IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti, e il dott. Fabio Mattei, segretario generale;
Vista la direttiva 2002/21/CE del 7 marzo 2002, del Parlamento
europeo e del Consiglio, che istituisce un quadro normativo comune
per le reti ed i servizi di comunicazione elettronica (c.d. direttiva
quadro), come successivamente modificata e integrata;
Vista la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento
europeo e del Consiglio, relativa al trattamento dei dati personali e
alla tutela della vita privata nel settore delle comunicazioni
elettroniche (c.d. direttiva ePrivacy), come modificata dalla
direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e
del Consiglio;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il Codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196), come modificato dal
decreto legislativo 10 agosto 2018, n. 101, recante disposizioni per
l'adeguamento dell'ordinamento nazionale al citato regolamento;
Visto il decreto legislativo 28 maggio 2012, n. 69 recante
«Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante
codice in materia di protezione dei dati personali in attuazione
delle direttive 2009/136/CE, in materia di trattamento dei dati
personali e tutela della vita privata nel settore delle comunicazioni
elettroniche, e 2009/140/CE in materia di reti e servizi di
comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla
cooperazione tra le autorita' nazionali responsabili dell'esecuzione
della normativa a tutela dei consumatori»;
Visti il parere del Gruppo di lavoro «art. 29» (di seguito WP29) n.
04/2012 in materia di Cookie Consent Exemption, adottato il 7 giugno
2012, ed il Working Document del medesimo WP29 n. 02/2013 providing
guidance on obtaining consent for cookies, adottato il 2 ottobre
2013, nonche' le linee guida del WP29 sul consenso ai sensi del
regolamento (UE) 2016/679 adottate il 10 aprile 2018, ratificate dal
Comitato europeo per la Protezione dei dati personali (di seguito,
EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines
05/2020 on consent under Regulation 2016/679 adottate il 4 maggio
2020;
Visto il parere dell'EDPB n. 05/2019 del 12 marzo 2019 sulle
interrelazioni tra la direttiva e-Privacy ed il regolamento, con
particolare riguardo alle competenze, ai compiti ed ai poteri delle
autorita' di protezione dati;
Visto il provvedimento del Garante n. 229, dell'8 maggio 2014,
relativo alla «Individuazione delle modalita' semplificate per
l'informativa e l'acquisizione del consenso per l'uso dei cookie»,
pubblicato nella Gazzetta Ufficiale della Repubblica italiana - Serie
generale del 3 giugno 2014, n. 126, del 3 giugno 2014;
Viste le FAQ in materia di informativa e consenso per l'uso dei
cookie del 3 dicembre 2014 ed i «Chiarimenti in merito all'attuazione
della normativa in materia di cookie» del 5 giugno 2015, pubblicati
dall'autorita' nel proprio sito web www.Garanteprivacy.it
Visto il provvedimento del Garante n. 161, del 19 marzo 2015,
recante le «linee guida in materia di trattamento di dati personali
per profilazione on-line», pubblicato nella Gazzetta Ufficiale della
Repubblica italiana - Serie generale, n. 103 del 6 maggio 2015;
Vista la deliberazione del Garante n. 255 del 26 novembre 2020
(doc.web n. 9498472) con la quale e' stato adottato uno schema di
«linee guida sull'utilizzo di cookie e altri strumenti di
tracciamento» (allegato 1, doc. web 9501061) nonche' l'unita scheda
di sintesi (allegato 2, doc. web 9501097), con contestuale avvio,
mediante pubblicazione del relativo avviso nella Gazzetta Ufficiale
della Repubblica italiana - Serie generale, n. 307 dell'11 dicembre
2020, di una consultazione pubblica sulle misure ivi indicate;
Visti gli esiti di tale consultazione pubblica, tesa ad «acquisire
osservazioni e proposte riguardo alle predette linee guida»;
Considerati, in particolare, i contributi pervenuti, nel previsto
termine di trenta giorni, da diverse associazioni di categoria, dagli
operatori e da soggetti appartenenti al mondo imprenditoriale, da
associazioni di consumatori, rappresentanti dell'accademia e singoli
interessati;
Vista la documentazione in atti;
Viste le osservazioni dell'ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000
del 28 giugno 2000;
Relatore l'avv. Guido Scorza;
Premesso
1. Considerazioni preliminari
Le presenti linee guida hanno innanzitutto una funzione ricognitiva
in relazione al diritto applicabile alle operazioni di lettura e di
scrittura all'interno del terminale di un utente, con specifico
riferimento all'utilizzo di cookie e di altri strumenti di
tracciamento, nonche' l'obiettivo di specificare, al riguardo, le
corrette modalita' per la fornitura dell'informativa e per
l'acquisizione del consenso on-line degli interessati, ove
necessario, alla luce della piena applicazione del regolamento (UE)
2016/679 (di seguito, regolamento).
Il quadro giuridico di riferimento e' infatti, ad oggi, costituito
tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva
ePrivacy) e successive modifiche, come recepita nell'ordinamento
nazionale all'art. 122 del decreto legislativo 30 giugno 2003, n. 196
(di seguito codice), quanto dal regolamento, per cio' che concerne
specificamente la nozione di consenso di cui agli artt. 4, punto 11)
e 7 e al considerando 32, come da ultimo interpretati dalle linee
guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato
europeo per la Protezione dei dati personali (di seguito, EDPB) il 25
maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on
consent under Regulation 2016/679 adottate il 4 maggio 2020.
In proposito il Garante, come e' noto, ha gia' adottato un
provvedimento (n. 229, dell'8 maggio 2014), volto ad «individuare le
modalita' semplificate per rendere l'informativa online agli utenti
sull'archiviazione dei c.d. cookie sui loro terminali da parte dei
siti internet visitati», come pure a «fornire idonee indicazioni
sulle modalita' con le quali procedere all'acquisizione del consenso
degli stessi, laddove richiesto dalla legge», le cui indicazioni
necessitano ora di essere integrate e precisate, in particolare con
riferimento a taluni, specifici aspetti (al fine di agevolare i
titolari del trattamento nella corretta applicazione del citato
quadro regolamentare come specificato dal richiamato provvedimento
del maggio 2014 e dalle presenti linee guida, si allega a queste
ultime una tabella riassuntiva delle indicazioni contenute in
entrambi i provvedimenti).
Da un lato deve essere infatti considerato che il regolamento, come
precisato all'art. 95, «non impone obblighi supplementari alle
persone fisiche o giuridiche in relazione al trattamento nel quadro
della fornitura di servizi di comunicazione elettronica accessibili
al pubblico su reti pubbliche di comunicazione nell'Unione, per
quanto riguarda le materie per le quali sono soggette a obblighi
specifici aventi lo stesso obiettivo fissati dalla direttiva
2002/58/CE», la quale espressamente prevede, all'art. 1, paragrafo 2,
che «le disposizioni della presente direttiva precisano e integrano
[il regolamento (EU) 2016/679] ...».
D'altro canto, non puo' essere sottovalutato come il regolamento
abbia inteso ampliare e rafforzare il potere dispositivo e di
controllo della persona riguardo al trattamento delle sue
informazioni personali, in particolar modo integrando la definizione
di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo
che la manifestazione di volonta' dell'interessato al trattamento dei
suoi dati personali deve essere, oltre che - come appunto gia' nel
vigore della direttiva - libera, specifica ed informata, anche
«inequivocabile» , (1) ma pure esigendo che l'obiettivo della
concreta ed efficace attuazione dei principi di protezione dati venga
conseguito sin dalla progettazione e attraverso impostazioni
predefinite (cd. privacy by design e by default).
L'esigenza di un nuovo intervento del Garante e' dovuta al lungo
intervallo di tempo trascorso, alle novita' normative frattanto
intervenute e al monitoraggio che, anche per il tramite dei numerosi
reclami, segnalazioni e richieste di pareri, l'autorita' ha
effettuato sulla concreta e talvolta non corretta implementazione
delle regole menzionate - in particolare considerando gli effetti
riscontrabili sull'esperienza di navigazione, sui diritti e sulle
tutele degli interessati, come pure sulla operativita' delle imprese
e dei fornitori di servizi di comunicazione elettronica - nonche'
alla sempre crescente diffusione di nuove tecnologie caratterizzate
da crescenti livelli di potenziali pervasivita'.
Infine, deve essere tenuta in considerazione l'evoluzione
comportamentale degli stessi utenti della rete, sempre piu' orientati
alla moltiplicazione delle proprie identita' digitali come risultanti
dall'accesso a plurimi servizi e funzioni disponibili e, in primo
luogo, ai social network. Tale fenomeno comporta infatti il rischio
che le informazioni personali oggetto di trattamento siano raccolte
proprio incrociando i dati anche relativi all'utilizzo di
funzionalita' e servizi diversi, ai quali e' possibile accedere
utilizzando molteplici terminali (cd. enrichment), con l'effetto
della creazione di profili sempre piu' specifici e dettagliati. Si
impone, di conseguenza, la necessita' di un quadro rafforzato di
tutele maggiormente orientate a favorire e a rendere effettivo il
controllo sulle informazioni personali oggetto di trattamento e, in
definitiva, la capacita' di autodeterminazione del singolo.
2. La funzione dei cookie
Il considerando 30 del regolamento espressamente afferma che «Le
persone fisiche possono essere associate a identificativi online
prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai
protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei
(cookies) o identificativi di altro tipo, quali i tag di
identificazione a radiofrequenza. Tali identificativi possono
lasciare tracce che, in particolare se combinate con identificativi
univoci e altre informazioni ricevute dai server, possono essere
utilizzate per creare profili delle persone fisiche e identificarle».
Come e' noto, i cookie sono di regola stringhe di testo che i siti
web (cd. Publisher, o «prime parti») visitati dall'utente ovvero siti
o web server diversi (cd. «terze parti») posizionano ed archiviano -
direttamente, nel caso dei publisher e indirettamente, cioe' per il
tramite di questi ultimi, nel caso delle «terze parti» - all'interno
di un dispositivo terminale nella disponibilita' dell'utente
medesimo.
I terminali cui ci si riferisce sono, ad esempio, un computer, un
tablet, uno smartphone, ovvero ogni altro dispositivo in grado di
archiviare informazioni. Gia' oggi, e ancor piu' in futuro, tra essi
occorre annoverare anche i cd. dispositivi IoT (Internet of Things, o
Internet delle cose), i quali sono progettati per connettersi alla
rete e tra loro per fornire servizi di varia natura, non
necessariamente limitati alla mera comunicazione.
I software per la navigazione in internet e il funzionamento di
questi dispositivi, ad esempio i browser, possono memorizzare i
cookie e poi trasmetterli nuovamente ai siti che li hanno generati in
occasione di una successiva visita del medesimo utente, mantenendo
cosi' memoria della sua precedente interazione con uno o piu' siti
web.
Le informazioni codificate nei cookie possono includere dati
personali, come un indirizzo IP, un nome utente, un identificativo
univoco o un indirizzo e-mail, ma possono anche contenere dati non
personali, come le impostazioni della lingua o informazioni sul tipo
di dispositivo che una persona sta utilizzando per navigare nel sito.
I cookie possono dunque svolgere importanti e diverse funzioni, tra
cui il monitoraggio di sessioni, la memorizzazione di informazioni su
specifiche configurazioni riguardanti gli utenti che accedono al
server, l'agevolazione nella fruizione dei contenuti on-line etc.
Possono ad esempio essere impiegati per tenere traccia degli articoli
in un carrello degli acquisti online o delle informazioni utilizzate
per la compilazione di un modulo informatico.
Se da un lato e' tramite i cookie che e' possibile consentire, tra
l'altro, alle pagine web di caricarsi piu' velocemente, come pure
instradare le informazioni su una rete - in linea dunque con
adempimenti strettamente connessi alla operativita' stessa dei siti
web -, sempre attraverso i cookie e' possibile anche veicolare la
pubblicita' comportamentale (c.d. «behavioural advertising») e
misurare poi l'efficacia del messaggio pubblicitario, ovvero
conformare tipologia e modalita' dei servizi resi ai comportamenti
dell'utente oggetto di precedente osservazione.
3. Altri strumenti di tracciamento
Il medesimo risultato puo' essere conseguito anche mediante
l'utilizzo di altri strumenti (la totalita' dei quali puo' essere
distinta tra i c.d. «identificatori attivi», come appunto i cookie, e
«passivi», questi ultimi presupponendo la mera osservazione), che
consentono di effettuare trattamenti analoghi a quelli sopra
indicati.
Tra gli strumenti «passivi» e' ricompreso il fingerprinting, ossia
quella tecnica che permette di identificare il dispositivo utilizzato
dall'utente tramite la raccolta di tutte o alcune delle informazioni
relative alla specifica configurazione del dispositivo stesso
adottata dall'interessato. Tale tecnica puo' essere utilizzata per il
conseguimento delle medesime finalita' di profilazione tesa anche
alla visualizzazione di pubblicita' comportamentale personalizzata ed
all'analisi e monitoraggio dei comportamenti dei visitatori di siti
web, ovvero per conformare tipologia e modalita' dei servizi resi ai
comportamenti dell'utente oggetto di precedente osservazione. Per
tali ragioni, il fingerprinting e gli ulteriori strumenti di
tracciamento devono dunque essere ricompresi nell'ambito di
applicazione delle presenti linee guida.
Sussiste tuttavia una non trascurabile differenza, sulla quale
l'autorita' intende porre l'accento, tra l'impiego di una tecnica
attiva quale quella relativa ai cookie ed una passiva, come quella
relativa al fingerprinting.
Nel primo caso, infatti, l'utente che non intenda essere profilato,
oltre ovviamente a poter rifiutare il proprio consenso, o a ricorrere
alle tutele di carattere giuridico connesse all'esercizio dei diritti
di cui al regolamento, ha anche la possibilita' pratica di rimuovere
direttamente i cookie, in quanto archiviati all'interno del proprio
dispositivo.
Diversamente, con riguardo al fingerprinting e agli altri
identificatori «passivi», l'utente non dispone di strumenti
autonomamente azionabili, dovendo necessariamente far ricorso
all'azione del titolare. Cio' in quanto quest'ultimo fa uso di una
tecnica di lettura che non presuppone l'archiviazione di informazioni
all'interno del dispositivo dell'utente, bensi' la mera osservazione
delle configurazioni che lo contraddistinguono rendendolo
identificabile, ed il cui esito si sostanzia in un «profilo» che
resta nella sola disponibilita' del titolare, cui l'interessato non
ha, ovviamente, alcun accesso libero e diretto e del quale potrebbe,
prima ancora, non avere neppure consapevolezza.
4. La classificazione di cookie ed altri strumenti di tracciamento
I cookie e, in buona misura, gli altri strumenti di tracciamento
possono avere caratteristiche diverse sotto il profilo temporale e
dunque essere considerati in base alla loro durata (di sessione o
permanenti), ovvero dal punto di vista soggettivo (a seconda che il
publisher agisca autonomamente o per conto della «terza parte»).
E tuttavia la classificazione che risponde alla ratio della
disciplina di legge e dunque anche alle esigenze di tutela della
persona, e' quella che si basa, in definitiva, su due macro
categorie:
i cookie tecnici, utilizzati al solo fine di «effettuare la
trasmissione di una comunicazione su una rete di comunicazione
elettronica, o nella misura strettamente necessaria al fornitore di
un servizio della societa' dell'informazione esplicitamente richiesto
dal contraente o dall'utente a erogare tale servizio» (cfr. art. 122,
comma 1 del Codice);
i cookie di profilazione, utilizzati per ricondurre a soggetti
determinati, identificati o identificabili, specifiche azioni o
schemi comportamentali ricorrenti nell'uso delle funzionalita'
offerte (pattern) al fine del raggruppamento dei diversi profili
all'interno di cluster omogenei di diversa ampiezza, in modo che sia
possibile al titolare, tra l'altro, anche modulare la fornitura del
servizio in modo sempre piu' personalizzato al di la' di quanto
strettamente necessario all'erogazione del servizio, nonche' inviare
messaggi pubblicitari mirati, cioe' in linea con le preferenze
manifestate dall'utente nell'ambito della navigazione in rete.
Analogamente, anche gli altri identificatori possono essere
catalogati secondo criteri diversi, dei quali il principale resta,
tuttavia, la finalita' per la quale vengono utilizzati: di natura
«tecnica» o di natura «non tecnica», dovendosi intendere quest'ultima
categoria in senso ampio, dal momento che l'attuale disciplina di
legge, di cui in appresso, tesa alla tutela della confidenzialita'
delle comunicazioni elettroniche oltre che delle informazioni di
carattere personale, e' inequivocamente formulata secondo lo schema
di una generale proibizione di trattamento dei dati degli
interessati, salvo eccezioni rigorosamente e restrittivamente
codificate, insuscettibili di estensione analogica.
5. Normativa applicabile
Per l'utilizzo di cookie e degli altri identificatori tecnici, in
virtu' della funzione assolta e nei limiti ed alle condizioni
richiamate, il titolare del trattamento sara' assoggettato al solo
obbligo di fornire specifica informativa, anche eventualmente
inserita all'interno di quella di carattere generale, rientrando il
loro impiego in una ipotesi codificata di esenzione dall'obbligo di
acquisizione del consenso dell'interessato; i cookie e gli altri
strumenti di tracciamento per finalita' diverse da quelle tecniche
potranno, invece, essere utilizzati esclusivamente previa
acquisizione del consenso, comunque informato, del contraente o
utente. E cio' in base alla norma tuttora applicabile alla
fattispecie, ossia l'art. 122 del codice, ai sensi del quale:
«1. L'archiviazione delle informazioni nell'apparecchio terminale
di un contraente o di un utente o l'accesso a informazioni gia'
archiviate sono consentiti unicamente a condizione che il contraente
o l'utente abbia espresso il proprio consenso dopo essere stato
informato con modalita' semplificate. Cio' non vieta l'eventuale
archiviazione tecnica o l'accesso alle informazioni gia' archiviate
se finalizzati unicamente ad effettuare la trasmissione di una
comunicazione su una rete di comunicazione elettronica, o nella
misura strettamente necessaria al fornitore di un servizio della
societa' dell'informazione esplicitamente richiesto dal contraente o
dall'utente a erogare tale servizio. Ai fini della determinazione
delle modalita' semplificate di cui al primo periodo il Garante tiene
anche conto delle proposte formulate dalle associazioni maggiormente
rappresentative a livello nazionale dei consumatori e delle categorie
economiche coinvolte, anche allo scopo di garantire l'utilizzo di
metodologie che assicurino l'effettiva consapevolezza del contraente
o dell'utente.
2. Ai fini dell'espressione del consenso di cui al comma 1,
possono essere utilizzate specifiche configurazioni di programmi
informatici o di dispositivi che siano di facile e chiara
utilizzabilita' per il contraente o l'utente.
2-bis. Salvo quanto previsto dal comma 1, e' vietato l'uso di
una rete di comunicazione elettronica per accedere a informazioni
archiviate nell'apparecchio terminale di un contraente o di un
utente, per archiviare informazioni o per monitorare le operazioni
dell'utente».
Questa disposizione e' stata introdotta nell'ordinamento nazionale
a seguito del recepimento della direttiva ePrivacy, precedente
rispetto alla data della piena operativita' degli effetti del
regolamento. Tale direttiva, al pari delle norme di diritto interno
che la recepiscono, e' tuttora applicabile allo specifico settore che
riguarda i trattamenti di dati effettuati nell'ambito delle
comunicazioni elettroniche (v., in proposito, il considerando 173 del
regolamento secondo cui «E' opportuno che il presente regolamento si
applichi a tutti gli aspetti relativi alla tutela dei diritti e delle
liberta' fondamentali con riguardo al trattamento dei dati personali
che non rientrino in obblighi specifici, aventi lo stesso obiettivo,
di cui alla direttiva 2002/58/CE del Parlamento europeo e del
Consiglio ...», nonche' l'art. 2, lettera l), della direttiva quadro
2002/21/CE che ricomprende anche la direttiva ePrivacy nel novero
delle «direttive particolari»).
La successiva entrata in vigore del regolamento impone tuttavia una
indagine, innanzitutto tesa a ricercare il coordinamento tra le
regole poste. Ad esclusione delle fattispecie disciplinate in via
esclusiva ed esaustiva dalla direttiva ePrivacy, molte attivita' di
trattamento devono infatti essere ricondotte all'ambito di
applicazione tanto della direttiva quanto del regolamento (2) , con
l'avvertenza tuttavia che, per la parte di potenziale sovrapposizione
- in virtu' del rapporto di genus a species sussistente tra le due
discipline e di quanto disposto dall'art. 1, par. 2, della direttiva
ePrivacy, il quale chiarisce proprio come le norme di questa
precisino e integrino quelle del regolamento - ogniqualvolta la
direttiva renda piu' specifiche le prescrizioni del regolamento,
essa, in quanto lex specialis, dovra' essere applicata e prevarra'
sulle (piu' generali) disposizioni del regolamento. Queste ultime
restano invece applicabili per tutte quelle fattispecie non
specificamente previste dalla direttiva nonche' per offrire, alle
norme di questa, la cornice regolatoria di carattere generale entro
cui collocarne i precetti (3)
Ad esempio, e' nella direttiva ePrivacy che, nei casi previsti, si
rinviene l'obbligo di acquisizione del consenso all'impiego di cookie
e altri strumenti di tracciamento; ma e' nel regolamento che andranno
ricercate le specifiche caratteristiche di quel consenso ai fini
della sua validita' e conformita' alla disciplina generale.
Dalla ricostruzione normativa effettuata si trae una prima,
importante conclusione: la disciplina di carattere speciale
applicabile alla specie non contempla ulteriori basi giuridiche che
rendano legittimo il trattamento se non in presenza del consenso
dell'interessato ovvero al ricorrere di una delle ipotesi di deroga
rispetto all'obbligo della sua raccolta previste proprio da tale
disciplina speciale. In nessun caso sara' pertanto possibile invocare
ad esempio, come e' stato invece osservato nel corso delle verifiche
effettuate su diversi siti web, la scriminante del legittimo
interesse del titolare per giustificare il ricorso a cookie o altri
strumenti di tracciamento.
6. Le modalita' per l'acquisizione del consenso online alla luce di
alcuni opportuni chiarimenti e nuove raccomandazioni
6.1 Il c.d. «scrolling» e il cookie wall
Il Garante ritiene che l'impianto teso alla individuazione della
modalita' tecnica per l'acquisizione del consenso on-line per il
tracciamento a mezzo cookie (ovvero anche realizzato per il tramite
di altri strumenti) illustrato nel menzionato provvedimento del
maggio 2014 sia da ritenersi tuttora valido, pur nel mutato assetto
normativo che privilegia ed impone ai titolari di agire in ossequio
al nuovo regime di accountability (art. 5, paragrafo 2, del
regolamento) consentendo loro, se del caso, anche l'adozione di
modalita' diverse attraverso cui assicurare la conformita' alle
regole e la tutela degli interessati.
Si reputa, tuttavia, opportuno fornire taluni chiarimenti in
relazione all'utilizzo del c.d. scrolling ai fini della raccolta del
consenso all'installazione e all'utilizzo di cookie ed altri
strumenti di tracciamento nonche' all'utilizzo del c.d. cookie wall.
Al riguardo, deve essere innanzitutto ricordato che, secondo il
considerando 32 del regolamento, «Il consenso dovrebbe essere
espresso mediante un atto positivo inequivocabile con il quale
l'interessato manifesta l'intenzione libera, specifica, informata e
inequivocabile di accettare il trattamento dei dati personali che lo
riguardano, ad esempio mediante dichiarazione scritta, anche
attraverso mezzi elettronici, o orale. Cio' potrebbe comprendere la
selezione di un'apposita casella in un sito web, la scelta di
impostazioni tecniche per servizi della societa' dell'informazione o
qualsiasi altra dichiarazione o qualsiasi altro comportamento che
indichi chiaramente in tale contesto che l'interessato accetta il
trattamento proposto. Non dovrebbe pertanto configurare consenso il
silenzio, l'inattivita' o la preselezione di caselle. Il consenso
dovrebbe applicarsi a tutte le attivita' di trattamento svolte per la
stessa o le stesse finalita'. Qualora il trattamento abbia piu'
finalita', il consenso dovrebbe essere prestato per tutte queste. Se
il consenso dell'interessato e' richiesto attraverso mezzi
elettronici, la richiesta deve essere chiara, concisa e non
interferire immotivatamente con il servizio per il quale il consenso
e' espresso».
L'EDPB ha, inoltre, chiarito (parere n. 5/2020, del 4 maggio 2020)
che il semplice scrolling non e' mai idoneo, di per se', ad esprimere
compiutamente la manifestazione di volonta' dell'interessato volta ad
accettare di ricevere il posizionamento, all'interno del proprio
terminale, di cookie diversi da quelli tecnici e, dunque, non
equivale, in se' considerato, al consenso «in nessuna circostanza»
(4)
Il Garante condivide naturalmente l'opinione dell'EDPB: il semplice
«scroll down» del cursore di pagina e' inadatto in se' alla raccolta,
da parte del titolare del trattamento, di un idoneo consenso
all'installazione e all'utilizzo di cookie di profilazione ovvero di
altri strumenti di tracciamento.
Non pare potersi escludere, tuttavia, che lo scrolling possa
intervenire nella procedura di acquisizione del consenso e costituire
non la sola, bensi' una delle componenti di un piu' articolato
processo che consenta comunque all'utente di segnalare al titolare
del sito, con la generazione di un preciso pattern, una scelta
inequivoca e consapevole, che sia al tempo stesso registrabile e
dunque documentabile, volta a prestare il proprio consenso all'uso
dei cookie o di altri strumenti di tracciamento, come richiesto dalle
norme vigenti.
Tale conclusione risulta d'altro canto coerente, oggi, con il
richiamato approccio regolamentare teso alla valorizzazione
dell'accountability; pertanto, ed analogamente a quanto affermato con
riferimento al potere di autonomia del titolare nell'identificazione
delle soluzioni piu' appropriate per conseguire la conformita' alle
regole dei trattamenti di dati personali effettuati, il Garante
invita i titolari a valutare con estremo rigore ogni possibile
soluzione, anche di carattere tecnico, idonea ad essere interpretata
e registrata come una forma di consenso espresso dall'utente per
l'installazione dei cookie o per l'impiego di altri strumenti di
tracciamento.
Affinche' lo stesso risulti acquisito legittimamente, il medesimo
titolare dovra' inoltre far si' che eventuali modalita' alternative
rispetto a quelle proposte nelle presenti linee guida di espressione
del consenso on-line siano realizzate in modo tale da rendere
inequivoco anche per l'utente l'effetto della propria azione,
equivalente alla manifestazione del consenso stesso. Cio', allo scopo
di limitare l'incidenza dei c.d. «falsi positivi», ossia di erronee
interpretazioni di azioni casuali come espressioni consapevoli della
volonta' dell'utente.
Qualora invece, nel caso concreto, all'azione dell'utente non
corrisponda alcun evento informatico inequivoco, documentabile e
dotato delle menzionate caratteristiche anche sotto il profilo della
consapevolezza per lo stesso utente, allora in nessun modo sara'
possibile attribuire a tale azione la validita' del consenso ai sensi
della normativa vigente.
Ulteriori chiarimenti appaiono opportuni con riferimento al cd.
cookie wall, intendendosi con tale espressione un meccanismo
vincolante (cd. «take it or leave it»), nel quale l'utente venga
cioe' obbligato, senza alternativa, ad esprimere il proprio consenso
alla ricezione di cookie ovvero altri strumenti di tracciamento, pena
l'impossibilita' di accedere al sito.
Tale meccanismo, non consentendo di qualificare l'eventuale
consenso cosi' ottenuto come conforme alle caratteristiche imposte
dal regolamento, e segnatamente al suo art. 4, punto 11 con
particolare riferimento al requisito della «liberta'» del consenso,
e' da ritenersi illecito, salva l'ipotesi da verificare caso per caso
nella quale il titolare del sito offra all'interessato la
possibilita' di accedere ad un contenuto o a un servizio equivalenti
senza prestare il proprio consenso all'installazione e all'uso di
cookie o altri strumenti di tracciamento.
E cio' alla irrinunciabile condizione della conformita'
dell'alternativa proposta ai principi del regolamento codificati al
suo art. 5, paragrafo 1, ed innanzitutto a quello di cui alla lettera
a), che esige che i dati personali siano trattati in modo lecito,
corretto e trasparente (principio di «liceita', correttezza e
trasparenza»); in difetto, il cookie wall non potra' essere reputato
in linea con la disciplina vigente.
6.2 La reiterazione della richiesta di consenso in presenza di
una precedente mancata prestazione dello stesso
Ancora con riferimento alle modalita' di acquisizione del consenso,
l'osservazione del comportamento dei siti web e le segnalazioni
pervenute hanno evidenziato l'ulteriore problematica della spesso
ridondante ed invasiva riproposizione, da parte dei gestori dei siti
web, del meccanismo basato sulla presentazione del banner ad ogni
nuovo accesso dell'utente al medesimo sito anche quando quest'ultimo
abbia liberamente scelto. Una implementazione che, se da un lato
compromette la fluidita' della user experience, non trova ragione
negli obblighi di legge ed ha contribuito sin qui ad una probabile
sottovalutazione del valore del contenuto con esso proposto.
L'eccessiva riproposizione del banner ai fini dell'acquisizione del
consenso, laddove l'utente l'abbia in precedenza negato, appare
suscettibile di lederne la liberta' inducendolo a prestarlo pur di
proseguire nella navigazione libero dalla comparsa del banner
contenente l'informativa breve e la richiesta di prestazione del
consenso.
In tale contesto, quindi, nel caso in cui l'utente mantenga le
impostazioni di default e dunque non acconsenta all'impiego di cookie
o altri strumenti di tracciamento, cosi' come nel caso in cui abbia
acconsentito solo all'impiego di alcuni cookie o altri strumenti di
tracciamento, tale scelta dovra' essere debitamente registrata e la
prestazione del consenso non piu' nuovamente sollecitata se non
quando ricorra uno dei seguenti casi:
quando mutino significativamente una o piu' condizioni del
trattamento e dunque il banner assolva anche ad una specifica e
necessaria finalita' informativa proprio in ordine alle modifiche
intervenute, come nel caso in cui mutino le «terze parti»;
quando sia impossibile, per il gestore del sito web, avere
contezza del fatto che un cookie sia stato gia' in precedenza
memorizzato sul dispositivo per essere nuovamente trasmesso, in
occasione di una successiva visita del medesimo utente, al sito che
lo ha generato (ad esempio nel caso in cui l'utente scelga di
cancellare i cookie legittimamente installati nel proprio dispositivo
senza che il titolare abbia modo, dunque, di tenere traccia della
volonta' di mantenere le impostazioni di default e dunque di
proseguire la navigazione senza essere tracciati);
quando siano trascorsi almeno sei mesi dalla precedente
presentazione del banner.
7. La privacy by design e by default in relazione ai cookie ed agli
altri strumenti di tracciamento
7.1 Il meccanismo di acquisizione del consenso
E' opinione del Garante che il meccanismo di acquisizione del
consenso on-line tramite presentazione di un banner, come lo si e'
analiticamente descritto nel provvedimento del maggio 2014, mantenga,
ad oggi, una sua sostanziale validita'. E' tuttavia necessario, anche
in questo caso, valutare l'opportunita' di aggiornamenti o migliorie
alla luce del mutato assetto normativo.
Al riguardo, occorre prendere in considerazione la portata
innovativa del regolamento e i nuovi equilibri che esso tratteggia
nelle relazioni tra titolare e interessato con specifico riferimento
al suo art. 25, il quale dispone, al secondo paragrafo, che «Il
titolare del trattamento mette in atto misure tecniche e
organizzative adeguate per garantire che siano trattati, per
impostazione predefinita, solo i dati personali necessari per ogni
specifica finalita' del trattamento. Tale obbligo vale per la
quantita' dei dati personali raccolti, la portata del trattamento, il
periodo di conservazione e l'accessibilita' ...».
In adempimento di tale obbligo, di carattere generale poiche'
applicabile a qualsiasi trattamento di dati, il titolare dovra'
garantire che, per impostazione predefinita, siano trattati solo i
dati personali necessari in relazione a ciascuna specifica finalita'
del trattamento e che, in particolare, la quantita' dei dati raccolti
e la durata della loro conservazione non eccedano il minimo
necessario per il conseguimento delle finalita' perseguite, in modo
che l'utilizzo di informazioni per l'accesso ad un sito sia
inizialmente limitato al minimo indispensabile per consentirne la
fruizione e che sia rimesso interamente all'interessato un effettivo,
concreto potere di scelta in ordine alla possibilita' di consentire o
meno un utilizzo eventualmente piu' ampio dei suoi dati.
Il rispetto di tali regole impone dunque che, per impostazione
predefinita, al momento del primo accesso dell'utente a un sito web,
nessun cookie o altro strumento diverso da quelli tecnici venga
posizionato all'interno del suo dispositivo, ne' che venga utilizzata
alcuna altra tecnica attiva o passiva di tracciamento.
Questo risultato costituisce un obbligo espressamente codificato il
cui mancato adempimento e' sanzionabile ai sensi del regolamento.
Nella propria autonomia imprenditoriale e in ossequio
all'accountability, ciascun titolare puo' naturalmente adottare le
modalita' ritenute piu' idonee per assicurarne il rispetto.
Tuttavia, e considerato pure che occorre assicurare anche la
liberta' di scelta di chi invece intenda accettare di essere
profilato, il Garante suggerisce l'adozione dello specifico modello,
di seguito illustrato, da reputarsi in linea con i menzionati
obblighi. Qualora i gestori dei siti web decidano di conformarvisi,
dovranno implementare un meccanismo in base al quale l'utente,
accedendo per la prima volta alla home page (o ad altra pagina) del
sito web, visualizzi immediatamente un'area o banner le cui
dimensioni siano, al tempo stesso, sufficienti da costituire una
percettibile discontinuita' nella fruizione dei contenuti della
pagina web che sta visitando, ma anche tali da evitare il rischio che
l'utente possa far ricorso a comandi e dunque compiere scelte
indesiderate o inconsapevoli; con l'effetto che l'adeguatezza e la
congruita' delle dimensioni del banner dovranno essere valutate anche
in relazione ai diversi dispositivi di possibile utilizzo da parte
dell'interessato.
Tale banner dovra' essere parte integrante di un meccanismo che,
pur non impedendo il mantenimento delle impostazioni di default,
permetta anche l'eventuale espressione di una azione positiva nella
quale deve sostanziarsi la manifestazione del consenso
dell'interessato.
Qualora l'utente scegliesse, com'e' nella sua piena disponibilita',
di mantenere quelle impostazioni di default e dunque di non prestare
il proprio consenso al posizionamento dei cookie o all'impiego di
altre tecniche di tracciamento, dovrebbe dunque limitarsi a chiudere
il banner mediante selezione dell'apposito comando usualmente
utilizzato a tale scopo, cioe' quello contraddistinto da una X
posizionata di regola, e secondo prassi consolidata, in alto a destra
e all'interno del banner medesimo, senza essere costretto ad accedere
ad altre aree o pagine a cio' appositamente dedicate. Tale comando
dovra' avere una evidenza grafica pari a quella degli ulteriori
comandi o pulsanti negoziali idonei ad esprimere le altre scelte
nella disponibilita' dell'utente, di cui si dira' in appresso. Le
modalita' di prosecuzione nella navigazione senza prestare alcun
consenso dovranno, in altre parole, essere immediate, usabili e
accessibili quanto quelle previste per la prestazione del consenso.
Mediante il ricorso a questo meccanismo si garantirebbe che,
appunto by default, l'interessato che non intenda esprimere il
proprio consenso non sia in alcun modo tracciato o profilato
conseguendo, al tempo stesso, l'ulteriore risultato di generare un
evento informatico riconoscibile e registrabile da parte del
titolare. Esso, esprimendo la volonta' dell'interessato di non
prestare il proprio consenso all'utilizzo di cookie o altri strumenti
di tracciamento diversi da quelli tecnici, impedirebbe al sito la
reiterazione della presentazione del banner in occasione di
successivi accessi dell'utente, fatte salve le eccezioni descritte al
paragrafo precedente e, comunque, per un periodo di tempo non
inferiore a sei mesi.
In altri termini, il consenso potra' intendersi come validamente
prestato soltanto se sara' conseguenza di un intervento attivo e
consapevole dell'utente, opportunamente riscontrabile e dimostrabile,
che consenta di qualificarlo come in linea con tutti quei requisiti
(libero, informato, inequivoco e specifico, cioe' espresso in
relazione a ciascuna diversa finalita' del trattamento) richiesti dal
regolamento.
Tale banner dovra' allora contenere, oltre alla X in alto a destra
di cui e' stata gia' illustrata la funzione, almeno le seguenti
indicazioni ed opzioni:
i) l'avvertenza che la chiusura del banner mediante selezione
dell'apposito comando contraddistinto dalla X posta al suo interno,
in alto a destra, comporta il permanere delle impostazioni di default
e dunque la continuazione della navigazione in assenza di cookie o
altri strumenti di tracciamento diversi da quelli tecnici;
ii) una informativa minima relativa al fatto che il sito
utilizza - se cosi' e' ovviamente - cookie o altri strumenti tecnici
e potra', esclusivamente previa acquisizione del consenso dell'utente
da prestarsi con modalita' da indicarsi nella medesima informativa
breve (cfr. punto iv che segue), utilizzare anche cookie di
profilazione o altri strumenti di tracciamento al fine di inviare
messaggi pubblicitari ovvero di modulare la fornitura del servizio in
modo personalizzato al di la' di quanto strettamente necessario alla
sua erogazione, cioe' in linea con le preferenze manifestate
dall'utente stesso nell'ambito dell'utilizzo delle funzionalita' e
della navigazione in rete e/o allo scopo di effettuare analisi e
monitoraggio dei comportamenti dei visitatori di siti web;
iii) il link alla privacy policy, ovvero ad una informativa
estesa posizionata in un second layer - che sia accessibile con un
solo click anche tramite un ulteriore link posizionato nel footer di
qualsiasi pagina del dominio cui l'utente accede - ove vengano
fornite in maniera chiara e completa almeno tutte le indicazioni di
cui agli artt. 12 e 13 del regolamento, anche con riguardo ai
predetti cookie o altri strumenti tecnici (cfr., al riguardo, il
successivo paragrafo 8);
iv) un comando attraverso il quale sia possibile esprimere il
proprio consenso accettando il posizionamento di tutti i cookie o
l'impiego di eventuali altri strumenti di tracciamento;
v) il link ad una ulteriore area dedicata nella quale sia
possibile selezionare, in modo analitico, soltanto le funzionalita',
i soggetti cd. terze parti - il cui elenco deve essere tenuto
costantemente aggiornato, siano essi raggiungibili tramite specifici
link ovvero anche per il tramite del link al sito web di un soggetto
intermediario che li rappresenti - ed i cookie, anche eventualmente
raggruppati per categorie omogenee, al cui utilizzo l'utente scelga
di acconsentire.
In quest'ultima ipotesi, quando cioe' i cookie siano raggruppati
per categorie omogenee, qualora si verificassero successive modifiche
nel novero delle terze parti corrispondenti ai link posizionati in
questa area e dunque ulteriori soggetti terze parti venissero
aggiunti alla lista, e' rimessa alla prima parte, cioe' al gestore
del sito, la loro accurata selezione, come pure la necessaria
attivita' di vigilanza per assicurare che l'ingresso di tali soggetti
ed il trattamento che ne discende permanga in linea con il
raggruppamento per categorie omogenee come gia' effettuato.
Anche in questo caso, il rispetto degli obblighi di privacy by
default impone che le possibili scelte granulari siano inizialmente
tutte preimpostate sul diniego all'installazione dei cookie, e che
pertanto l'utente possa, esclusivamente, accettarne, anche appunto in
modo granulare, il posizionamento.
Nell'eventualita' in cui sia prevista la sola presenza di cookie
tecnici o altri strumenti analoghi, di essi potra' essere data
informazione nella homepage o nell'informativa generale senza
l'esigenza di apporre specifici banner da rimuovere a cura
dell'utente.
Queste premesse consentono anche di chiarire possibili
fraintendimenti nel significato da attribuire all'azione dell'utente
in relazione alla specifica configurazione dei pulsanti e dei colori
utilizzati dai publisher, sinora di non univoca interpretazione.
Basti, al riguardo, ribadire che, a prescindere dalla configurazione
adottata, dai colori utilizzati per i pulsanti e in definitiva dalle
modalita' attuative prescelte, l'azione positiva nella disponibilita'
dell'utente al momento del primo accesso al sito dovra' comunque
essere esclusivamente volta alla manifestazione del consenso (cd.
opt-in) e non potra' mai riferirsi invece all'espressione di un
diniego (cd. opt-out).
A tale riguardo, il Garante torna a sottolineare tuttavia
l'importanza di avviare nelle sedi piu' opportune e tra tutti i
soggetti interessati (accademia, industria, associazioni di
categoria, decisori, stakeholder etc.) una riflessione circa la
necessita' dell'adozione di una codifica standardizzata relativa alla
tipologia dei comandi, dei colori e delle funzioni da implementare
all'interno dei siti web per conseguire la piu' ampia uniformita', a
tutto vantaggio della trasparenza, della chiarezza e dunque anche
della migliore conformita' alle regole; tale esigenza, che sulla base
dei contributi pervenuti nell'ambito della consultazione pubblica
risulta essere unanimemente avvertita e condivisa, non ha tuttavia
sin qui trovato delle proposte concrete idonee al conseguimento dello
scopo.
Gli utenti, naturalmente, dovranno essere posti in condizione di
modificare le scelte compiute - sia in termini negativi che in
termini positivi e dunque prestando un consenso negato o revocando un
consenso prestato - in ogni momento e cio' in maniera semplice,
immediata e intuitiva attraverso un'apposita area da rendere
accessibile attraverso un link da posizionarsi nel footer del sito e
che ne renda esplicita la funzionalita' attraverso l'indicazione di
«rivedi le tue scelte sui cookie» o analoga.
Resta, peraltro, inteso che in ogni ipotesi di riproposizione del
banner contenente l'informativa breve e le opzioni di scelta
dell'utente, cosi' come laddove l'utente modifichi le scelte
originariamente compiute in conformita' al periodo precedente, le
scelte negoziali compiute in occasione degli accessi successivi
dovranno sovrascrivere e superare le precedenti ed essere, dunque,
considerate come modifica delle precedenti opzioni anche in questo
caso, indifferentemente, in termini di prestazione di un consenso
originariamente negato o di revoca di un consenso precedentemente
prestato.
Per assicurare che gli utenti non siano influenzati ovvero
penalizzati da scelte di design che inducano a preferire una opzione
anziche' l'altra, si sottolinea inoltre l'esigenza dell'utilizzo di
comandi e di caratteri di uguali dimensioni, enfasi e colori, che
siano ugualmente facili da visionare e utilizzare.
Al fine di rendere concretamente azionabile tale possibilita' di
mutare avviso e dunque effettiva la disponibilita' per l'utente della
espressione libera della propria volonta', il Garante suggerisce
allora l'adozione di una buona prassi, individuata attraverso l'esame
dei contributi pervenuti nel corso della consultazione pubblica. Ci
si riferisce al posizionamento in ciascuna pagina del dominio,
eventualmente pure accanto al link all'area dedicata alle scelte, di
un segno grafico, una icona o altro accorgimento tecnico che indichi,
anche in modo essenziale, lo stato dei consensi in precedenza resi
dall'utente consentendone, dunque, in ogni momento l'eventuale
modifica o aggiornamento.
Per realizzare la memorizzazione delle azioni e delle scelte, anche
di dettaglio, rimesse all'interessato (mantenimento delle
impostazioni di default, espressione, anche granulare, del consenso
ovvero revoca del consenso precedentemente espresso mediante
ripristino delle impostazioni di default), il gestore del sito web
potrebbe avvalersi o di appositi cookie tecnici (in tal senso, si
veda anche il considerando 25 della direttiva 2002/58/CE) o anche di
ulteriori modalita' che la tecnologia dovesse rendere disponibili, la
cui individuazione rientra nell'autonomia imprenditoriale e
nell'accountability del titolare, adattando opportunamente la propria
condotta in modo da tenere comunque costantemente aggiornata la
documentazione delle scelte compiute dall'interessato.
Resta in ogni caso impregiudicata la possibilita' per i titolari di
adottare eventualmente anche diverse modalita' di raccolta del
consenso, ad esempio con riferimento a quegli utenti che accedano ai
relativi servizi mediante uso di credenziali di autenticazione o di
accesso e per i quali dunque, fin dal momento della creazione
dell'account, si porrebbe un naturale momento di discontinuita' nella
navigazione idoneo, per il titolare, all'assolvimento degli obblighi
che interessano l'impiego di cookie e degli altri strumenti di
tracciamento; con l'avvertenza che a questi specifici utenti, cd.
autenticati, dovra' inoltre essere consentito di scegliere
consapevolmente - menzionando dunque tale possibilita' pure
nell'informativa resa - se accettare la possibilita' che il
tracciamento che li riguarda venga effettuato anche attraverso
l'analisi incrociata dei comportamenti tenuti tramite l'utilizzo di
diversi device.
7.2 I cookie analytics di prima parte e delle cd. terze parti
I cookie possono anche essere utilizzati, tra l'altro, per valutare
l'efficacia di un servizio della societa' dell'informazione fornito
da un publisher, per la progettazione di un sito web o per
contribuire a misurarne il «traffico», cioe' il numero di visitatori
anche eventualmente ripartiti per area geografica, fascia oraria
della connessione o altre caratteristiche.
L'autorita' ha affermato, nel provvedimento del maggio 2014, che
tali identificativi, definiti cookie analytics, possono essere
ricompresi nella categoria di quelli tecnici, e come tali essere
utilizzati in assenza della previa acquisizione del consenso
dell'interessato, al verificarsi di determinate condizioni. Anche in
questo caso, l'entrata in vigore del regolamento impone un
ripensamento critico delle condizioni identificate allora, nonche'
una piu' specifica definizione delle misure oggi idonee
all'applicazione della richiamata esenzione.
Si impone, in primo luogo, la necessita' di individuare soluzioni
di maggior tutela dell'interessato attraverso l'impiego di misure in
linea con le disposizioni dell'art. 25, paragrafo 1, del regolamento
in materia di privacy by design, tali da «attuare in modo efficace i
principi di protezione dei dati».
In questa prospettiva, il Garante reputa che, nel caso di specie,
tale obiettivo debba essere conseguito attraverso il ricorso a misure
di minimizzazione del dato che riducano significativamente il potere
identificativo dei cookie analytics, qualora il loro utilizzo avvenga
ad opera di «terze parti».
Affinche' i cookie analytics siano equiparati ai tecnici e', in
altri termini, indispensabile precludere la possibilita' che si
pervenga, mediante il loro utilizzo, alla diretta individuazione
dell'interessato (cd. single out), il che equivale impedire l'impiego
di cookie analytics che, per le loro caratteristiche, possano
risultare identificatori diretti ed univoci.
La struttura del cookie analytics dovra' allora prevedere la
possibilita' che lo stesso cookie sia riferibile non soltanto ad uno,
bensi' a piu' dispositivi, in modo da creare una ragionevole
incertezza sull'identita' informatica del soggetto che lo riceve. Di
regola questo effetto si ottiene mascherando opportune porzioni
dell'indirizzo IP all'interno del cookie.
Tenuto conto della rappresentazione degli indirizzi IP versione 4
(IPv4) a 32 bit, che sono usualmente rappresentati e utilizzati come
sequenza di quattro numeri decimali compresi tra 0 e 255 separati da
un punto, una delle misure implementabili al fine di beneficiare
dell'esenzione consiste nel mascheramento almeno della quarta
componente dell'indirizzo, opzione che introduce una incertezza
nell'attribuzione del cookie ad uno specifico interessato pari a
1/256 (circa 0,4%).
Analoghe procedure dovrebbero essere adottate in riferimento agli
indirizzi IP versione 6 (IPv6), che hanno una differente struttura e
uno spazio di indirizzamento enormemente superiore (essendo
costituiti da numeri binari rappresentati con 128 bit).
Il Garante sottolinea, inoltre, la necessita' che l'uso dei cookie
analytics sia limitato unicamente alla produzione di statistiche
aggregate e che essi vengano utilizzati in relazione ad un singolo
sito o una sola applicazione mobile, in modo da non consentire il
tracciamento della navigazione della persona che utilizza
applicazioni diverse o naviga in siti web diversi.
Resta inteso pertanto che i soggetti terzi, che forniscono al
publisher il servizio di web measurement, non dovranno comunque
combinare i dati, anche cosi' minimizzati, con altre elaborazioni
(file dei clienti o statistiche di visite ad altri siti, ad esempio)
ne' trasmetterli a loro volta ad ulteriori terzi, pena
l'inaccettabile incremento dei rischi di identificazione dell'utente;
tranne il caso in cui la produzione di statistiche da loro effettuata
con i dati minimizzati interessi piu' domini, siti web o app
riconducibili al medesimo publisher o gruppo imprenditoriale.
E' tuttavia possibile reputare lecito, anche in assenza
dell'adozione delle prescritte misure di minimizzazione, il ricorso
ad analisi statistiche relative a piu' domini, siti web o app
riconducibili al medesimo titolare purche' questi proceda in proprio
all'elaborazione statistica, senza in ogni caso che tali analisi si
risolvano in una attivita' che, travalicando i confini di un mero
conteggio statistico, assuma in realta' le caratteristiche di una
elaborazione volta all'assunzione di decisioni di natura commerciale.
8. Le novita' in materia di informativa
8.1 Le informazioni da rendere in conformita' al regolamento
Da ultimo, il Garante intende illustrare alcuni miglioramenti che i
titolari potranno adottare al fine di rendere agli utenti una
informativa conforme ai rinnovati requisiti di trasparenza imposti
dagli articoli 12 e 13 del regolamento, compresa l'indicazione circa
gli eventuali altri soggetti destinatari dei dati personali ed i
tempi di conservazione delle informazioni acquisite.
E' inoltre necessario fornire informazioni su come le persone
fisiche possono esercitare tutti i diritti previsti dal regolamento,
incluso quello di avanzare una richiesta di accesso e di proporre un
reclamo a un'autorita' di controllo.
In aggiunta a quanto stabilito nel provvedimento sui cookie del
maggio 2014, e nel confermare la logica di semplificazione cui le sue
indicazioni sono improntate, si ritiene inoltre che l'informativa,
oltre che multilayer, e cioe' dislocata su piu' livelli, possa ad
oggi essere resa, eventualmente in relazione a specifiche necessita',
anche per il tramite di piu' canali e modalita' (cd.multichannel), in
modo da sfruttare al massimo piu' dinamici e meno tradizionali
ulteriori punti di contatto tra il titolare e gli interessati.
Si pensi, ad esempio, al sempre piu' diffuso ricorso a canali
video, a pop-up informativi, a interazioni vocali, ad assistenti
virtuali, all'impiego del telefono, al ricorso a chatbot, etc.
Sara' allora onere del titolare, cui e' rimessa la scelta in ordine
alla modalita' ovvero all'impiego combinato delle modalita' ritenute
piu' idonee, verificare la corrispondenza del sistema implementato,
specie in termini di completezza, chiarezza espositiva, efficacia e
fruibilita', con i requisiti imposti dal regolamento.
Allo stesso modo, sara' onere del titolare adottare ogni piu'
opportuno accorgimento affinche' le informazioni contenute nel banner
siano fruibili, senza discriminazioni, anche da parte di coloro che a
causa di disabilita' necessitano di tecnologie assistive o
configurazioni particolari, in linea con quanto previso dalla legge 9
gennaio 2004, n. 4 (come modificata, da ultimo, dal d.l. 16 luglio
2020, n. 76, convertito in legge, con modificazioni, dalla legge 11
settembre 2020, n. 120).
8.2 La necessita' di una integrazione delle informazioni da
comunicare agli utenti
La pratica operativa degli ultimi anni ha evidenziato come il
sistema difetti di un elemento di cruciale rilievo, specie a fini di
enforcement.
Ci si riferisce al fatto che non esiste ancora, ad oggi, un sistema
universalmente accettato di codifica semantica dei cookie e degli
altri strumenti di tracciamento che consenta di distinguere
oggettivamente, ad esempio, quelli tecnici dagli analytics o da
quelli di profilazione, se non basandosi sulle indicazioni rese dal
titolare stesso nella privacy policy.
E' stato riscontrato, inoltre, che le interrogazioni e le verifiche
circa il posizionamento di cookie da parte di uno specifico sito web
possono avere esiti diversi a seconda del browser considerato.
In tale situazione, e con l'auspicio che si addivenga in tempi
rapidi ad una codifica di carattere generale, tanto piu' importante
specie nell'attuale mondo connesso on-line, nel quale le distanze
geografiche perdono rilevanza a fronte delle sempre piu' accentuate
potenzialita' della rete, il Garante intende richiamare i titolari
che facciano impiego di tali strumenti alla necessita' di rendere
manifesti, mediante apposita, opportuna integrazione
dell'informativa, almeno i criteri di codifica degli identificatori
adottati da ciascuno. In alternativa, i titolari potranno valutare di
posizionare tale codifica anche all'interno della privacy policy.
Tali criteri potranno, inoltre, a richiesta, costituire oggetto di
comunicazione all'autorita', quale strumento di ausilio alle
attivita' di carattere istruttorio che saranno intraprese con
riguardo al fenomeno in considerazione.
Tutto cio' premesso, il Garante:
ai sensi dell'art. 154-bis, comma 1, lett. a), del Codice,
delibera di adottare le presenti linee guida affinche' tutti i
fornitori dei servizi della societa' dell'informazione di cui
all'art. 1, paragrafo 1, punto (b) della direttiva (EU) 2015/1535,
nonche' tutti i soggetti che comunque offrono ai propri utenti
servizi online accessibili al pubblico attraverso reti di
comunicazione elettronica o cui si riferiscano siti web che facciano
impiego di cookie e/o altri strumenti di tracciamento, con specifico
riguardo ai trattamenti di dati personali relativi all'utilizzo delle
funzionalita' offerte, tengano conto delle indicazioni e delle
semplificazioni illustrate; segnatamente, per quanto concerne:
il consenso preventivo degli utenti in relazione al trattamento,
per finalita' di tracciamento on-line, delle informazioni che li
riguardano, anche derivanti dall'uso di cookie ed altri strumenti di
tracciamento, ai sensi degli artt. 122 del codice e 4, punto 11) e 7
del regolamento (secondo i criteri e le modalita' indicate ai
paragrafi 6 e 7);
il rispetto del diritto di revoca del consenso nei termini di cui
all'art. 7.3 del regolamento (secondo quanto indicato al paragrafo
7.1);
il rispetto degli obblighi di privacy by design e by default di
cui all'art. 25 del regolamento anche per mezzo dell'adozione di
misure di minimizzazione dei dati preliminarmente alla comunicazione
ed al loro impiego ad opera delle cd. terze parti (secondo quanto
indicato al paragrafo 7.2);
l'informativa da rendere agli interessati ai sensi degli artt. 12
e 13 del regolamento, con particolare riguardo all'indicazione dei
criteri di codifica utilizzati da ciascun titolare per la
classificazione dei cookie e degli altri strumenti di tracciamento
che consenta di distinguere quelli tecnici dagli analytics o da
quelli di profilazione (secondo quanto indicato al paragrafo 8 delle
presenti linee guida).
In considerazione della potenziale complessita' di eventuali
adeguamenti dei sistemi e dei trattamenti gia' in atto ai principi
espressi dalle presenti linee guida, l'autorita' reputa congruo
individuare un termine pari a sei mesi dal momento della loro
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana
entro il quale i soggetti tenuti dovranno conformarvisi; con
l'avvertenza che i consensi gia' raccolti, purche' conformi alle
caratteristiche richieste dal regolamento, potranno essere ritenuti
validi a condizione che, al momento della loro acquisizione, siano
stati registrati e siano dunque debitamente documentabili, anche
mediante evidenze informatiche.
Si allega alle presenti linee guida una scheda di sintesi (allegato
1) che ne costituisce parte integrante e sostanziale.
Si dispone la trasmissione di copia delle presenti linee guida al
Ministero della Giustizia-ufficio pubblicazione leggi e decreti, per
la loro pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 10 giugno 2021
Il presidente
Stanzione
Il relatore
Scorza
Il segretario generale
Mattei
(1) V. considerando 32 del regolamento e il raffronto tra l'art. 2,
lettera h) della direttiva 95/46/Ce e l'art. 4, punto 11) del
regolamento)
(2) Cosi' la Corte di Giustizia, che nella sentenza
Wirtschaftsakademie (C-210/16 del 5 giugno 2018) ha applicato la
direttiva 95/46 nonostante il caso si riferisse a operazioni di
trattamento rientranti nell'ambito di applicazione materiale
della direttiva ePrivacy; lo stesso e' accaduto nella sentenza
resa nel caso Fashion ID (C-40/17 del 29 luglio 2019)
(3) In senso conforme, con specifico riguardo alle interrelazioni tra
le discipline, si veda anche il paree dell'EDPB n. 5/2019 del 12
marzo 2019, richiamato in premessa.
(4) "Based on recital 32, actions such as scrolling or swiping
through a webpage or similar user activity will not under any
circumstances satisfy the requirement of a clear and affirmative
action: such actions may be difficult to distinguish from other
activity or interaction by a user and therefore determining that
an unambiguous consent has been obtained will also not be
possible. Furthermore, in such a case, it will be difficult to
provide a way for the user to withdraw consent in a manner that
is as easy as granting it" (cfr. punto 86).
Allegato 1
