Linee Guida del Garante per l’utilizzo dei cookie

30 agosto 2021Ultimo aggiornamento 11 novembre 2024
Tempo di lettura stimato: 6'
Il 1° ottobre 2019, sulla scia del Regolamento UE n. 2016/679, la Corte di Giustizia dell’Unione europea ha pubblicato la sentenza n.673 stabilendo che:
  • Per l’attivazione di cookie, serve un consenso esplicito dell'utente che naviga sul sito web. Il consenso può essere dato anche attraverso un click su una casella apposita, purché questa sia “vuota”, infatti, la Corte giudica illegittima la casella preselezionata (quindi già provvista di flag).
  • Inoltre, aggiunge che il consenso deve essere dato prima che l’utente possa proseguire con la navigazione sul sito. Quindi, la prassi secondo cui, per dare il consenso all’uso dei cookie, basta continuare a navigare sul sito, è ritenuta illecita.
  • Nella sentenza, gli ermellini europei precisano anche che il gestore del sito deve dare all'utente web tutte le informazioni di cui all'art. 13 del GDPR e che il consenso utilizzato per i cookie analytics e di profilazione deve essere dato sia da persone fisiche che da persone giuridiche.
Tali conclusioni partono dal lontano 2009, con la cosiddetta Direttiva e-privacy, una norma introdotta soprattutto per far fronte all'utilizzo di cookie da parte dei fornitori di servizi dell'informazione.

Secondo questa direttiva, durante la navigazione dell’utente, il fornitore di servizi dell’informazione non può archiviare informazioni o accedere a informazioni archiviate nell’apparecchio terminale di chi naviga, senza averlo prima informato in modo chiaro, così che l’interessato possa, di conseguenza, esprimere il proprio consenso.
È anche vero che esistono diversi tipi di cookie, cioè strumenti che assolvono a funzioni differenti: 
  • I cookie tecnici servono per poter effettuare la navigazione o a fornire un servizio richiesto sul sito internet visitato. In linea di principio per usare questo tipo di cookie non serve un consenso specifico. 
  • Diversamente, i cookie analytics vengono utilizzati dai fornitori di servizi dell'informazione per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito web, per poter ottimizzare e allineare il sito alle esigenze virtuali di chi naviga.
  • A questi si aggiungono i cookie di profilazione propri o di terzi, che vengono utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti, le loro abitudini di consultazione del web o di consumo ai fini del cosiddetto behavioural advertising.
Il legislatore italiano ha recepito la normativa europea nell'art. 122 del D. Lgs.vo n. 196/2003 (Codice della Privacy).


Il caso tedesco che ha portato alla sentenza n.673 della Corte di Giustizia

Il caso che ha portato alla sentenza n.673 del 1° ottobre 2019 sui cookies vede la Corte di Giustizia affrontare una vicenda legata a un gioco a premi promozionale organizzato da una società tedesca.


Per poter partecipare al gioco, l'utente doveva inserire alcuni dati personali. In fondo al campo da riempire con i dati personali apparivano due caselle: la prima conteneva la richiesta di consenso per ricevere informazioni promozionali da parte di determinati sponsor dell'organizzatore; la seconda conteneva la richiesta di consenso per l'installazione di cookie di profilazione di terzi. 
Mentre la prima casella era vuota, la seconda casella era precompilata.

L’articolo 5 della Direttiva 2002/58/CE non definiva le modalità in cui l'utente doveva prestare il proprio consenso all'utilizzo dei cookie. Quindi, di fronte al caso di specie, la Corte di Giustizia ha dovuto procedere interpretando la norma e rilevando che il consenso poteva essere dato validamente anche con strumenti tecnici, purché si desse prova di un comportamento attivo da parte dell'utente, che non poteva essere di certo una casella già con il flag (il cosiddetto opt-out). 


Un’altra questione interessante analizzata da questa sentenza riguarda l'oggetto del consenso. Nel caso di specie, per poter partecipare al gioco a premi, l’utente doveva inserire dei dati in un apposito riquadro e la società organizzatrice aveva argomentato sostenendo che l'utente, partecipando al gioco, con tale atto aveva espresso il consenso all'utilizzo dei cookie. Tale ricostruzione non è stata condivisa dalla Corte, che ha considerato l'attività del navigatore come un'attività separata rispetto a quella di prestazione del consenso. 


In chiusura, la Corte di Giustizia aveva sancito anche che è illegittima la prassi secondo cui il consenso all'utilizzo dei cookie è validamente prestato quando appare il cosiddetto cookie banner e l'utente prosegue nella navigazione (ad esempio accedendo ad un’altra area del sito o selezionando un’immagine o un link). Infatti, la semplice navigazione nel sito non si può considerare consenso esplicito ed inequivocabile.


Di conseguenza, il cookie banner, oltre a contenere le indicazioni di cui all'art. 13, doveva prevedere anche:
  • un pulsante per accettare i cookie;
  • e un pulsante di impostazione dei cookie utilizzati, affinché l'utente potesse scegliere consapevolmente, in base alle finalità dei cookie, se applicarli o meno nei suoi dispositivi.
Era il 2019. A distanza di un anno e mezzo ecco che viene pubblicato in Italia sulla Gazzetta Ufficiale un provvedimento emanato dal Garante per la protezione dei dati personali che annuncia le nuove Linee Guida per l’utilizzo dei cookie.


Linee Guida per l’utilizzo dei Cookie: cosa dice il provvedimento del Garante italiano

Dalla lettura del provvedimento è evidente che l’obiettivo del Garante è stato quello di rafforzare i principi da cui è partita la Corte di Giustizia, valorizzando il ruolo decisionale degli utenti riguardo all’uso dei loro dati personali quando navigano on line. 
Non a caso, queste linee guida vengono pubblicate a seguito di una consultazione pubblica e per fronteggiare alcuni fenomeni sempre più diffusi: 

  • rendere ai navigatori dei siti web delle informative che non sono in linea con i principi sanciti dal GDPR;
  • il crescente uso di tracciatori invasivi
  • la moltiplicazione delle identità digitali degli utenti, che favoriscono l’incrocio dei loro dati, rendendo sempre più difficili i processi di anonimizzazione dei dati.
Ed infatti il Garante si sofferma sulle modalità di rilascio del consenso.


Acquisizione del consenso e primo accesso dell’utente

Secondo le nuove linee guida, il meccanismo di acquisizione del consenso dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento.

Sempre nel rispetto del Regolamento Europeo, l’informativa agli utenti dovrà fornire diverse informazioni obbligatorie, tra cui anche gli eventuali altri soggetti destinatari dei dati personali ed in più anche i tempi di conservazione delle informazioni.


Cookie di profilazione: banner, tracciamenti, consensi

Nel caso dei cookie di profilazione, sarà sempre necessario richiedere il consenso attraverso un banner, che apparirà in maniera distinta sulla pagina web. 
Il banner dovrà anche dare agli utenti la possibilità di proseguire la navigazione senza essere tracciati in alcun modo e senza dover effettuare ulteriori dichiarazioni. Quindi, per continuare a navigare senza tracciamento, basterà chiudere il banner cliccando sulla caratteristica “X”, che dovrà essere inserita in alto a destra.
Il cosiddetto scrolling non potrà essere considerata un’idonea manifestazione del consenso.


Cookie wall: sono illegittimi

I cookie wall – la tecnica utilizzata dai siti web per negare l'accesso agli utenti che non acconsentano a tutti i cookie – sono considerati illegittimi. A meno che, stabilisce il Garante, il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti, senza richiedere il consenso all’uso dei cookie o di altri tracciatori, ma quest’ultima è un’ipotesi che va verificata rigorosamente, caso per caso.


Banner e nuovi accessi

L’Autorità sottolinea che è inutile mostrare nuovamente il banner per richiedere il consenso a ogni nuovo accesso, se l’utente in precedenza ha già negato il consenso. È una modalità che non dovrebbe esistere. La scelta dell’utente, dunque, dovrà essere registrata e non più richiesta


Quando adeguarsi? Entro 6 mesi

Queste nuove regole, che vanno ad aggiungersi alla normativa già esistente, obbligheranno le aziende che hanno un sito web ad adeguarsi, nei prossimi sei mesi, termine dilatorio concesso dal Garante per conformarsi alla nuova normativa.

Tale attività di adeguamento dovrà riguardare anche gli aspetti tecnici dei siti, perché occorrerà gestire le anagrafiche dei consensi in maniera dinamica e darne evidenza in caso di richieste dagli interessati o dagli stessi organi ispettivi. 

Val la pena poi ricordare in ottica di interventi di conformità, di porre attenzione alle procedure di gestione del consenso digitale, su cui ben presto giungerà il nuovo Regolamento e-privacy, rammentando alle aziende che tali dati rappresentano un valore inestimabile del proprio patrimonio aziendale e che l’adeguamento va messo in atto in ottica di tutela del business e non per lo spauracchio delle sanzioni, in caso di ispezione.
 

Vuoi saperne di più?


La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Avvocato, DPO, Esperta di Privacy

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy