L’impatto del GDPR sulla Cookie Law in Italia e in Europa Analisi della normativa previgente sull'informativa e consenso per l'uso di Cookie Tecnici, Statistici, di Terze Parti e di Profilazione e impatto del GDPR

L'impatto del GDPR sulla Cookie Law in Italia e in Europa

Recepita in Italia con un anno di ritardo, ovvero nel maggio 2012 (D. Lgs. 69/2012), la Direttiva 2009/136/CE, oggi Articolo 122, impone il consenso specifico, informato, libero dell’utente/contraente per l’installazione di informazioni (cookie, apps) e/o l’accesso ad informazioni sul terminale degli utenti.

Il Garante della Privacy ha rilasciato diverse pubblicazioni per chiarire meglio le necessità, da parte dei proprietari ovvero gestori del sito web, di produrre l’informativa e/o il consenso nel caso in cui il sito preveda la generazione di cookie sul dispositivo di navigazione dell’utente: tra le più utili, vi sono senza dubbio le FAQ sull’Informativa e consenso per l’uso dei cookie, il Provvedimento sull’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie dell’8 maggio 2014 e, successivamente, i Chiarimenti in merito all’attuazione della normativa in materia di cookie.

Tipologie di Cookie

La Cookie Law in Italia è dunque la somma ragionata di quanto previsto dalla Direttiva e delle specifiche contenute nei documenti di cui sopra. Il primo elemento da approfondire è relativo alle definizioni delle varie tipologie di cookie individuate dal Garante:

  • Cookie Tecnici
  • Cookie di Profilazione o Statistici
  • Cookie di Terze Parti

Per ciascuno di essi sono previste determinate regole relative all’informativa e alla raccolta del consenso che gli editori di siti web devono obbligatoriamente rispettare.

Cookie Tecnici

I Cookie Tecnici sono, come già detto poc’anzi, i cookie necessari per far funzionare il servizio. In questi casi serve l’informativa (per informare l’utente di ciò che accade e perché), ma non il consenso. Ovviamente, è comunque possibile impostare il proprio browser per rifiutare la creazione di qualsiasi tipo di cookie (opt-out), ma questo potrebbe compromettere il corretto funzionamento del sito web ovvero di alcune sue funzionalità.

La distinzione tra cookie tecnici e cookie di profilazione viene fornita dal Garante in modo esplicito nel provvedimento Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie dell’8 maggio 2014, quando specifica nella premessa 1, “Considerazioni preliminari”, che:

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

 

Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

 

[…]

 

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.

Cookie Statistici o di Profilazione

I Cookie Statistici sono i cosiddetti trackers, ovvero strumenti utilizzati dal gestore del sito per tenere traccia di alcune caratteristiche (prevalentemente comportamentali) sulla navigazione dell’utente, ovvero sulle azioni compiute dall’utente sul proprio sito web. Anche in questo caso l’informativa è necessaria, ma non è previsto il consenso: in caso di opt-out, le funzionalità del sito devono comunque essere garantite.

Cookie di Terze Parti

I Cookie di Terze Parti identificano quei cookie utilizzati per integrare all’interno delle pagine del sito web alcune funzionalità sviluppate da fornitori terzi, come ad esempio: esprimere preferenze in social network; condividere i contenuti del sito via social network o mail; l’integrazione delle mappe visuali – es. Google Maps; servizi di condivisione di video – es. Youtube – o immagini – es. Flickr, Instagram, Pinterest et al.

Questi cookie sono inviati da domini esterni – ovvero da siti partner – che mettono a disposizione le loro funzionalità in siti terzi al fine di ottimizzare l’esperienza utente. Questi specifici cookie non sono controllati dal publisher che gestisce il sito web originario e, di conseguenza, quest’ultimo può declinare ogni responsabilità per le informazioni registrate in tali cookie e per l’eventuale utilizzo effettuato dalle terze parti nel caso in cui l’interessato non eserciti la propria facoltà di opt-out.

Quando il consenso non è necessario

In linea con quanto previsto dalla direttiva UE, i Chiarimenti in merito all’attuazione della normativa in materia di Cookie – pubblicati dal Garante il 5 giugno 2015 – confermano che non serve raccogliere il consenso per i cookie tecnici, ovvero quelli che abbiano una funzione strettamente tecnico-funzionale:

Si conferma che per l´uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad es. inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento.

Il “banner” a cui la pubblicazione fa riferimento alle modalità di acquisizione del consenso previste nel paragrafo 4.1 del provvedimento dell’8 maggio 2014, del quale avremo modo di parlare più avanti.

Oltre ai cookie tecnici, i chiarimenti sottolineano come non sussista la necessità di consenso anche per i cookie analitici e/o statistici con dati aggregati, come ad esempio quelli che servono a monitorare l’utilizzo del sito da parte degli utenti per finalità di ottimizzazione dello stesso. Questi ultimi possono essere assimilati ai cookie tecnici nella misura in cui siano realizzati e utilizzati direttamente dal publisher, ovvero senza soggetti terzi.

Nel caso di cookie “tecnici” di terze parti, il consenso non è necessario nei casi in cui:

  • vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie (ad esempio, mediante il mascheramento di porzioni significative dell´indirizzo IP).
  • sussistano vincoli contrattuali tra il publisher e le terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte a utilizzare i cookie esclusivamente per la fornitura del servizio, a conservarli separatamente e a non arricchirli o incrociarli con altre informazioni di cui esse dispongano (ad es. per finalità di profilazione).

E’ quindi legittimo sostenere che in determinati casi – qualora le condizioni di cui sopra siano rispettate – i cookie di terze parti possono essere equiparati ai cookie tecnici.

Un perfetto esempio è dato dai cookie di servizi di monitoring come Google Analytics, che nella sua privacy policy chiarisce il rispetto delle condizioni di cui sopra (IP masking, et al.) a patto di non abilitare le opzioni che consentono la raccolta dati per le funzioni pubblicitarie, come il remarketing e la generazione di rapporti:

L'impatto del GDPR sulla Cookie Law in Italia e in Europa

Le indicazioni del Garante

Nel provvedimento dell’8 maggio 2014 il Garante fornisce un set di linee-guida molto precise per implementare l’informativa e il consenso nei vari siti che costituiscono un vero e proprio unicum nel panorama normativo italiano in ambito Privacy: un metodo del tutto inedito che, se da una parte ha il grande vantaggio di semplificare le attività implementative a carico del publisher, dall’altra mette in discussione il principio di facta concludentia finora applicato in tutti i casi di raccolta del consenso.

Il “banner” di consenso

In dettaglio, il provvedimento richiede che l’utente/contraente, quando arriva per la prima volta sulla pagina di un sito web ovvero quando sta installando per la prima volta l’applicativo, debba poter visualizzare, soltanto quando è previsto il consenso, un banner contenente la seguente informativa semplificata:

Questo sito utilizza cookie di profilazione (propri o di altri siti) per inviarti pubblicità in linea con le tue preferenze. Se vuoi saperne di più e negare il consenso a tutti o ad alcuni Cookie, clicca qui. Se accedi a un qualunque elemento sottostante a questo banner, acconsenti all’uso dei Cookie.

Il testo informativo di cui sopra è contenuto nel provvedimento ed è quindi un modello proposto dallo stesso Garante Privacy. La formulazione utilizzata prevede l’implementazione di un banner di tipo window overlay che provochi una reale discontinuità nell’esperienza di navigazione, ponendosi al di sopra del sito web e richiedendo quindi l’attenzione immediata (e un feedback obbligato) da parte dell’utente.

La “striscia” in overlay

Come ben sappiamo, la maggior parte dei siti web implementa questa informativa semplificata mediante la comparsa di una overlay strip, ovvero di una “striscia” in sovraimpressione, solitamente posta sul lato superiore o inferiore della pagina: questa modalità di presentazione favorisce l’esperienza di navigazione dell’utente ma ha l’enorme svantaggio – da un punto di vista di Privacy – di non provocare alcuna discontinuità nell’esperienza di navigazione. Di conseguenza, alcuni utenti potrebbero ignorare il messaggio e/o proseguire la navigazione senza di fatto leggere l’informativa ovvero rilasciare alcun consenso.

Window dressing

Un particolare sottoinsieme della problematica descritta nel paragrafo precedente è costituito dall’utilizzo diffuso della pratica del window dressing, operata dalla maggior parte dei siti web.

Il termine window dressing è utilizzato per descrivere alcune strategie di marketing volte a mettere in buona luce determinati prodotti o servizi in modo artificioso, con l’obiettivo di aumentarne l’appeal a prescindere dalla qualità intrinseca (che resta inviariata). Si tratta di una definizione molto in voga in ambito finanziario, dove è utilizzata per descrivere le attività di compravendita effettuate da alcuni fondi di investimento a fine anno o a fine quarter con l’obiettivo di migliorare le performance del fondo subito prima di sottoporre il rapporto degli andamenti agli investitori.

Una strategia analoga è quella portata avanti da quei siti web che, costretti a dotarsi dell’informativa semplificata descritta nei paragrafi precedenti, presentano la suddetta senza però subordinare la creazione dei cookie di profilazione all’accettazione del consenso. Anche in questo caso ci troviamo di fronte a una implementazione impropria, in quanto gli utenti possono essere oggetto di profilazione anche senza aver fornito il proprio consenso.

Il ruolo del “Clicca qui”

Le parole “clicca qui” contenute nell’esempio di informativa semplificata proposto dal Garante dovranno puntare a una pagina specifica, all’interno della quale l’utente potrà trovare:

  • L’informativa completa sull’utilizzo dei Cookie (e relativa Policy), con descrizione puntuale delle tipologie di cookie utilizzati all’interno del sito e recapiti del publisher.
  • Le informazioni o funzionalità necessarie per consentire all’utente di effettuare l’opt-out dai cookie statistici o di profilazione; tali funzionalità, nei cookie di terze parti, possono essere implementate anche mediante un link alla pagina del servizio terzo sulla quale l’utente ha modo di effettuare l’opt-out.

Un consenso altamente mediato

E’ impossibile non notare come queste modalità del tutto atipiche di recepimento del “consenso” (il virgolettato è d’obbligo) siano evidentemente frutto di una mediazione avvenuta tra le esigenze del Garante Privacy e quelle dell’industria digitale: in altre parole, si tratta di una forma di “agevolazione” concessa dal Garant alle società che si occupano di business sul web, a tutela dei volumi di traffico e delle conversioni.

E’ opportuno sottolineare come questo tipo di mediazione non sia una prerogativa italiana: analoghi compromessi sono stati stipulati anche dagli altri Garanti europei, a fronte di esigenze del tutto similari manifestate dai publisher dei vari paesi.

Consenso al Cookie e consenso alla Profilazione

Con l’introduzione del GDPR, i Garanti Europei hanno deciso di operare una importante distinzione tra il consenso fornito dall’interessato all’utilizzo dei cookie durante l’esperienza di navigazione (che prevede la generazione degli stessi sul proprio dispositivo) e quello dato per finalità statistiche o di profilazione.

Nonostante questa riflessione, ancora una volta – in virtù della semplificazione – viene stabilito che le due informative possono essere unite in una singola casella di testo, con un’importante precisazione: i dati raccolti in questo modo – ovvero mediante l’utilizzo di cookie statistici e di profilazione, anche di terze parti – possono essere utilizzati solo ed esclusivamente in relazione all’esperienza di navigazione online dell’interessato. In altre parole, i dati statistici raccolti in questo modo – in mancanza di un consenso specifico per la profilazione tout-court – non potranno essere utilizzati per finalità di profilazione ulteriori, come ad esempio l’alimentazione di un CRM, l’invio di dati a una SIC o una Business Information, e così via.

Sanzioni

Il Garante della Privacy, tenuto conto dell’impatto anche economico della direttiva, ha previsto – nel maggio 2014 – un tempo di adeguamento di un anno a decorrere dalla pubblicazione della presente normativa. Oggi, a distanza di tre anni dall’introduzione dell’obbligo, un portale non aggiornato può incorrere in sanzioni anche molto elevate.

  • Per il caso di omessa o non idonea informativa, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice, nel presente provvedimento, è prevista la sanzione amministrativa del pagamento di una somma da 6.000 a 36.0000 euro (art. 161 del Codice Privacy).
  • L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da 10.000 a 120.000 euro (art. 162, comma 2-bis del Codice Privacy).
  • L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da 20.000 a 120.000 euro (art. 163 del Codice Privacy).
Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.
RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane.

View all posts by Ryan