Il Garante privacy ha pubblicato la bozza di “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”, aprendo una consultazione pubblica sul tema.
Il 10 dicembre 2020, il Garante per la protezione dei dati personali ha comunicato, mediante avviso ufficiale, di aver adottato le nuove “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” – aperte a consultazione pubblica per i 30 giorni successivi alla pubblicazione in Gazzetta Ufficiale del suddetto avviso, i.e., sino al 10 gennaio 2020 – nonché una scheda di sintesi delle regole per l’uso dei cookie da parte dei gestori dei siti ivi contenute.
Le nuove linee guida sui cookie sono volte ad integrare il provvedimento relativo all’ “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l´uso dei cookie” dell’8 maggio 2014 e a precisarne le relative disposizioni alla luce di quanto successivamente disposto ai sensi del Regolamento (UE) 679/2016 (il GDPR) – che ha fortemente rafforzato il potere di controllo delle persone, puntando sia sul carattere “inequivocabile” del consenso al trattamento dei dati personali, sia sull’attuazione dei principi di privacy by design e by default –, nonché in base alle indicazioni sul tema fornite dall’European Data Protection Board (l’EDPB) nelle recenti Linee guida 5/2020 sul consenso.
In particolare, tra le altre, richiamando espressamente le suddette Linee Guida 5/2020 sul consenso, il Garante privacy conferma la posizione assunta dall’EDPB in tema di scrolling, dichiarando quindi che il mero scorrimento sulla pagina di un sito web da parte dell’utente non è sufficiente a far presumere il consenso di quest’ultimo, in quanto non manifestato in modo inequivocabile. Tuttavia, il Garante specifica altresì che non si tratta di un divieto tout court e lo scrolling quindi può essere considerato una legittima modalità di espressione del consenso nel caso in cui costituisca “una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie”. D’altra parte, è invece sempre illecito il cookie wall, trattandosi di un meccanismo di “take it or leave it” che di fatto obbliga l’utente a prestare il proprio consenso all’installazione e all’uso di cookie al fine di poter accedere al sito.
Nel documento adottato dal Garante vengono poi fornite ulteriori indicazioni circa il corretto utilizzo dei cookie e delle altre tecnologie di tracciamento da parte dei titolari dei siti web, ivi inclusi, ad esempio, ulteriori chiarimenti rispetto ai cookie analitici, ai sistemi di tracciamento “passivi” (e.g., il fingerprinting) e alla reiterazione delle richieste di consenso agli utenti, nonché rispetto a modalità di messa a disposizione dell’informativa (e.g., multilayer e multichannel) tali da consentire di sfruttare al massimo “più dinamici e meno tradizionali ulteriori punti di contatto tra il titolare e gli interessati”.
In particolare, avrà un notevole impatto operativo per le azienda la necessità di consentire l’attivazione e disattivazione dei cookie con modalità granulari e con la stessa facilità. Infatti, molti siti Internet consentono l’abilitazione di tutti i cookie tramite modalità molto agevoli, mentre la loro disattivazione è molto più complessa.
La bozza di linee guida sui cookie adottata dal Garante privacy costituisce quindi un ulteriore importante tassello che si aggiunge al quadro delle previsioni in materia di protezione dei dati personali volte “a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo”.
A nostro giudizio, ci sono aspetti delle linee guida che dovrebbero essere chiariti per evitare che l’utilizzo dei cookie divenga eccessivamente oneroso, ad esempio con riferimento alla possibilità di consentire l’abilitazione o la disabilitazione per categorie di cookie. Questa potrebbe essere utile sia per le aziende che per gli utenti in quanto è improbabile che questi ultimi analizzino uno per uno tutti i cookie installati.
Su un simile argomento, può essere interessante l’articolo “Pubblicate dall’EDPB le nuove Linee Guida sul consenso al trattamento dei dati personali che chiariscono la posizione sui cookie”.
Autore: DLA Piper
