L’AUTOREMAGGIOLI EDITORE - La Gazzetta degli Enti Locali
Guida completa alla disciplina dei cookie ed altri strumenti di tracciamento per le PA
I martedì della cybersecurity/ Le regole che non si possono ignorare e le nuove indicazioni in materia a supporto delle pubbliche amministrazioni
di LUISA DI GIACOMO*
Da 6mila a 36mila euro per mancata o insufficiente informativa e da 10mila a 120mila euro per l’installazione di cookie senza il consenso dell’utente: queste sono le sanzioni che gli Enti locali rischiano per un sito non conforme alla normativa dei cookie, ovvero per il mancato rispetto del principio di data protection by design e by default.
La nuova normativa sui cookie e gli altri strumenti di tracciamento è in vigore dal mese di gennaio, ma ancora troppi sono i siti delle Pubbliche Amministrazioni che non si sono adeguati. A questo si aggiunge il provvedimento del Garante del giugno scorso che ha dichiarato illegittimo l’utilizzo di Google Analytics, per avere molti motivi per cui preoccuparsi.
Non è facile orientarsi e capire quale banner inserire e come redigere l’informativa, per questo motivo abbiamo deciso di raccogliere qui un breve dossier sulla normativa cookie, su come gestirli, su come predisporre l’informativa.
La definizione “classica” di cookie è nota: si tratta di piccoli file o stringhe di testi che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
La parola cookie in inglese significa biscotto, e già solo questo dovrebbe farci capire la funzione essenziale dei cookie: evidenziano le tracce di ciò che l’utente fa sul web quando lo naviga, ovvero a quale sito si è collegato e quali pagine ha visitato al suo interno. Poiché i cookie si parcheggiano sul dispositivo dal quale stiamo navigando, ogni volta che, con quello stesso dispositivo ci ricolleghiamo a quello stesso sito, anche dopo diversi mesi, a meno che i cookie non vengano nel frattempo cancellati, è possibile tracciare l’attività dell’utente sul web anche a distanza di tempo.
Non si tratta di file pericolosi, che infettano il nostro device, al contrario, senza alcuni cookie, i siti web non potrebbero funzionare, ma poiché, in alcuni casi, possono tracciare il nostro comportamento online, costituiscono una potenziale violazione della nostra riservatezza ed è per questo che l’Ente Locale deve conoscerli e saperli gestire.
I cookie possono essere temporanei (i cosiddetti cookie di sessione) ed in questo caso di “autodistruggono” al termine della sessione di navigazione; si tratta dei cookie che fanno funzionare le aree riservate della nostra navigazione, senza i quali non sarebbe possibile tenere in memoria i dati fino al termine dell’operazione che si sta effettuando online, e dunque della sessione.
Esistono poi altri tipi di cookie, tramite i quali il sito studia le abitudini e i dati dell’utente, e su questi c’è da fare qualche ulteriore precisazione.
Sono cookie analitici quelli che forniscono al gestore della pagina web informazioni statistiche aggregate, ad esempio il numero totale di visitatori per il suo sito, la permanenza su ciascuna sotto pagina, le fasce orarie di collegamento, le fasce orarie in cui vengono fatti maggiori acquisti. Ogni browser ha i propri cookie analitici e ognuno contiene le istruzioni per disattivarli o cancellarli.
In merito alle problematiche relative a Google Analytics ed al loro utilizzo da parte dei siti della Pubblica Amministrazione, si rimanda a questo articolo.
Infine, esistono i cookie di profilazione, i quali, come dice il nome stesso, servono per creare dei profili accurati dell’utente, tracciando in maniera dettagliata la sua attività e le sue preferenze, per andare poi a rivolgergli attività commerciali mirate e specifiche.
Grazie a questo tipo di tracciatori, il gestore del sito ha la possibilità di conoscere l’utente, di tracciarne preferenze e abitudini, di monitorarne l’attività di ricerca, in modo da canalizzare sempre meglio gli annunci pubblicitari e, conseguentemente, aumentare il profitto.
Infine, i cookie di terze parti sono quelli che consentono ad aziende terze, estranee al gestore/proprietario del sito internet navigato, di ricostruire le attività degli utenti, per creare un profilo ancora più dettagliato per la propria pubblicità.
Fino alla nuova disciplina, la legge che regolamentava l’utilizzo dei cookie era la cosiddetta Cookie Law, un provvedimento emanato nel 2014 dal Garante per la Protezione dei Dati Personali.
Il testo, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, costituiva l’esito del recepimento di numerose direttive comunitarie in materia di protezione dei dati personali e della normativa italiana allora in vigore, il cosiddetto Codice della Privacy, ovvero il d.lgs. 196/2003, il quale all’art. 122 prevedeva (e prevede tuttora) che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso, dopo essere stato informato con modalità semplificate”.
Ne deriva che, per poter utilizzare i cookie in maniera conforme al dettato normativo, fosse obbligatorio in primo luogo informare l’utente del web sulla presenza e sull’utilizzo di questi strumenti e sulle finalità che il gestore della pagina intendeva perseguire con gli stessi, e successivamente raccogliere il consenso, solo nei casi previsti dalla legge. Dunque, per prima cosa il titolare del sito web doveva sapere quali cookie fossero presenti sul proprio sito secondo la categorizzazione brevemente spiegata sopra, già di per sé questione non sempre evidente, e poi decidere quale finalità intendesse perseguire con gli stessi.
Una volta stabilita la presenza (o meno) di cookie di profilazione e di terze parti sulle proprie pagine web, ed in generale di strumenti di tracciamento non tecnicamente indispensabili al corretto funzionamento del sito, il Garante stabiliva che il titolare del sito dovesse chiedere il consenso esplicito dell’utente, tenendo traccia del consenso prestato ed essendo effettivamente in grado di bloccare i cookie in caso di diniego, prima che l’utente avesse la possibilità di esprimere la propria libera scelta.
Con l’arrivo del GDPR nel 2018, la cookie law del 2014 ha cominciato a mostrare qualche discrepanza col dettato normativo del Regolamento, soprattutto per l’introduzione dei principi di data protection by design e by default e per il fil rouge che permea tutta la nuova normativa sulla protezione dei dati, ovvero il principio di accountability del Titolare.
Il 4 maggio 2020, l’EDPB (European Data Protection Board) ha emanato nuove linee guida in materia di consenso al trattamento dei dati personali, e le maggiori novità riguardavano proprio i cookie.
Nello specifico, è stato ribadito che, come da principio generale, il consenso deve essere libero, ovvero il suo mancato conferimento non deve pregiudicare in alcun modo l’interessato ed in questo caso non deve impedirgli di navigare correttamente la pagina web che sta consultando in quel momento.
Bandite, quindi, le pratiche poco trasparenti di impostare un banner gigante, il cosiddetto cookie wall, che impedisce la navigazione e si chiude solo dando il consenso a tutti i cookie (anche quelli di profilazione, per i quali, è bene ricordarlo, è obbligatorio e imprescindibile il consenso); vietato anche il consenso implicito, desunto dal semplice atto di scrollare il sito, come si vedrà nel dettaglio più avanti.
Le principali novità riguardano le basi giuridiche del trattamento dei dati raccolti con i cookie e con gli altri strumenti di tracciamento (in particolare il fingerprinting, di cui si è parlato nel paragrafo 2), la regolamentazione della “zona grigia” che finora aveva permesso di adottare pratiche ai limiti della liceità, la responsabilità del Titolare del trattamento, il banner, l’acquisizione del consenso e i cookie analitici.
Per quanto riguarda i cookie c.d. tecnici, l’unico obbligo del Titolare sarà quello di informare l’utente della loro presenza tramite specifica informativa, anche da inserirsi in quella generale (c.d. privacy policy) del sito. Tutti i cookie o altri strumenti di tracciamento presenti per finalità diverse da quelle tecniche (quindi i cookie analitici, di profilazione e di terze parti) potranno essere utilizzati solo previa acquisizione del consenso informato dell’utente interessato.
Il consenso dovrà sempre essere una azione di opt-in, e mai di opt-out (in ossequio al principio di data protection by default: l’utente potrà sempre cambiare idea successivamente ed esercitare l’opt out, come si vedrà più avanti) ed il silenzio o l’inattività dell’interessato non configura un assenso, così come le caselle pre-flaggate sono considerate illegittime.
Ricordiamo che l’installazione dei cookie senza il preventivo consenso dell’utente può portare ad una sanzione fino a 120mila euro per l’Ente locale.
L’unica base giuridica valida per l’utilizzo dei cookie è il consenso. In nessun caso sarà possibile, pertanto, porre come base di liceità del trattamento altre basi giuridiche, ed in particolare non sarà (più) possibile invocare il legittimo interesse del titolare del trattamento per utilizzare gli strumenti di tracciamento online.
La novità non è di poco conto, perché il legittimo interesse tante volte veniva usato, in luogo del consenso, come base giuridica in maniera del tutto forzata, navigando una delle tante “zone grigie” di cui si è detto poco sopra lasciate dal provvedimento del 2014. Oggi questa sorta di scappatoia è stata definitivamente bandita dal Garante.
Come deve essere acquisito il consenso? Il Garante ritiene che l’impianto di acquisizione del consenso sancito nel 2014 (banner con informativa breve e informativa completa) sia ancora valido, tuttavia effettua alcune specificazioni, alla luce dei chiarimenti dell’EDPB di cui si è detto sopra, in particolare sulle gettonate pratiche dello scrolling e del cookie wall.
Partendo dal presupposto del Considerando 32 del GDPR, ossia che il consenso dovrebbe essere espresso mediante un atto positivo e inequivocabile, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano, e facendo proprie le raccomandazioni espresse dall’EDPB con il parere 5/2020 del 4 maggio 2020, il Garante ha espressamente dichiarato illegittimo il consenso desunto dallo scrolling.
Ossia, il semplice fatto di scrollare una pagina, bypassando il banner per andare a leggere i contenuti del sito, non può essere considerato di per sé un consenso validamente espresso per l’installazione dei cookie di profilazione. Il Garante non esclude che lo scrolling possa contribuire, unitamente ad altri elementi, a dimostrare l’acquisizione di un valido consenso, in ossequio al principio di accountability, secondo il quale è di fatto il Titolare a scegliere le misure tecniche ed organizzative idonee in grado di proteggere i dati personali e di essere in grado di dimostrarlo in sede di eventuale verifica. Tuttavia, invita il Titolare a ponderare con grande attenzione le scelte compiute in sede di privacy by design.
Analogo discorso vale per il c.d. cookie wall, intendendosi con tale espressione un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. È evidente la violazione dell’art. 4 del GDPR, con particolare riferimento alla libertà del consenso, in quanto un consenso che viene prestato a pena di impossibilità di accedere al sito, non può essere considerato libero.
Valgono qui le medesime considerazioni effettuate poco sopra per lo scrolling, ovvero che al Titolare potrebbe, muovendosi nel perimetro di accountability, abbinare al cookie wall altra forma per validare il consenso acquisito, ma la scivolosità del terreno spinge a cercare soluzioni alternative più chiare e che si prestino meno a equivoci e, di conseguenza, a contestazioni.
Come abbiamo detto, essenziale per l’utilizzo dei cookie è che l’utente sia informato della loro presenza e delle finalità e caratteristiche degli stessi. Solo i cookie tecnici possono essere utilizzati senza consenso (ma con informativa), mentre per quelli analitici e soprattutto di profilazione, anche di terze parti, è obbligatorio che all’informativa segua l’acquisizione del consenso.
Sarà quindi necessario che il sito presenti un banner, nella prima pagina del sito, di adeguate dimensioni (ma non tale da oscurare tutta la pagina, per cui, pur di toglierlo di mezzo, l’utente dia il consenso) che, per impostazione predefinita (privacy by default) non installi alcun cookie diverso da quelli necessari prima che l’utente abbia compiuto la propria scelta.
Deve essere previsto il pulsante di chiusura del banner (una X in alto a destra, generalmente) che se azionato chiude il banner mantenendo le impostazioni di default, quindi non installando alcun cookie di profilazione. Tale comando deve essere graficamente evidente e, per evitare di influenzare l’interessato, sia il comando di chiusura sia gli ulteriori comandi (consenso all’installazione di tutti i cookie o rinvio ad una pagina di espressione delle preferenze relative) dovrebbero avere uguali colori, uguali dimensioni e rilevanza grafica.
Il banner deve altresì contenere un’informativa breve, che specifichi che il sito potrebbe installare i cookie di profilazione o altri strumenti di tracciamento, ma che lo farà solo dopo il consenso, ed il link all’informativa completa, che deve essere presente anche nel footer di ogni pagina del sito, un comando che consenta l’accettazione di tutti i cookie ed un link dove è possibile esprimere le proprie preferenze e selezionare solo alcuni dei cookie cui l’utente intende acconsentire.
I tipi di cookie possono essere raggruppati in categorie omogenee, ovvero non è necessario elencare dettagliatamente tutti i cookie presenti, ma solo di quali tipi si tratta, ma le terze parti devono invece essere elencate specificamente e raggiungibili attraverso specifici link.
Un tema che è stato affrontato dal Garante è quello della riproposizione del banner, ovvero il caso in cui l’utente abbia negato il consenso ai cookie che si ritrova, ogni volta che torna sul medesimo sito, nuovamente il banner per effettuare la scelta: ho già detto di no, inutile chiedermelo di nuovo.
Dunque una volta compiuta la scelta, il banner non dovrebbe essere riproposto, per non “esasperare” l’utente ed indurlo a compiere una scelta condizionata e non libera solo per togliersi il fastidio. Il banner non può essere riproposto prima di sei mesi dalla prima scelta effettuata, a meno che vi siano mutamenti significativi delle condizioni di trattamento (ad esempio cambiano le tipologie si cookie utilizzati, o le terze parti).
Secondo il principio generale relativo al consenso espresso al GDPR, l’utente interessato ha sempre la possibilità di cambiare idea relativamente al consenso prestato o negato, e dovrebbe poterlo fare con la stessa facilità con cui è stata compiuta la prima scelta. Il Titolare sarà quindi obbligato ad inserire nel footer di ogni pagina del proprio sito un link che chiaramente spieghi la possibilità di rivedere le proprie scelte sull’utilizzo dei cookie, sia in un senso sia nell’altro.
Chiaramente, i consensi e le modifiche devono essere raccolti in apposito data base nel back end del sito, ed il sistema deve essere in grado di sovrascrivere le decisioni dell’interessato, in modo che il titolare sia sempre in grado di dimostrare le scelte fatte, in ossequio al (solito) principio di accountability. Sarà quindi necessario che non solo il Titolare del sito, ma anche la web agency del medesimo sia in regola con il GDPR ed in grado di operare secondo i principi di privacy by design e by default.
Infine, i consensi ottenuti (lecitamente e validamente) prima del 9 luglio, purché conformi al GDPR e documentabili, restano validi, ma deve essere anche per loro prevista la possibilità di effettuare l’opt-out.
Come accennato in precedenza, all’informativa breve contenuta nel banner dei cookie, deve fare da pendant un’informativa esaustiva e completa, che costituisce parte integrante e sostanziale della privacy policy del sito.
Il link all’informativa deve essere contenuto nel footer di ogni pagina del sito ed anche accessibile dal banner stesso, o in prima pagina o nell’area che si apre quando all’utente interessato è data la possibilità di valutare le varie opzioni ed esprimere le preferenze.
L’informativa deve avere le caratteristiche previste dagli artt. 13 e 14 del GDPR, essere chiara e concisa, resa con linguaggio semplice ed accessibile, in modo che sia di facile comprensione anche per i non addetti ai lavori.
Dovrà contenere i dati del Titolare e del DPO, le tipologie di dati raccolti e le finalità del trattamento, l’indicazione delle basi giuridiche, le modalità di trattamento, i tempi di conservazione, l’indicazione di eventuali terzi destinatari dei dati e le modalità di esercizio dei diritti degli interessati.
Per quanto riguarda nello specifico i cookie, sarà necessario spiegare brevemente di che cosa si tratta, esplicitando la distinzione tra i vari tipi di cookie e di strumenti esistenti ed indicando nello specifico quali cookie vengono utilizzati sul sito.
Per i cookie analitici, dovranno essere presenti le istruzioni, suddivise per i vari browser, per disattivarli in autonomia.
Questo sito utilizza cookie tecnici e analytics per i quali non è necessario acquisire il consenso dell’utente e potrà, esclusivamente previa acquisizione del suo consenso, utilizzare anche cookie di profilazione (anche di terze parti) per inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei suoi comportamenti.
Anche la chiusura, mediante l’apposito comando a X, del presente messaggio è da intendersi quale negazione del consenso all’utilizzo di cookie di profilazione da parte dell’utente.
Per maggiori dettagli e per conoscere le caratteristiche dei vari cookie utilizzati si invita a pendere visione dell’informativa resa dal titolare del trattamento, ai sensi dell’art. 13 del GDPR, presente alla sezione privacy policy, accedendo alla quale è possibile modificare il qualsiasi momento le preferenze precedentemente accordate.
>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.
www.lagazzettadeglientilocali.it