Cosa sono i “Cookie” e quale è il loro impatto sulla privacy?
A ciascuno di noi, nelle nostre “navigazioni” nel mondo del Web sarà sicuramente capitato di imbattersi in avvisi e banner che ci avvisano dell’utilizzo di Cookie e ci chiedono di dare il nostro consenso a tale utilizzo.
Quanti di noi però sanno cosa sono i famigerati “Cookie” e quale è la loro importanza circa un corretto utilizzo in materia di privacy?
COSA SONO I COOKIE?
Dal sito del Garante della Privacy si legge che i cookie “sono piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi usati per la consultazione (computer, smartphone, tablet, Smart TV, ecc.) per essere memorizzati e poi ritrasmessi agli stessi siti in occasione della visita successiva”.
PERCHÉ LA REGOLAMENTAZIONE DEI COOKIE È COSÌ IMPORTANTE PER LA TUTELA DELLA PRIVACY?
I cookie semplificando e velocizzando gli accessi ai siti web da parte degli utenti, agevolano l’utilizzo di alcuni servizi web rendendo possibile tenere traccia degli articoli, per esempio, in un “carrello degli acquisti online” o delle informazioni riguardo l’elaborazione di un modulo informatico.
Proprio per queste loro caratteristiche, i cookie sono ritenuti essenziali per i gestori dei siti web, in quanto “consentono la raccolta e il trattamento di vari dati personali (es: indirizzo IP, nome utente, identificativo univoco o indirizzo e-mail) e dati non personali (come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito)”.
È naturale come tali “informazioni” vengano spesso impiegate per marketing o per fini di “profilazione” e per questo possano essere scambiate anche con terze parti.
Proprio per questo il Garante nello scorso giugno ha definito delle linee guida per l’utilizzo e la regolamentazione dei Cookie. Tale documento è basato sul nuovo quadro giuridico di riferimento (introduzione del Regolamento Europeo 2016/679 GDPR) ma anche sulla “scia” della sempre nuova spinta tecnologica che spinge le reti ad essere sempre più sofisticate.
È chiaro come essenziale sia apparsa sempre più stringente la necessità di porre delle nuove regole, considerata l’evoluzione dell’utilizzo di strumenti tecnologici da parte degli utenti (web, social media, app, ecc.)
QUALI SONO LE INDICAZIONI FORNITE DAL GARANTE?
Appaiono Importanti gli spunti delle linee guida dell’Autorità di Garanzia circa le modalità con cui vengono esaminati i documenti di “informativa” e “consenso” del trattamento dei dati.
INFORMATIVA
Conformemente ai requisiti di trasparenza descritti dagli artt. 12 e 13 del Regolamento Europeo GDPR, l’informativa deve avere un linguaggio semplice ed accessibile ed essere disposta su più livelli (multilayer) e attraverso più canali e modalità (cosiddetto multichannel) come per esempio pop-up informativi, assistenti virtuali ecc.
Nel caso si esclusivo utilizzo di cookie tecnici, la relativa informativa potrà essere disposta sulla home page o addirittura nel documento generale del sito web stesso. Nel caso di cookie “non tecnici” il Garante suggerisce l’uso di banner che siano “a comparsa immediata e di adeguate dimensioni”. A questo riguardo il Garante suggerisce che quest’ultimo contenga:
"1. un comando (ad esempio, una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie;
2. l’indicazione che il sito utilizza cookie tecnici e se del caso, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
3. il link alla privacy policy contenente l’informativa completa;
4. un comando per accettare tutti i cookie o anche altre tecniche di tracciamento;
5. il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter modificare le scelte già fatte.”
CONSENSO
La validità del consenso all’utilizzo di cookie e altri strumenti di trattamento deve conformarsi, come qualsiasi altra “manifestazione di volontà dell’interessato”, in particolare all’obbligo, che incombe sul titolare, “di dimostrarne l’avvenuta, corretta acquisizione”.
L’attuale normativa privacy in linea con il principio di accountability non anticipa alcuna “misura specifica” riguardo i modi con cui l’adempimento di tale obbligo viene posto in essere.
Il titolare avrà la possibilità di servirsi, per questo fine, di un apposito cookie tecnico con l’onere sul titolare medesimo di studiare e porre in essere delle misure alternative.
In particolare, è da considerarsi illecito Il cosiddetto «take it or leave it», vale a dire il processo automatico nel quale l’utente “viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie o altri strumenti di tracciamento”.
Ogni altro caso dovrà essere verificato caso per caso anche in base a quanto determinato dal GDPR.
Riguardo i consensi raccolti in precedenza e conformi alle caratteristiche richieste dal regolamento, essi conservano la loro validità a condizione che, siano stati registrati e pertanto documentabili.
Al contrario riguardo la reiterazione della richiesta di consenso per gli utenti che abbiano scelto di non prestarlo mantenendo le impostazioni di default, il Garante prescrive che tale ipotesi è possibile nei seguenti casi:
1. se cambiano significativamente le condizioni del trattamento;
2. quando sia impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo;
3. quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner
Articolo del: