| Cookie, pubblicate le Linee Guida del Garante Privacy
5 agosto 2021
Al termine del periodo di consultazione seguito alla prima “bozza” di provvedimento[1] il Garante, lo scorso 10 giugno, ha pubblicato la versione definitiva delle Linee Guida Cookie e altri strumenti di tracciamento[2].
Sul sito dell’Autorità è anche disponibile una pagina dedicata all’argomento[3].
| Sintesi
Le aziende hanno 6 mesi, a partire dal 10 luglio scorso, per adeguarsi a novità che avranno impatti notevoli sulla gestione dei siti web:
- potranno essere installati, di default, esclusivamente traccianti[4] tecnici strettamente necessari alla fruizione dei servizi richiesti dall’utente;
- quest’ultimo non dovrà reiterare, ad ogni accesso, le proprie scelte;
- eccettuati i cookie tecnici, tutte le altre tipologie di tracciamento sono soggette alla disciplina del consenso.
| Il mercato Ad Tech
La vasta tipologia di web tracker disponibili è una caratteristica predominante dell’attuale mercato “ad-tech”, ormai dominato da una crescente e pervasiva osservazione e utilizzo a fini commerciali dei comportamenti degli utenti.
I tanti tool disponibili consentono di analizzare e gestire informazioni e dati personali e di utilizzarle nelle campagne di advertising, divenute sostanzialmente automatizzate a partire dalla raccolta delle informazioni per passare attraverso la gestione e la vendita degli spazi pubblicitari, con l’intervento di sistemi automatizzati di “piazzamento” delle inserzioni, per finire con procedure di acquisto anch’esse completamente automatizzate. E’ un processo che coinvolge non solo i publisher, le “prime parti” che utilizzano i traccianti direttamente sul proprio sito, ma anche le cosiddette “terze parti”, variamente ma massicciamente coinvolte nel sistema[5].
E’ per tale motivo che una delle prime classificazioni dei cookie (di qui in seguito si manterrà tale denominazione anche per riferirsi, più in generale, a tutti gli strumenti di tracciamento, come del resto indicato anche nel provvedimento in esame) è quella di cookie installati direttamente dal titolare del sito (publisher), di prima parte o, da questi, per conto di terzi (di terza parte).
Si tratta di piccoli file di testo che il sito visitato trasmette al device dell’utente (macchina fissa o portabile che sia): in occasione di una visita successiva, sul medesimo sito o su altri siti, il file memorizzato nel device dell’utente viene riconosciuto: il cookie registra e “ricorda” le attività poste in essere e può essere, così, analizzato dal sito o dagli operatori che abbiamo visto coinvolti (cfr. nota 5).
I cookie possono avere finalità assai utili, come ricordare gli articoli del carrello già selezionati, le credenziali di accesso a particolari pagine e anche scelte e preferenze particolarmente utili, come quelle della lingua dell’utente: si parla in questo caso, di cookie tecnici.
Essi, come anticipato, registrando tutte le attività dell’utente, consentono di tracciarne un profilo di comportamento, sia attuale sia eventualmente futuro, notevolmente accurato:
- raccolgono informazioni relative all’attività online,
- intercettano gli interessi degli utenti,
- memorizzano i siti visitati, la cronologia delle pagine, quali app si utilizzano, quali servizi, per quanto tempo: lo fanno in modo estremamente sofisticato,
- raccolgono dati e informazioni sugli acquisti effettuati, sui prodotti esaminati,
- geolocalizzano le attività eseguite,
- collegano le informazioni ottenute da diversi dispositivi (se visitiamo siti dalla macchina che utilizziamo per lavoro, se lo facciamo con il telefono cellulare e, così, con tutti gli strumenti a nostra disposizione, interconnessi e ormai sempre più “sincronizzati”),
- memorizzano le interazioni con gli annunci trovati.
In definitiva può ben dirsi che questi cookie servano per creare profili di utenti e proporre contenuti sempre più personalizzati; per questo motivo sono definiti anche cookie di profilazione.
Vale la pena ricordare, come ha fatto la nostra Autorità, che i web tracker, diversi dai cookie (definiti marcatori “attivi”), presentano profili di particolare insidiosità: sono identificatori “passivi”, perché hanno la cui caratteristica di essere degli “osservatori” dei comportamenti degli utenti e sono, quindi, molto meno controllabili: le tecnologie consentono di identificare un dispositivo con la semplice raccolta (osservazione) di tutte o di alcune informazioni derivanti dalla configurazione dello stesso; non consentono, a differenza dei marcatori attivi, di utilizzare strumenti “autonomamente azionabili”, perché per la loro disattivazione è necessaria la cooperazione del titolare (di coloro che li utilizzano a propri fini); gli utenti non hanno nemmeno la consapevolezza di essere profilati mentre lasciano moltitudini di impronte digitali mentre navigano[6].
| Il consenso, lo scrolling e i cc.dd. cookie wall
L’Autorità ribadisce, in sostanza, i principi già espressi nelle Linee Guida che erano state poste in consultazione: il consenso, al di fuori dei cookie di natura tecnica, rimane l’unica base giuridica legittima per l’installazione dei sistemi di tracciamento e profilazione degli utenti.
Il “mero” scroll down del mouse[7] sulla pagina rimane inadatto, in sé, alla raccolta di un idoneo consenso per l’installazione e l’utilizzo di ogni strumento di tracciamento delle attività degli utenti.
Il Garante concede che, ove il titolare del sito sia in grado di progettare, implementare, utilizzare e successivamente documentare un processo nel quale lo scroll down intervenga come parte di una modalità di acquisizione del consenso che consenta all’utente di segnalare positivamente e in modo provabile da parte del publisher, con la “generazione di un preciso pattern” comportamentale, che corrisponda ad un evento informatico inequivoco e documentabile, scevro di possibili “falsi negativi”, che l’utente abbia operato una scelta libera, inequivoca e consapevole, sia possibile optare anche per una tale modalità di prestazione del consenso. Va da sé che si tratta, al momento, probabilmente di una scelta estremamente complicata e ancora troppo costosa per la maggior parte dei domini in circolazione.
Anche in relazione ai cc.dd. cookie wall, ossia quei banner che propongono un semplice “prendere o lasciare”, inteso come unica possibilità di accettazione o rifiuto dei traccianti, con la conseguente impossibilità di navigazione in caso di rifiuto, l’Autorità ribadisce il noto e condiviso (come pure in relazione al sopra visto scrolling) orientamento europeo: si tratta di modalità e procedure non lecite.
| I “nuovi” banner
Le nuove regole impongono ai siti di fare in modo che l’utente possa rifiutare tutte le tipologie di tracciamento con un semplice clic su una “X”, senza essere costretto ad accedere ad altre pagine, sezioni o schede per effettuare ulteriori scelte.
Con questa azione dovrà essere possibile chiudere la finestra del pop up o del banner di richiesta del consenso, strumento che dovrà essere configurato, anche graficamente, in modo tale da avere un’evidenza simile a quella di ulteriori comandi o pulsanti che servano a esprimere volontà negoziali dell’utente.
In altre parole dovranno essere tasti o opzioni immediate e accessibili quanto quelle previste per la prestazione del consenso.
E’ evidente l’intento dell’Autorità di evitare i cc.dd. dark pattern, ossia metodologie e modalità con le quali si inducono comportamenti e azioni non completamente consapevoli da parte degli utenti, “dirottati” o invogliati in un senso piuttosto che in un altro, ovviamente a favore di coloro che utilizzano questi sistemi, di fatto manipolatori.
Il banner, la finestra, il pop up dovranno contenere:
- l’indicazione che il clic sulla “X” comporterà il mantenimento delle opzioni di default, senza installazione di alcun tracciante, ad esclusione di quelli tecnicamente necessari per la navigazione dell’utente;
- una informativa minima con indicazione che il sito utilizza, eventualmente, strumenti di tracciamento ulteriori rispetto a quelli tecnici e che sono però soggetti alla regola del consenso[8];
- un link alla privacy policy estesa, in un second layer, accessibile con un solo click, anche per il tramite di un collegamento posizionato nel footer del sito;
- un pulsante con il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti gli strumenti di tracciamento;
- un link ad una ulteriore area dedicata nella quale sia possibile selezionare analiticamente le sole funzionalità o finalità, per categorie omogenee, per le quali si intenda accettare la profilazione (si noti che l’elenco deve essere mantenuto costantemente aggiornato).
Evidente che se il sito utilizza solamente cookie di natura tecnica l’ulteriore predisposizione del banner di cui si è detto, con le viste funzionalità, potrà essere evitata. Resta peraltro evidente il rilievo dato a un’impostazione ormai conosciuta e apprezzata, ossia quella della “granularità” delle opzioni e delle comunicazioni, la c.d. multilayered notice.
| Nuovi accessi e scelta iniziale
Uno degli aspetti che dovrebbe significativamente modificare le attuali modalità di navigazione è certamente quello per il quale i siti non potranno più riproporre, nelle visite successive, le medesime scelte già effettuate dagli utenti che, ed è esperienza comune e talvolta esasperante, sono costretti, ad ogni nuovo accesso, a ripetere le opzioni di scelta già effettuate in precedenza.
La riproposizione del banner con le opzioni di default già viste potrà avvenire solamente:
- in caso di significativo mutamento delle condizioni di trattamento e, di conseguenza, esso assolva a funzioni realmente informative (come quando vi siano cambiamenti nelle terze parti),
- quando sia impossibile sapere, per il titolare del sito, se l’utente abbia o meno già effettuato le proprie scelte (come accade quando l’utente cancella, dai propri dispositivi, i cookie o cambi i propri device o, ancora, modifichi le proprie impostazioni su una determinata macchina),
- quando siano trascorsi almeno 6 mesi dalla precedente presentazione.
| “Rivedi le tue scelte”
Gli utenti dovranno essere messi nella condizione di poter modificare le scelte già compiute, in un senso (diniego al tracciamento) o nell’altro (scelta di alcune impostazioni di tracciamento) in modo semplice, immediato e intuitivo.
Dovrà dunque essere creata una apposita area, accessibile con un link, presumibilmente nel footer del sito, che renda esplicita tale funzionalità.
| Gli analytics
Si tratta di tecnologie che possono essere utilizzate anche per valutare l’efficacia dei servizi, per misurare il traffico e il numero dei visitatori, anche clusterizzati per fasce orarie, geografiche, ecc..
L’Autorità precisa che, per poter essere considerati, e quindi assimilati, ai cookie tecnici, devono essere progettati per funzionare senza che sia possibile l’individuazione degli utenti (ossia il c.d. single out[9]): di conseguenza la struttura degli stessi dovrà prevedere che lo stesso cookie non sia riferibile soltanto a un dispositivo ma a più macchine, di modo che vi sia incertezza sull’identità informatica del soggetto che lo riceve: ciò potrà avvenire mediante opportuno mascheramento di porzioni dell’indirizzo IP all’interno del cookie[10].
| In conclusione
| Consenso
Il consenso, libero, informato, inequivoco e documentabile resta l’unica base giuridica legittima per l’installazione di strumenti di profilazione
| Categorie di cookie
Cookie tecnici (compresi analytics con ID mascherato): legittimi
Cookie e traccianti di profilazione: solo con il consenso
| Informazioni stratificate
Una prima informativa breve con possibilità di negare ogni tracciamento
Una seconda, completa informativa in altra sezione, facilmente raggiungibile, con indicazioni per tipologia e caratteristiche di altri strumenti e relative opzioni
| Rinnovo e revisione
La richiesta non deve essere riproposta ad ogni accesso, ma deve essere modificabile dall’utente tramite una sezione dedicata, facilmente raggiungibile
[1] In relazione al quale sia consentito rinviare a: https://studiolegalebroglia.com/2020/12/11/2172/
[2] Il provvedimento è scaricabile qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876
[3] Pagina delle Frequently Asked Questions del Garante: https://www.garanteprivacy.it/faq/cookie
[4] Vale la pena sottolineare che il provvedimento si applica non solo a strumenti “attivi”, come i cookie ma a tutte le tecnologie di tracciamento, anche “passive”, ossia agli identificatori variamenti noti con il termine fingerprinting (indirizzi Ip, marcatori temporanei, identificativi di vario genere come tag di identificazione, plugin, image, IFrame, Script, Script Request, Beacon, Fonts, Stylesheet, Media, …).
[5] A mero titolo esemplificativo, nel c.d. “programmatic buying“, intervengono una moltitudine di attori: agenzie pubblicitarie, che lavorano con gli inserzionisti per creare e gestire campagne pubblicitarie e promuovere prodotti e servizi delle aziende; aziende aggregatrici di dati, che raccolgono informazioni da più fonti per segmentare la possibile clientela di utenti in base agli interessi manifestati durante le navigazioni; agenzie pubblicitarie che operano in collaborazione con piattaforme demand side (DSP), che agevolano i media buyer (ossia le agenzie e gli inserzionisti) nell’accesso agli ad exchange, per pianificare l’acquisto automatizzato di spazi pubblicitari (attraverso tali piattaforme vengono definiti i criteri per lo svolgimento delle campagne pubblicitarie, ossia utenze, profili, cluster target, budget e tempistiche di acquisto spazi e pubblicazioni e così via, al fine della massimizzazione dei risultati); editori web, che promuovono servizi e prodotti tramite i propri siti; inserzionisti, che vendono e gestiscono campagne pubblicitarie; piattaforme di gestione dei dati (DMP: Data Management Platform), che raccolgono e utilizzano dati e informazioni; piattaforme di data selling, ecc.. Il fenomeno è noto: la navigazione degli utenti, costantemente tracciata mediante le tecnologie di cui stiamo parlando, consente di esaminare, verificare e prevedere l’interesse o i possibili interessi degli utenti. La complessa e articolata filiera di cui abbiamo dato solo un cenno è in grado di esaminare, prevedere, raccogliere tali interessi e veicolare spazi e inserzioni, con tempistiche, prezzi e modalità dedicate, agli inserzionisti disposti ad aggiudicarsi modalità e tempistiche migliori o più adatte ai propri interessi, attraverso gli strumenti e i publisher più confacenti. Il sistema agisce anche tramite appositi “exchange”, ossia sistemi automatizzati d’asta.
[6] Fingerprint, fonte Wikipedia: “La fingerprint (impronta digitale) in informatica è una sequenza alfanumerica o stringa di bit di lunghezza prefissata che identifica un certo file con le caratteristiche intrinseche stesse del file.” Le “impronte” digitali del dispositivo, della macchina o del browser sono informazioni raccolte su un dispositivo di elaborazione remota ai fini dell’identificazione; possono essere utilizzate per identificare completamente o parzialmente singoli utenti o dispositivi anche quando i cookie sono disattivati. Cfr. anche: https://arstechnica.com/information-technology/2017/02/now-sites-can-fingerprint-you-online-even-when-you-use-multiple-browsers/ e https://www.cybersecurity360.it/nuove-minacce/il-fingerprinting-del-browser-cose-e-come-funziona-il-tracciamento-delle-nostre-attivita-online/.
[7] Su questo e altri aspetti, si richiama quanto già evidenziato nel contributo citato alla nota 1.
[8] Vale la pena ricordare che il consenso deve essere libero, specifico, informato e inequivocabile: si veda l’art. 4, n. 11) del GDPR. Le disposizioni in materia di elementi traccianti sui dispositivi degli utenti sono applicabili in virtù dell’art. 122 del Codice Privacy: tali disposizioni, precedenti all’entrata in vigore del GDPR, sono applicabili al settore delle comunicazioni elettroniche. L’articolo è stato introdotto in ossequio alle disposizioni della Dir. 2020/58/CE del Parlamento europeo e del Consiglio (c.d. direttiva ePrivacy); tali disposizioni sono da considerarsi lex specialis; di conseguenza si applicano tutte le volte in cui rendano prescrizioni più specifiche mentre, allorché facciano riferimento ai principi generali, le norme del Regolamento tornano ad avere applicabilità generale. E’ questo il motivo per il quale per la definizione e per le caratteristiche del consenso si fa riferimento al GDPR.
[9] Ossia la capacità di isolare dati che identificano un soggetto. Si tratta di concetti noti soprattutto laddove si discuta di anonimizzazione: perché un dato sia effettivamente anonimo, infatti, deve avere caratteristiche di i) impossibilità di single out; ii) unlinkability; iii) impossibilità di inferenza.
[10] Per maggiori dettagli relativi agli analytics, si veda il provvedimento laddove precisa le misure implementabili in riferimento agli indirizzi IP versione 4 (IPv4) e versione 6 (IPv6).