“Cookie or not cookie: questo è il dilemma”

***

In ambito data protection, la pausa natalizia ha visto molti addetti ai lavori (e non solo) “divorare” cookies, ma ben diversi dagli omini di marzapane, intangibili e digitali.

L’Autorità Garante per la protezione dei dati personali (“Garante”), infatti, lo scorso 26.11.2020 ha sottoposto a consultazione pubblica la bozza di “Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento” (Linee Guida).

A tale attività sul piano nazionale, è seguita, lo scorso 5.1.2021, la pubblicazione da parte del Consiglio dell’Unione Europea della proposta del nuovo Regolamento e-Privacy. Nell’ipotesi in cui venisse approvata la proposta in esame, la Direttiva e-Privacy (2002/58/CE) verrà abrogata il 1.8.2022.

Cosa sono i cookie?

Prima di disegnare i possibili futuri scenari, analizziamo cosa sono i cookie.

Tecnicamente i cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente, ovvero siti o web server diversi (cd. “terze parti”), posizionano e archiviano all’interno dello smartphone, del personal computer dell’utente. Il medesimo risultato può essere conseguito anche mediante l’utilizzo di altri strumenti (c.d. “identificativi attivi” e “passivi”), che consentono di effettuare trattamenti analoghi a quelli sopra indicati.

I cookie possono essere (i) tecnici, (ii) analytics, (iii) di profilazione, e per quest’ultima categoria è previsto necessariamente il consenso dell’interessato.

Per comprendere il ruolo e l’importanza dei cookie nell’economia dei dati, si evidenzia come solo nel 2018 il business della digital advertising abbia raggiunto i 55 miliardi di euro, facendo segnare un +14% rispetto all’anno precedente[1]. Ciò in quanto i cookie, consentono di identificare un utente, profilarlo, riconoscerlo e sapere cosa preferisce e cosa potrebbe desiderare, e non solo avendo riguardo delle sue abitudini di consumo: informazioni pregiate nella società dell’informazione.

Anche se il GDPR ha introdotto novità applicabili anche al mondo dei cookie - come per esempio la natura libera, specifica, informata, inequivocabile, dimostrabile e revocabile del consenso - il mercato non sembra averle recepite, nonostante fossero state ribadite con forza dall’European Data Protection Board attraverso le Linee Guida sul consenso del 4.5.2020, concetti poi ripresi anche dal Garante nella redazione dell’ultimo draft oggetto di consultazione.

Cosa prevedono le Linee Guida del Garante?

Tra le indicazioni di maggiore interesse -in attesa del testo definitivo- si annoverano quelle connesse all’informativa ed al consenso, ed in particolare:

• semplificazione del linguaggio e maggiore accessibilità ai contenuti;
• predisposizione in modalità multilayer (dislocata su più livelli) e multichannel (per il tramite di più canali e modalità);
• in caso di utilizzo di soli cookie tecnici, collocazione dell’informazione nella home page del sito o all’interno dell’informativa generale;
• utilizzo di banner a comparsa immediata e di adeguate dimensioni che contengono, tra gli altri, (i) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento con le relative finalità (informativa breve) e (ii) il link alla privacy policy contenente l’informativa completa;
• previsione di un comando per accettare tutti i cookie; previsione di un comando (come ad esempio un X in alto a destra sul banner) per chiudere il banner senza prestare il consenso all’uso dei cookie;
• previsione di un link che rinvii ad altra area dove l’utente può selezionare analiticamente i cookie di prima e/o terza parte e, attraverso altre due pulsanti, prestare il consenso a tutti i cookie ove non rilasciato in precedenza o revocarlo se già espresso;
• eliminazione della reiterazione della richiesta del consenso, ad eccezione dell’ipotesi in cui, ad esempio, mutino una o più condizioni alle quali il consenso è stato raccolto;
• divieto di utilizzo dello scrolling quale modalità di acquisizione del consenso, salvo che il titolare nel principio di accountability dimostri che l’utente abbia posto in essere un’azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento;
• divieto di cookie wall[2] poiché illecito, salva l’ipotesi – da verificare caso per caso – nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento.

Proposta di Regolamento e-Privacy e cookie

La compagine portoghese nel proprio semestre alla guida della Consiglio europeo ha previsto nella nuova proposta di Regolamento e-privacy l’utilizzo per le comunicazioni elettroniche di ulteriori basi giuridiche – sulla scorta di quanto già avviene con il GDPR – quali:

1. la necessità di eseguire un contratto per l’utilizzo di dati e dei metadati;
2. la necessità di soddisfare un obbligo di legge per i soli dati delle comunicazioni elettroniche.

Il consenso, all’installazione dei cookie inoltre, non è richiesto:

a)         per i trattamenti a fini statistici, come ad esempio il conteggio dei visitatori;

b)         per eseguire un contratto richiesto dall’utente;

c)         per motivi tecnici di sicurezza, per aggiornamento software a determinate condizioni e in casi di emergenza.

I cookie walls, invece, sono ammessi solo se l’utente finale viene messo nelle condizioni di determinarsi, sulla base di informazioni chiare, precise e di facile comprensione sulle finalità dei cookie e di tecniche analoghe, tra un'offerta che comprende il consenso all'uso di cookie per scopi aggiuntivi, da un lato, e un'offerta equivalente dello stesso fornitore che non comporta il consenso all'uso di dati per scopi aggiuntivi, dall'altro.

Al contrario, in alcuni casi, far dipendere l'accesso al contenuto del sito web dal consenso all'uso di tali cookie può essere considerato, in presenza di un evidente squilibrio tra l'utente finale e il fornitore di servizi, come privare l'utente finale di una vera scelta. Tale squilibrio potrebbe esistere quando l'utente finale ha solo poche o nessuna alternativa al servizio, e quindi non ha una scelta reale per quanto riguarda l'uso dei cookie, ad esempio nel caso di fornitori di servizi in posizione dominante. Diverso il caso dei siti web che forniscono determinati servizi di interesse pubblico, come quelli forniti dalle autorità pubbliche. 

Conclusioni

I titolari del trattamento, alla luce delle recenti Linee Guida del Garante ed in attesa dell’approvazione del Regolamento e-Privacy, dovranno tenersi pronti ad adeguare le proprie piattaforme, relativamente all’informativa, alle modalità di acquisizione del consenso, ma anche ai rapporti con le terze parti coinvolte nell’elaborazione dei cookies.

Tutto questo sta accadendo in un mercato in cui si assiste alla crescita dei grandi operatori internazionali, a volte attraverso una distorta applicazione della normativa sulla protezione dei dati personali, non senza pregiudizio per la libertà di impresa, notoriamente diritto costituzionalmente garantito, tanto da avviare indagini anche da parte delle autorità Antitrust.

[1] Report di IAB Europe, consultabile al seguente link: https://iabeurope.eu/all-news/european-digital-advertising-market-excee…

[2] Si tratta di cookie che impediscono di visitare il sito in assenza di consenso, obbligando di fatto gli utenti ad accettarli.