L’ICO – l’Autorità Indipendente inglese che si occupa della protezione dei dati – ha recentemente pubblicato una Guida con le proprie indicazioni per l’uso dei cookies (potete trovare il testo integrale del documento nella sezione “documenti utili” del Blog, cliccando sul link).
La Guida dell’ICO sui cookies suddivide l’argomento in:
- cosa sono i cookies e le tecnologie simili;
- quali sono le regole sui cookies:
- come le regole sui cookies si possono coordinare con il GDPR;
- come soddisfare le regole sui cookies.
Ritengo scontato che tutti noi sappiamo, almeno a grandi linee, cosa sia un cookie, quali e quante siano le tipologie di cookies (di sessione e persistenti, di prime parti e di terze parti, etc.) e come funzionano. Pertanto, mi addentro nei contenuti più strettamente giuridici della Guida dell’ICO.
La Guida ci ricorda, innanzitutto, che il GDPR classifica i cookies come una tipologia di “identificativo online” (considerando n. 30): pertanto, un cookie di autenticazione utente che implichi l’elaborazione di dati personali perché utilizzato per consentire all’utente di accedere al proprio account ai fini di utilizzare un servizio web, costituisce un dato personale.
Uno dei principi cardini richiamati dalla Guida dell’ICO è che il gestore di un sito web che fa uso di cookies, deve:
- esplicitare all’utente quali cookie utilizza;
- chiarire la loro funzione;
- ottenere il consenso dell’utente alla memorizzazione dei cookies sul proprio dispositivo.
l’ICO specifica, inoltre, che, al fine di dare un’informativa chiare all’utente, creare dei prospetti o delle liste dettagliate relative ad ogni cookie che opera in un dato sito, potrebbe essere una “strategia informativa apprezzabile”.
Nei siti che utilizzano decine o centinaia di cookies, potrebbe essere utile fornire all’utente un’informativa più ampia e approfondita circa le modalità di operatività dei cookies e le tipologie di cookies in uso.
Importante, poi, da un punto di vista pratico, è la precisazione dell’ICO in merito al fatto che, anche in applicazione dei principi del GDPR, si deve concludere che è vietato l’utilizzo dei cosiddetti “box pre-spuntati”, dato che il silenzio o l’inattività dell’interessato non costituiscono una valida manifestazione del consenso.
Questa conclusione implica, in particolare, che:
- il semplice fatto che l’utente continui a navigare sul sito non consente di ritenere validamente espresso il consenso ai cookies non essenziali per il sito stesso;
- l’utente deve essere informato dei tipi di cookies utilizzati e della loro funzione, prima della navigazione;
- non sono legittimi i box pre-selezionati all’uso di cookies non essenziali;
- l’utente deve possedere il controllo su ciascun cookie non essenziale e deve essere consentita la navigazione anche a chi decide di non volere tali cookies;
- sulla landing page del sito web non deve essere impostato alcun cookie non essenziale; diversamente, si vanificherebbero i principi stessi sopra descritti.
I suddetti principi sono stati, oltretutto, ulteriormente rafforzati dalla sentenza della Corte di Giustizia dell’Unione Europea del 29 luglio 2019 in base alla quale i cookies, in generale, possono essere usati solo se chi visita il sito manifesta un consenso attivo al loro utilizzo (cosiddetto meccanismo di “opt-in”).
Secondo la Corte di Giustizia UE, i cookies non devono, quindi, entrare automaticamente in funzione, bensì possono attivarsi solo se il visitatore esprime attivamente il proprio consenso;
Inutile dire che tale principio è destinato a segnare, per la maggioranza dei siti web europei, un punto di rottura con il passato dato che i visitatori di un sito saranno chiamati a prestare uno specifico consenso attivo all’uso di cookie, plug-in e altri strumenti di online marketing e tracciamento dati.
Secondo l’ICO, inoltre, i gestori dei servizi web devono assicurare di fornire a tutti gli utenti che visitano per la prima volta il sito web, informazioni chiare circa i cookies utilizzati, chiarendo – altresì – che l’utente ha il pieno controllo sulle impostazioni dei cookies non essenziali e vi sono ragioni per le quali lo stesso gestore del servizio web potrebbe avere bisogno che gli utenti esprimano nuovamente il proprio consenso sui cookies.
Tuttavia, a seconda delle circostanze, potrebbe non essere necessario acquisire un nuovo consenso ogni volta che un utente visita il sito. Ciò dipenderà da diversi fattori, quali, ad esempio, la frequenza delle visite, l’aggiornamento dei contenuti o delle funzionalità dello sito web.
Un chiaro esempio di circostanza nella quale sarà necessario acquisire un nuovo consenso riguarda l’ipotesi in cui vengono impostati i cookies non essenziali da una nuova terza parte.
Segnalo, inoltre, come interessante guida alla revisione dei cookies impostati su un sito web, la procedura suggerita dall’ICO, che vi riassumo di seguito:
- nel caso di cookie già attivi, confermare quali siano i cookie che operano direttamente da un sito web oppure attraverso di esso;
- confermare le finalità di ogni cookie in uso o che si intende utilizzare in futuro;
- confermare l’eventualità che i cookie siano collegati ad altre informazioni dell’utente e se il loro utilizzo coinvolge l’elaborazione di dati personali;
- identificare quali dati sono trattati da ogni cookie;
- confermare se vengono impiegati cookie di sessione o cookie permanenti;
- fornire una distinzione tra i cookie che sono strettamente necessari e quelli che non lo sono e, per questi ultimi, fornire un’informativa chiara e comprensibile per consentire all’utente un valido consenso;
- assicurarsi che il sistema di acquisizione del consenso sia in grado di permettere agli utenti di gestire le impostazioni dei cookies non indispensabili;
- specificare la durata dei cookie permanenti, valutandone l’adeguatezza rispetto alla finalità;
- indicare se ogni cookie è proprio o di terze parti e, in tal ultimo caso, indicare la parte che lo ha impostato;
- verificare che l’informativa sia chiara e adeguata per ogni singolo cookie;
- indicare quale informazione venga condivisa con terze parti e quali utenti ne siano edotti;
- definire una scadenza adeguata per le revisioni future.
Indubbiamente la Guida dell’ICO e la recente sentenza della Corte di Giustizia costituiscono dei chiari punti di riferimento per tutti i Titolari del trattamento che utilizzano siti web per il loro business.
Tenuto, però, conto che ci sono siti che si avvalgono di numerosissimi cookies con le più svariate funzioni e che le landing page di un sito possono essere molteplici, credo che una rigida applicazione di questi principi – assolutamente condivisibili sotto il profilo giuridico – possano produrre una sorta di “effetto respingente” alla navigazione di certe pagine web qualora all’utente sia richiesto di compiere numerose scelte di accettazione esplicita di cookies prima di poter navigare sul sito.