Sito Web, Privacy e Cookie Policy - Le Nuove Linee Guida del Garante

Contributo dell'avv. Marta Grazioli

Il Regolamento UE 2016/679 (di seguito “GDPR”) eleva ad oggetto di tutela il trattamento dei dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, disciplinando, conseguentemente, i principi e le condizioni per procedere al legittimo trattamento di tali dati.

Sito web e Regolamento GDPR

La normativa in materia di protezione dei dati personali incide direttamente sulla struttura e sul funzionamento dei siti web aziendali.

Le disposizioni del GDPR si applicano in tutti i casi in cui vi sia un trattamento dei dati personali.

In tal ottica vengono distinti due tipologie di siti web: (i) i siti che raccolgono dati personali degli utenti; (ii) i semplici siti “vetrina”, contenenti unicamente la presentazione dell’azienda e dei prodotti o servizi forniti.

A tal proposito il Garante ha chiarito che l’inserimento di un form di contatto oppure l’utilizzo di Cookie che raccolgono dati dell’utente è sufficiente per determinare la necessità di adeguarsi alla normativa GDPR.

Tutto l’impianto normativo del GDPR si fonda sul principio dell’accountability, in base al quale il titolare del trattamento deve adottare politiche e attuare misure adeguate a garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato sia conforme allo stesso Regolamento.

Alla luce di tale principio non esistono dei modelli standard di adeguamento da inserire nel proprio sito ma ogni titolare dovrà valutare le tipologie di trattamento effettuate; le finalità individuate e le basi giuridiche per redigere le proprie informative.

Informativa Privacy

Il GDPR prevede l’obbligo per il titolare, che intenda raccogliere e trattare i dati personali dell’interessato, di fornire allo stesso l’informativa, come disciplinata dall’art. 13 GDPR.

Tali informazioni vengono fornite tramite l'informativa sulla privacy. L'informativa privacy deve contenere gli elementi indicati dalla normativa e deve essere facilmente accessibile agli utenti, in genere tramite un link nella pagina. 

Il Considerando 39 del GDPR specifica, poi, che, in osservanza del principio della trasparenza, l'informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile ed intellegibile per l'interessato.

I Cookie, cosa sono e a cosa servono.

La crescita delle tecnologie web ha determinato l’esigenza di porre l’attenzione e di tutelare l’utilizzo dei Cookie da parte dei diversi siti web.

Come è noto, i cookie sono dei file di testo inviati sul computer dell’utente durante la navigazione sul sito web. Tali strumenti sono nati con l’obiettivo di migliorare la navigazione (cd. Cookie tecnici), memorizzando informazioni da parte dell’utente, quali la scelta della lingua, l’aspetto grafico ecc. Tali informazioni venivano, poi, automaticamente riproposte ad ogni accesso al sito.

Successivamente, i Cookie iniziarono ad essere utilizzati anche per identificare, riconoscere e classificare l’utente del sito: si svilupparono i Cookies di profilazione per creare annunci personalizzati a seconda delle preferenze degli utenti.

Il considerando 30 del Regolamento afferma che “le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Le informazioni presenti nei Cookie possono includere sia dati personali, tra i quali: l’indirizzo IP, il nome utente, un identificativo univoco o un indirizzo e-mail; che dati non riconducibili a persone fisiche, tra cui: le impostazioni della lingua o informazioni sul tipo di dispositivo che viene utilizzato dall’utente.

I Cookie possono essere suddivisi in due macrocategorie: Cookie tecnici e Cookie di profilazione.

- i Cookie tecnici, utilizzati al solo fine di migliorare la navigazione. Tale tipologia di Cookie non raccoglie dati personali.

- i Cookie di profilazione, vengono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti, pertanto consentono di monitorare la navigazione dell'utente, allo scopo di modulare la fornitura del servizio in modo personalizzato e inviare pubblicità e offrire servizi in linea con le preferenze.

Mentre i Cookie tecnici non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa, i Cookie di profilazione - proprio sulla base delle loro caratteristiche - potranno essere utilizzati esclusivamente previa acquisizione del consenso informato dell’interessato, come già disciplinato dal Codice della Privacy e della Direttiva ePrivacy.

La successiva entrata in vigore del Regolamento GDPR impone tuttavia una indagine, innanzitutto tesa a ricercare il coordinamento tra le regole poste dalle normativa in vigore, per esempio: è nella direttiva ePrivacy che, nei casi previsti, si rinviene l’obbligo di acquisizione del consenso all’impiego di cookie e altri strumenti di tracciamento; ma è nel Regolamento che andranno ricercate le specifiche caratteristiche di quel consenso ai fini della sua validità e conformità alla disciplina generale.

Con l’entrata in vigore del GDPR la modifica più significativa alla disciplina dei Cookie si rinviene nella disciplina del consenso dell’utente e delle sue caratteristiche.

Il consenso, a norma del Regolamento GDPR, deve essere espresso mediante un atto positivo inequivocabile e per singola finalità di trattamento e in qualsiasi momento l’utente dovrà poter revocare il consenso già fornito.

Le Nuove Linee Guida 2022 del Garante in tema di privacy e cookie sui siti web

È proprio sul tema del consenso e dell’informativa che è intervenuto il Garante con le Nuove Linee Guida in tema di privacy e Cookie sui siti web, in vigore dal 10 gennaio 2022.

Il Garante per la protezione dei dati personali è intervenuto con l’obiettivo di rafforzare la privacy e il potere decisionale degli utenti riguardo l’uso dei loro dati personali quando navigano sui siti web.

Sulla base delle Nuove Linee Guida cambiano: (i) le modalità con cui i titolari dei siti web dovranno gestire la raccolta del consenso; (ii) le modalità di installazione dei Cookie; e (iii) le modalità di somministrazione dell’informativa agli utenti.

In primo luogo, il Garante fornisce alcuni chiarimenti in relazione all’utilizzo del c.d. scrolling ai fini della raccolta del consenso all’utilizzo di cookie ed altri strumenti di tracciamento, nonché all’utilizzo del c.d. cookie wall.

Al riguardo si fa, innanzitutto, riferimento al considerando 32 del Regolamento, secondo il quale “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

Con il termine “scrolling” s’intende lo scorrimento della pagina, dopo aver visualizzato il cookie banner. Con le Linee Guida del 10 giugno 2021 il Garante della Privacy ha definito lo Scrolling di per sé inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di Cookie di profilazione ovvero di altri strumenti di tracciamento, salva la sola ipotesi in cui venga inserito in un processo più articolato.

Di conseguenza lo Scrolling potrà intervenire nella procedura di acquisizione del consenso e costituire non la sola, bensì una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile, volta a prestare il proprio consenso all’uso dei Cookie o di altri strumenti di tracciamento, come richiesto dalle norme vigenti.

Il Garante si sofferma anche sullo strumento cd. Cookie Wall, intendendosi un meccanismo vincolante, nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di Cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.

Tale meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal Regolamento, e in particolare al requisito della libertà del consenso, è da ritenersi illecito, salva l’ipotesi,   da verificare caso per caso,   nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.

Il meccanismo di acquisizione del consenso: il banner

Le Linee Guida chiariscono, poi, che al momento del primo accesso dell’utente a un sito web nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del suo dispositivo.

Qualora il sito web utilizzi unicamente Cookie tecnici o altri strumenti analoghi, sarà sufficiente fornire l’informativa sugli stessi.

Invece, ogniqualvolta, ci si trovi in presenza di strumenti di tracciamento dovrà essere presente un banner in grado di rilevare e memorizzare le scelte dell’utente e una informativa descrittiva delle tecnologie di tracciamento utilizzata (cd. Cookie Policy).

Le Linee Guida si soffermano sul meccanismo di acquisizione del consenso online tramite banner.

Il consenso dovrà essere prestato mediante un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti i requisiti previsti dal GDPR: libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento.

Il Garante, infatti, chiarisce che il banner situato all’interno del sito dovrà avere determinate caratteristiche, tra le quali:

·                L’utente dovrà essere avvertito che la chiusura del banner comporta il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici. 

·                Il banner dovrà contenere un link alla cookie policy contenente l’informativa.

·                Il banner dovrà contenere un comando attraverso il quale l’utente possa esprimere il proprio consenso accettando il posizionamento di tutti i Cookie o l’impiego di eventuali altri strumenti di tracciamento.

·                Il sito dovrà prevedere la possibilità per l’utente di accedere ad un’area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità e i Cookie di interesse.

Gli utenti dovranno, poi, poter modificare le scelte compiute, prestando il consenso negato o revocando il consenso espresso, in ogni momento e ciò in maniera semplice, immediata e intuitiva attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga.

Il Garante si sofferma anche sulle caratteristiche grafiche dei banner visualizzati nei diversi siti web. In particolare, il Garante specifica che, al fine di evitare che gli utenti siano influenzati dalle configurazioni dei pulsanti oppure dai colori, che possano determinare le loro scelte, il sito dovrà utilizzare comandi e caratteri di uguali dimensioni e colori, che siano ugualmente facili da visionare e utilizzare.