Cookie Policy e GDPR

Gennaio 20, 2021
Francesco Cattaneo

Perché è importante curare la Cookie Policy? E il GDPR si applica?

Come nella favola di Pollicino, i cookie sono delle briciole di pane” che noi lasciamo durante la nostra navigazione e che vengono salvate sui nostri dispositivi (personal computer, tablet, smartphone, ovvero ogni altro dispositivo in grado di archiviare informazioni). Grazie a queste informazioni, i siti web che abbiamo visitato possono farci riprendere la navigazione da dove l’avevamo lasciata (per esempio facendoci trovare nel carrello tutto quello che avevamo scelto prima di sospendere l’acquisto, le impostazioni della lingua e così via).

Queste briciole, tuttavia, servono anche (e soprattutto) a profilare gli utenti di un sito (e magari a comunicare queste informazioni a terze parti).

I cookie, in particolare, sono strumenti di profilazione attiva.

Per questo motivo:

  1. È importante selezionare con cura quali cookie rilascia un sito (per esempio un E-commerce rilascerà dei cookie diversi da un Blog)
  2. È altrettanto importante che dell’esistenza di tali cookie e della relativa Policy sia debitamente informato l’utente. 

Per nostra fortuna, il Garante della Privacy ha finalmente dettato le linee guida a cui si deve ispirare chi gestisce un sito web.

In particolare, il Garante si è soffermato sull’applicazione dei principi del GDPR agli strumenti di tracciamento.

Vediamoli nel dettaglio!

Gli strumenti di tracciamento diversi dai Cookie (come il fingerprinting)

Non di soli Cookie vivrà un sito web!

Per il Garante, anche strumenti di profilazione passiva come il fingerprinting devono … essere ricompresi nell’ambito di applicazione delle presenti Linee guida” 

Per fingerprinting si intende “quella tecnica che consente di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato”.

In altre parole, l’utente viene profilato senza saperlo e senza che possa fare nulla per evitarlo.

Per questo motivo, dato che per il GDPR l’utente deve sempre avere la possibilità di revocare il consenso prestato (articolo 7, comma 3), il gestore dovrà essere molto prudente se decide di affidarsi a queste tecniche di profilazione passiva.

Varie classificazioni dei Cookie e degli strumenti di tracciamento

Quando si parla di strumenti di tracciamento non è solo una questione di durata (di sessione o permanenti) o di Cookie di prime e di terze parti.

La distinzione che interessa ai fini di legge e “alle esigenze di tutela della persona”, ci dice il Garante, riguarda:

  • i cookie tecnici, fra i quali sono ricompresi i cookie analytics, per i quali, al verificarsi di determinate condizioni, non è necessaria la richiesta del consenso
  • i cookie di profilazione, per i quali, invece, deve essere espressamente ottenuto l'esplicito consenso dell’utente.

Per i cookie di profilazione, in particolare, risulta applicabile l’articolo 25 del GDPR (con i suoi principi della Privacy by Default e della Privacy by Design) e quindi “[i]l rispetto di tali regole impone ... che, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di profilazione”.

Le modalità per l’acquisizione del consenso online

Il GDPR ha sancito, in materia di Privacy, regole rigorose per quanto riguarda l’acquisizione del consenso.

In particolare, il considerando 32 ci dice che: “non dovrebbe … configurare consenso il silenzio, l’inattività o la preselezione di caselle”.

Queste regole, ci dice il Garante, si applicano anche alla Cookie Policy.

Per questo motivo, egli ribadisce che:

  1. Lo scrolling, come altre modalità alternative di espressione del consenso all’uso dei cookie, non sono sufficienti, a meno che “siano realizzate … in modo tale da rendere inequivoco anche per l’utente l’effetto finale prodotto dalla propria azione”;
  2. Il meccanismo del cookie wall, che si ha quando l’utente deve scegliere tra accettare i cookie in blocco, o interrompere la navigazione e non accedere in alcun modo ai contenuti del sito, “è da ritenersi illecito”.

Il gestore, dunque, deve essere in grado di dimostrare che il consenso è stato effettivamente prestato.

È opportuno reiterare la richiesta di consenso?

Spesso accade che tornando su un sito web già visitato in precedenza questo ci chieda di nuovo di accettare la Cookie Policy.

Questa prassi non solo danneggia la user experience, ma è soprattutto inutile dal punto di vista legale!

Il consenso correttamente acquisito ai sensi della normativa del GDPR, infatti, deve essere nuovamente richiesto solo:

  • all’eventuale mutare di una o più delle condizioni alle quali è stato raccolto”;
  • quando sia impossibile avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato. Ad esempio, nell’ipotesi in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo e il titolare non abbia adottato altro sistema per tenere traccia del consenso espresso”.
Adeguamento alla nuova legge Europea sui Cookies (EU Cookie Law) in vigore dal 2 Giugno 2015