Con provvedimento del 10 giugno 2021, il Garante per la Protezione dei dati personali ha adottato delle nuove Linee Guida in materia di cookie, oggetto di disciplina della direttiva 2002/58/CE (c.d. direttiva ePrivacy), aggiornando le prescrizioni già fornite sul punto nel 2014 a seguito dell’entrata in vigore del regolamento UE 679/2016 (GDPR). Di seguito si riassumono i punti più importanti del provvedimento. 

I cookie e la loro classificazione

Come è noto, i cookie sono stringhe di testo che i siti web archiviano all’interno del terminale (pc, smartphone, etc.) dell’utente, che codificano informazioni sull’utente di carattere non personale (ad es. impostazioni di lingua o tipo di dispositivo utilizzato), ovvero personale (quali indirizzo IP, nome utente, identificativo univoco, e-mail, etc.). Essi svolgono un vasto numero di funzioni, tra cui monitorare le sessioni, memorizzare informazioni sulle configurazioni relative ad un utente, agevolare e migliorare la fruizione dei contenuti online o profilare l’utente.

Si definiscono “cookie tecnici” quelli utilizzati al solo fine di fornire il servizio richiesto e “cookie di profilazione” quelli utilizzati per registrare specifiche azioni o schemi comportamentali degli utenti al fine di raggrupparlo in gruppi omogenei cui sia possibile indirizzare contenuti – es. pubblicitari – in linea con gli interessi degli utenti che ne fanno parte.

Nelle linee guida in commento, il Garante precisa che, per l’utilizzo di cookie tecnici, il titolare del trattamento ha il solo obbligo di fornire l’informativa ex art. 13 del GDPR, posto che il loro impiego è espressamente esentato dall’obbligo di acquisizione del consenso dall’art. 122 Codice Privacy. I cookie di profilazione e gli altri strumenti di tracciamento utilizzati per finalità diverse da quelle tecniche, invece, possono essere utilizzati esclusivamente previa acquisizione del consenso informato dell’utente.

Requisiti di validità del consenso e banner

Per i cookie che richiedono necessariamente l’acquisizione del consenso dell’interessato, nelle linee guida in commento, il Garante ribadisce che il semplice scrolling non costituisce mai di per sé una manifestazione valida di consenso: affinché quest’ultimo risulti legittimamente acquisito, infatti, il titolare del trattamento deve assicurarsi che l’espressione della volontà dell’utente sia inequivoca, documentabile e soprattutto corrisponda ad una sua azione consapevole.

Inoltre, l’Autorità censura il cd. meccanismo di cookie wall, con cui l’utente viene obbligato ad esprimere il proprio consenso alla ricezione di cookie di tracciamento pena l’impossibilità di accedere al sito: tale manifestazione di volontà non rispetta infatti il requisito di “libertà” di cui all’art. 4(11) del GDPR.

I titolari del trattamento sono invece tenuti ad inserire sul sito web un banner con cui l’utente che accede per la prima volta al sito può alternativamente mantenere le impostazioni di default relative ai cookie, ovvero esprimere – mediante azione positiva – il proprio consenso ad impostazioni diverse. Tali scelte devono poter essere modificate dall’utente in ogni momento e in maniera semplice, immediata e intuitiva attraverso un link da posizionarsi nel footer del sito, recante la scritta “rivedi le tue scelte sui cookie” o analoga.

Il banner in questione, ove richiesto, deve avere dimensioni sufficienti a produrre una minima discontinuità nella fruizione dei contenuti della pagina web, ma comunque tali da evitare il rischio che l’utente possa selezionare comandi (di accettazione dei cookie/chiusura del banner) in modo indesiderato o inconsapevole. Lo stesso deve poi contenere anche le seguenti indicazioni essenziali:

i) l’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default;

ii) se applicabile, un’informativa breve relativa al fatto che il sito utilizza cookie tecnici e può – solo previa acquisizione del consenso – utilizzare anche cookie di profilazione o analoghi strumenti di tracciamento;

iii) il link alla privacy policy,

iv) un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;

v) il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto determinate funzionalità dei cookie, i soggetti terzi titolari dei cookie utilizzati dal sito (il cui elenco deve essere tenuto costantemente aggiornato) e l’elenco dei cookie (eventualmente raggruppati per categorie omogenee) al cui utilizzo l’utente sceglie di acconsentire.

In alternativa alle modalità sopra indicate, resta però sempre ferma la possibilità per i titolari del trattamento di adottare diverse modalità di raccolta del consenso rispetto quegli utenti che accedono ai servizi mediante uso di credenziali di autenticazione o di accesso.

Le linee guida qui commentate criticano, infine, la tendenza, frequente tra i titolari del trattamento, a riproporre reiteratamente il banner agli utenti che hanno già negato tale consenso in precedenza, sul presupposto che questa pratica lede la libertà degli utenti inducendoli a prestare il consenso pur di proseguire nella navigazione. Ove già negato, quindi, il consenso non potrà più essere sollecitato salvo: (i) mutamento significativo delle condizioni del trattamento; (ii) impossibilità, per il gestore del sito web, di sapere che un cookie è stato già in precedenza memorizzato sul dispositivo dell’utente; (iii) siano trascorsi almeno 6 mesi dalla precedente visualizzazione del banner.

I cookie analytics

In tema di cookie analytics, utilizzati per valutare l’efficacia di un servizio informatico (ad es. per misurare il “traffico” di un sito web), il Garante invece ribadisce la loro equiparabilità ai cookie tecnici – con conseguente applicabilità delle relative esenzioni per il consenso e il banner – a patto che gli stessi impediscano la diretta identificazione dell’interessato, sottolineando, inoltre, la necessità che il loro uso sia limitato unicamente alla produzione di statistiche aggregate.

L’informativa

Le linee guida concludono, infine, ammettendo che l’informativa sul trattamento di cui all’art. 13 GDPR possa essere fornita anche per il tramite di più canali e modalità, più dinamici e meno tradizionali (cd. informativa “multichannel”), come ad es. pop-up informativi, interazioni vocali, assistenti virtuali, impiego del telefono, chatbot.