Privacy: dal Garante nuove linee guida sull’uso dei cookie, a tutela degli utenti del web

Il banner dei cookie: una presenza ricorrente, nella nostra navigazione web, percepita spesso come uno stop forzato e inutile che incombe sulla fruizione dei contenuti che ci interessano: il Garante per la protezione dei dati personali ricorda che non dev’essere così e fornisce agli operatori nuove linee guida, a tutela della privacy, ma anche di una miglior fruibilità dei servizi on line.

I cookie sono stringhe di testo che i siti web archiviano all’interno dei terminali che utilizziamo per navigare in internet, con due ordini di funzioni.
I cookie tecnici costituiscono una traccia atta a migliorare la nostra esperienza di navigazione, per esempio consentendo alla pagina di un sito che abbiamo visitato di ricaricarsi più velocemente, di ricordare le informazioni che abbiamo inserito in un modulo telematico o di salvare gli acquisti a cui siamo interessati in un carrello online; i cookie non tecnici sono, in genere, funzionali a veicolare la pubblicità comportamentale, ovvero a ricondurre specifiche azioni o schemi comportamentali ricorrenti a soggetti determinati, elaborandone un profilo che consenta di personalizzare in misura sempre crescente i messaggi pubblicitari: questi ultimi vengono perciò anche detti cookie di profilazione.

Il ruolo dei cookie di profilazione va al di là dell’ottimale fruizione dei servizi online e, contestualmente, richiede la memorizzazione di informazioni personali in misura maggiore, al fine di conoscere e, quindi, poter incidere con più efficacia sulle abitudini dei consumatori online: a fronte di simili caratteristiche, è previsto che solo il consenso libero, specifico, informato e inequivocabile dell’utente possa consentirne l’attivazione.

Il Garante per la protezione dei dati personali, sulla base dell’esperienza maturata negli ultimi anni, arricchita dai numerosi reclami e segnalazioni ricevute, ha dovuto riscontrare informative e modalità di acquisizione del consenso non corrette, aggravate dal crescente uso di tracciatori particolarmente invasivi e dall’aumento dei terminali utilizzati, con la proliferazione dei dispositivi IoT (Internet of Things), progettati per fornire servizi nei più svariati ambiti della vita quotidiana.

Rilevata la necessità di tracciare nuove linee-guida per gli operatori, anche alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, il Garante ha circoscritto, con le medesime, le modalità atte a veicolare un’adeguata informativa e una valida manifestazione del consenso da parte degli utenti.

L’informativa, elemento necessario e sufficiente per l’impiego dei cookie tecnici, potrà essere inserita anche nella descrizione della privacy policy presente nel sito e potrà essere resa su più canali e con diverse modalità quali pop up, video e interazioni vocali, dovendo essere cura del titolare assicurarsi che le modalità scelte ne garantiscano completezza, chiarezza e fruibilità.

Il consenso, requisito ulteriore obbligatorio per l’utilizzo dei cookie di profilazione e degli altri strumenti che abbiano la medesima funzione di tracciamento, dev’essere espresso mediante un atto positivo inequivocabile: vietato, dunque, preimpostare le caselle sul consenso e desumerne la manifestazione dal semplice scorrimento della pagina; vietato anche imporre un meccanismo vincolante tramite il cosiddetto cookie wall, ovvero condizionare la fruizione dei contenuti del sito al rilascio del consenso, il quale sarebbe in tal modo limitato nella propria libertà; prerequisito di una valida scelta è poi un cookie banner che si presenti come facilmente identificabile e leggibile.

Inequivocabili, infine, le indicazioni del Garante concernenti la reiterazione della richiesta di consenso ad ogni nuovo accesso dell’utente al medesimo sito: questa pratica, oltre a essere ridondante e invasiva, compromettendo la fluidità dell’esperienza di navigazione, nei casi di un precedente diniego dell’utente appare anche suscettibile di lederne la libertà, inducendolo ad accettare una volta per tutte i cookie di profilazione pur di proseguire nella navigazione libero dalla comparsa del banner; una nuova richiesta sarebbe giustificabile solo a fronte di intervenute modifiche concernenti l’uso dei cookie, dell’eliminazione dei medesimi dai device dell’utente o del trascorrere di un periodo di almeno 6 mesi dalla precedente presentazione del cookie banner.

Il Garante conclude le proprie linee-guida rilevando l’assenza di un sistema universalmente accettato di codifica dei cookie, che consenta di distinguere oggettivamente quelli tecnici da quelli di profilazione: fermo l’auspicio a che questo sistema venga presto definito e adottato, fino ad allora sarà il singolo titolare del trattamento a dover spiegare, integrando appositamente la propria informativa, i criteri di codifica adottati per ricondurre i cookie in uso all’uno o all’altro tipo.