Il Garante per la protezione dei dati personali ha avviato, in data 26 novembre 2020, una consultazione pubblica “sull’utilizzo di cookie e di altri strumenti di tracciamento” da parte dei gestori dei siti, al fine di monitorare il rispetto delle “Linee guida” pubblicate in data 4 maggio 2020.

Il Regolamento europeo (GDPR 679/2016), pur avendo introdotto un maggior controllo della privacy e del carattere “inequivocabile” del consenso – tramite l’attuazione dei principi di protezione fin dalla progettazione e per impostazioni predefinite (c.d. “privacy by design e by default”) -, non ha, tuttavia, modificato la disciplina relativa ai cookie e agli strumenti di tracciamento.

Pertanto il Garante è tornato ad esprimersi sull’argomento, come già fatto nel 2014 e nel 2015, alla luce delle indicazioni fornite dall’EDPB (Comitato che riunisce i Garanti europei), così fornendo alcuni chiarimenti sulle corrette modalità di pubblicazione on line delle informative e dell’acquisizione del consenso.

Le Linee guida racchiudono alcune interessanti indicazioni relative ai sistemi di tracciamento “passivi” (come il “fingerprinting”), alle modalità con cui si presta il consenso c.d. “scrolling“, e, alla reiterazione delle richieste di consenso agli utenti.

In merito ai cookie, (disciplinati agli artt. 122 e 4, punto 11 del Codice Privacy, e artt. 7, 12, 13 e 25 del Regolamento Europeo), l’Autorità ha ribadito, secondo definizione, che trattasi di stringhe di testo che i siti web visitati dall’utente (cd. publisher o di “prima parte”), ovvero siti web cd. di “terze parti”(rectius siti web non direttamente visitati dall’utente), posizionano e archiviano all’interno di un dispositivo dell’utente al fine di identificarlo.

Il “Fingerprinting”, tra gli strumenti “passivi” di tracciamento, rappresenta quella tecnica che consente di identificare il dispositivo utilizzato dall’utente, tramite la raccolta delle informazioni già fornite dall’interessato al momento della configurazione del dispositivo. Sul punto il Garante ha evidenziato come tale strumento, a differenza dei cookie, non permette la libera manifestazione del consenso, così pregiudicando i diritti degli interessati. L’utilizzo di tali strumenti comporta un elevato rischio di profilazione e monitoraggio dei comportamenti dei visitatori dei siti web.

L’azione consistente nel lasciare scorrere l’intera pagina, così da mostrarne sullo schermo la parte sottostante contenente l’informativa, c.d. “scrolling”, è, secondo l’Autorità, un modo inidoneo di raccolta del consenso, ad eccezione della sola ipotesi in cui venga inserito in un processo più articolato ( nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito o che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento).

Infine le Linee guida si soffermano sulla reiterazione nella richiesta del consenso, chiarendo che la presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito, rappresenta un’implementazione che, da un lato compromette la fluidità della “user experience”, dall’altro non trova ragione negli obblighi di legge, così svilendo il valore del consenso.

Il consenso, dunque, una volta acquisito, non dovrà essere nuovamente richiesto, se non al mutare delle condizioni per le quali è stato raccolto; ovvero quando sia impossibile, per il gestore del sito web, avere contezza che un cookie sia stato memorizzato sul dispositivo (ad esempio nell’ipotesi in cui l’utente scelga di cancellare i cookie legittimamente installati sul proprio dispositivo e il titolare non abbia adottato altro sistema per tenere traccia del consenso espresso).

 

 

 

 

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9501006.