenti (ad esempio, il computer, il tablet o lo smartphone). Gli stessi si distinguono in cookie di prima parte, laddove siano installati direttamente dai siti visitati dagli utenti; o di terza parte, qualora siano posizionati indirettamente da siti o web server diversi da quelli visitati. Le Linee Guida chiariscono che ai cookie sono parificati anche altri strumenti e tecniche simili, ancorché “passivi”, come, ad esempio, il cd. Fingerprinting, che consente di raccogliere e leggere le informazioni di configurazione di un dispositivo.
Tali strumenti sono disciplinati dalla Direttiva 2002/58/CE (“Direttiva E-Privacy”), implementata in Italia nel titolo X del d.lgs. 196/2003 (“Codice Privacy”) e, in particolare, dall’art. 122.
Come chiarito dall’European Data Protection Board (“EPDB”) nelle sue linee guida[2], la Direttiva E-Privacy deve intendersi come legge speciale (e, quindi, prevalente) rispetto al GDPR. Tuttavia, quest’ultimo continua a trovare applicazione per tutti gli aspetti relativi al trattamento di dati personali non espressamente disciplinati dalla Direttiva E-Privacy come, ad esempio, i principi generali, le caratteristiche del consenso e i requisiti dell’informativa.
Le modalità di acquisizione del consenso
L’art. 122 del Codice Privacy, come interpretato alla luce dei precedenti orientamenti del Garante, stabilisce che l’utilizzo dei cookie è soggetto al previo consenso degli utenti salvo che essi siano usati per fornire il servizio richiesto dagli utenti (cd. cookie tecnici) ovvero, in presenza di taluni condizioni, per misurare il traffico di un sito web, progettarlo e ottimizzarne le prestazioni (cd. cookie analitici).
Il Garante, nelle Linee Guida, allineandosi a quanto stabilito dall’EDPB e agli orientamenti della Corte di Giustizia Europea, esclude la possibilità che i cookie possano essere accettati con il mero “scrolling”, cioè con lo scorrimento della pagina da parte dell’utente, a seguito della visualizzazione del banner inserito sul sito web[3]. Tale modalità, infatti, alla luce della nozione introdotta dal GDPR, non può portare all’espressione di un valido consenso, non richiedendo un atto positivo, inequivocabile e libero dell’utente. A margine di tale divieto, il Garante fa salvo il solo caso, di difficile implementazione pratica, in cui lo “scrolling” sia parte di un articolato processo idoneo a documentare un’azione inequivocabile dell’utente, attraverso la generazione di un “pattern” e l’applicazione di “cambiamenti di stato di specifiche aree del sito”.
In tal senso, il Garante – coerentemente con lo standard più garantista di consenso stabilito dal GDPR – sembra irrigidire la propria posizione rispetto a quanto precedentemente affermato nel 2015, dove aveva ritenuto che “l´acquisizione del consenso basate su “scroll” sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell´informativa e siano in grado di generare un evento, registrabile e documentabile”[4].
Particolarmente importante è, inoltre, la presa di posizione del Garante sulla tecnica del c.d. cookie wall, che consiste nella inibizione dell’accesso al sito, qualora l’utente non presti il consenso all’installazione dei cookie. Tale pratica è considerata dal Garante generalmente illegittima, in quanto inidonea ad assicurare la libera prestazione del consenso da parte dell’utente, salvo il caso in cui il sito offra la possibilità di accedere ad un contenuto equivalente senza accettare i cookie. Anche in questo caso, l’indicazione dell’Autorità risulta coerente con l’atteggiamento restrittivo mostrato a livello europeo dall’EDPB rispetto a tale pratiche, prima nelle linee guida relative al consenso e poi nello Statement sul Regolamento E- Privacy del 9 marzo 2021, dove ha suggerito l’inserimento di una previsione esplicita di divieto a tale pratica[5] .
In realtà, sarebbe opportuna una posizione flessibile rispetto ai cookie wall. La libertà del consenso, infatti, andrebbe valutata caso per caso, sulla base delle circostanze concrete. Sul punto, il Conseil d’Etat, in Francia, ha ritenuto addirittura illegittimo un divieto generale della pratica del cookie wall mentre in altri Stati Membri (in particolare, in Austria), la giurisprudenza ha recentemente ritenuto che la valutazione circa la legittimità della raccolta dei dati debba essere condotta alla luce dello specifico business model del titolare.
Il Garante non si limita a fornire indicazioni circa i requisiti di validità del consenso, ma fornisce anche chiarimenti sulla modalità di acquisizione dello stesso e sulla predisposizione dei relativi banner e del sito, in un’ottica di privacy by design e by default.
Alla luce delle Linee Guida, il banner utilizzato per acquisire il consenso dovrà consentire la possibilità:
- di accedere all’informativa estesa tramite link;
- di mantenere come impostazione di default il diniego a tutti i cookie non tecnici (ad esempio, cliccando su una X nel banner), senza dover accedere ad ulteriori aree del sito per esprimere il proprio diniego; e
- di fornire il consenso in modo granulare per tutti o solo alcuni cookie (anche raggruppati per categorie, purché l’informativa contenga tutte le informazioni necessarie ad esprimere una scelta).
La stessa conformazione dei pulsanti presenti nel banner dovrà essere orientata al principio di privacy by design e by default. Infatti, gli operatori dovranno evitare che i colori, i caratteri e le dimensioni dei testi possano orientare la scelta dell’utente, ponendo in maggiore enfasi l’opzione di accettazione dei cookie.
Secondo le Linee Guida, inoltre, non è necessaria la reiterazione del consenso ad ogni accesso dell’utente (salvo che in caso di modifiche dei cookie inviati), ma deve essere comunque predisposto uno spazio che consenta di rivedere in ogni momento le proprie scelte e di revocare il consenso a tutti o ad alcuni cookie.
In via generale, inoltre, i titolari devono garantire, anche nel contesto dei cookie, il rispetto del principio di minimizzazione, assicurandosi che la quantità dei dati raccolti e la durata di conservazione non eccedano quanto strettamente necessario, fornendo le relative informazioni agli interessati.
I cookie analitici
Le Linee Guida confermano che i cookie analitici, a talune condizioni, possono essere esonerati dall’obbligo di ottenere il consenso dell’utente. Per essere considerati tali, i cookie analitici devono avere come unico fine la produzione di statistiche aggregate e i dati risultanti non devono essere interconnessi con altri provenienti da diversi siti o applicazioni. Specifica attenzione, in particolare, deve essere riservata ai cookie analitici di terze parti.
Analogamente a quanto previsto dalle linee guida del 2014, affinché tali cookie possano essere implementati senza consenso, è necessario ridurne il potere identificativo (ad esempio, tramite il mascheramento dell’indirizzo IP) e impedire l’interconnessione o la trasmissione dei dati a terzi, anche adottando le opportune garanzie contrattuali.
Tuttavia, il Garante nelle Linee Guida va oltre, fornendo indicazioni molto specifiche su come evitare, da un punto di vista tecnico,la riconduzione dei cookie analitici a un singolo individuo (cd. single out), suggerendo di intervenire sulla quarta componente dell’indirizzo IP, introducendo così un’incertezza nell’attribuzione ad uno specifico interessato pari a 1/256, circa lo 0,4%.
Tali indicazioni destano qualche perplessità in quanto, per la loro specificità, rischiano di essere poco duttili rispetto alle evoluzioni tecnologiche e di frammentare gli obblighi previsti nei diversi Stati Membri. Tali specificazioni, inoltre, non dovrebbero svuotare di significato il generale principio di accountability, che riserva ai titolari l’individuazione delle misure tecniche e organizzative più adeguate, a fronte del trattamento specifico e dei relativi profili di rischio, per conformarsi alla normativa.
Il problema della frammentaria disciplina nei diversi Stati Membri
Le Linee Guida non affrontano il nodo più problematico della disciplina relativa a cookie e tecnologie simili e, cioè, il rapporto tra le diverse implementazioni e interpretazioni della Direttiva E-Privacy nei singoli Stati Membri.
La frammentarietà degli approcci in materia di cookie nei diversi Stati Membri, infatti, comporta una notevole incertezza sulle modalità di adeguamento per quei titolari che operano in diverse giurisdizioni. Sovrapposizioni e contraddizioni tra i diversi orientamenti delle autorità, infatti da un lato, rendono più difficoltosa la compliance e, dall’altro, rischiano di far prevalere le posizioni più restrittive, svuotando di significato le altre interpretazioni.
Infatti, la Direttiva e-Privacy non prevede un meccanismo di cooperazione e consultazione tra le autorità di controllo, come quello disciplinato dal GDPR, ma un mero obbligo di collaborazione nell’applicazione delle norme nazionali adottate. Tuttavia, lo stesso EDPB ha sottolineato come il rapporto di legge generale- speciale che intercorre tra GDPR e Direttiva E-Privacy comporta che, nel caso di materie che rientrano nell’ambito di applicazione del GDPR, le autorità hanno l’obbligo di applicare il meccanismo di cooperazione e coerenza previsto dallo stesso[6].
Pertanto, poiché moltissimi aspetti relativi ai cookie (e, in primis, le caratteristiche del consenso) rimangono disciplinati dal GDPR, è lecito ritenere che il meccanismo di cooperazione possa applicarsi anche in tale contesto, attraverso l’opportuna individuazione dell’autorità capofila.
L’esigenza di un approccio uniforme tra le diverse autorità è stato ribadito da ultimo dall’EDPB nello Statement sul Regolamento E-Privacy del 9 marzo 2021[7]. Dda un lato, l’EDPB ha ricordato come le norme del futuro Regolamento E-Privacy dovranno essere applicate non già isolatamente, ma in combinato disposto con il GDPR. Dall’altro lato, l’EDPB ha anche evidenziato come solo un perfetto allineamento con il meccanismo di cooperazione del GDPR possa garantire la corretta applicazione del Regolamento E-privacy, non solo per evitare frammentazioni nell’applicazione della disciplina rilevante, ma anche per ridurre gli oneri dei fornitori che rischierebbero di doversi confrontare con più di 27 autorità di controllo.
L’auspicio è che il futuro Regolamento E-Privacy segua la direzione indicata dall’EDPB, facendo chiarezza sulla competenza in materia di applicazione e enforcement per i cookie, tenendo quanto più possibile in considerazione le difficoltà operative da parte dei player e la necessità di stabilire indicazioni quanto più possibile armonizzate a livello europeo.
[1] Avviso relativo alla consultazione sulle “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” – 26 novembre 2020 [9498472] (link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9498472 )
[2] Parere 5/2019 sull’interazione tra la direttiva e-privacy e il regolamento generale sulla protezione dei dati, in
particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati Adottato il 12 marzo 2019 (link: https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_it.pdf )
[3] Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 (link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_it.pdf ) e causa C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV / Planet49 GmbH
[4] Chiarimenti in merito all´attuazione della normativa in materia di cookie link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4006878
[5] Cfr. Nota 2 e Statement 03/2021 on the ePrivacy Regulation Adopted on 9 March 2021 link: (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_032021_eprivacy_regulation_en.pdf )
[6] Cfr. Nota 1
[7] Cfr. Nota 5