Il Garante per la protezione dei dati personali ha aggiornato le Linee guida in materia di cookie.
L’aggiornamento si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy nonché dell’evoluzione tecnologica che in questi anni ha portato a tecniche nuove caratterizzate da crescenti livelli di potenziali pervasività.
Di seguito vengono presentati i punti chiave delle nuove Linee Guida.
In primis, in merito alle modalità di acquisizione del consenso, il Garante ha condiviso l’opinione espressa dall’EDPB: il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso.
Allo stesso tempo, lo scrolling può intervenire nella procedura di acquisizione del consenso e costituire non una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile, volta a prestare il proprio consenso all’uso dei cookie o di altri strumenti di tracciamento, come richiesto dalle norme vigenti.
Oltre a ciò, il Garante ha illustrato un importante chiarimento sui cd. “cookie wall“.
Con tale espressione si indica un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
Questo meccanismo, non consentendo di qualificare l’eventuale consenso così ottenuto come “libero” e in linea con le caratteristiche imposte dal Regolamento, è da ritenersi illecito, salva l’ipotesi da verificare caso per caso nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.
In aggiunta, il Garante ha aggiunto anche che l’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso, laddove l’utente l’abbia in precedenza negato, appare suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione libero dalla comparsa del banner contenente l’informativa breve e la richiesta del consenso.
Infine, il Garante ha precisato le condizioni per cui i cookie analytics possano essere equiparati ai cookie tecnici, e quindi possano essere utilizzati senza il previo consenso dell’Interessato.
Ai fini di tale equiparazione, è indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato (cd. single out), il che equivale impedire l’impiego di cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti ed univoci.
In sostanza, la struttura del cookie analytics dovrà allora prevedere la possibilità che lo stesso cookie sia riferibile non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Di regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie.
Qui il link alle Linee Guida del Garante
