Il 10 giugno 2021 il Garante per la protezione dei dati personali ha pubblicato le “Linee guida cookie e altri strumenti di tracciamento“. Oltre a ribadire la premessa generale secondo la quale l’espressione del consenso da parte dell’utente è necessaria per i cookie o altri sistemi finalizzati alla profilazione e non per i sistemi che sono solo strumentali al funzionamento del sito, ha aggiunto alcune precisazioni e una proposta operativa.
Il testo delle linee guida è stato pubblicato in Gazzetta ufficiale il 9 luglio e prevede 6 mesi di tempo dalla pubblicazione perché i titolari di siti web si adeguino alle indicazioni. Quindi è opportuno iniziare a mettere a fuoco la situazione.
Come non gestire i cookie: le indicazioni delle linee guida del Garante
Il Garante parte da una serie di considerazioni che riguardano le pratiche diffuse e le analizza in relazione ai riferimenti di legge applicabili, arrivando a individuarne alcune che proprio non vanno e a porre basi certe su quel che si può o non si può fare.
Il concetto su cui si basano tutti i ragionamenti in materia di tracciamento degli utenti online è che per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.
Detto questo, il Garante ha fatto alcune precisazioni rispetto all’utilizzo dei banner e alle modalità di espressione del consenso attualmente diffuse.
In merito al cosiddetto scroll down, cioè all’idea di utilizzare la consultazione di una pagina web da parte dell’utente come dimostrazione del suo consenso ad accettare eventuali strumenti di tracciamento, l’autorità è netta nel dire che non può funzionare così, che serve una soluzione capace di dimostrare la consapevolezza della scelta.
Per analogia, il Garante considera illecito vincolare l’utente a esprimere il proprio consenso intimandogli di abbandonare la pagina web in caso contrario, pratica nota come cookie wall, perché non rispetta il requisito di libertà previsto per l’espressione del consenso. L’unica eccezione ammissibile sarebbe il caso in cui il titolare del sito offrisse all’interessato l’accesso a un contenuto o a un servizio equivalenti, senza necessità di installazione e uso di cookie o altri strumenti di tracciamento.
Infine, il Garante afferma che la continua riproposizione del banner di consenso a utenti che lo hanno già negato in precedenza può lederne la libertà di scelta volendo indurli a rilasciare il consenso. Il banner può essere riproposto se cambiano le condizioni di trattamento dei dati, se il titolare non può avere garanzia del fatto che i cookie siano già stati installati sul terminale dell’utente (ex. se l’utente decide di cancellarli) e se sono trascorsi almeno 6 mesi dalla presentazione del banner.
Che cosa bisogna fare in pratica?
Il Garante non si è limitato a dire quel che non si deve fare sulla base dell’analisi delle pratiche più diffuse, ma ha formulato una proposta operativa ricca di dettagli.
Ne parlerò nella prossima SVnews!
La considerazione conclusiva delle linee guida è però che, trattandosi di un tema di interesse sempre più diffuso, tutti i soggetti coinvolti dovrebbero contribuire alla definizione di una codifica standardizzata relativamente a
- tipologia dei comandi
- colori
- funzioni
da implementare all’interno dei siti web per consentire la più ampia uniformità di gestione dei cookie e dei sistema di tracciamento, “a tutto vantaggio della trasparenza, della chiarezza e dunque anche della migliore conformità alle regole“. Se e quando questo coordinamento si realizzerà e produrrà uno standard definito, non è possibile saperlo, quindi è il caso che ciascuno inizi ad attivarsi per mettere in campo soluzioni conformi alle linee guida, eventualmente con il supporto dei tecnici che gestiscono per suo conto il sito web.