Anche l‘AEPD – l’Autority spagnola in materia di protezione dei dati – si è cimentata nella pubblicazione, negli scorsi giorni di novembre, della propria Guida per l’uso dei cookies (trovate il testo integrale della Guida nella sezione “Documenti utili” del Blog, al n. 45 della lista).
Avevo già affrontato, di recente, il tema dei cookies, in occasione della pubblicazione della Guida dell’ICO e del recente pronunciamento della Corte di Giustizia dell’Unione Europea, nell’articolo “I cookies secondo l’ICO“.
Evidentemente, l’avvicinarsi dell’approvazione del Regolamento e-privacy ha stimolato più di un’Autorità nazionale ad affrontare un tema noto al grande pubblico soprattutto per via degli “odiosi” banner di apertura di quasi tutte le home page di siti europei, ma che riveste un ruolo assai rilevante per chi si occupa (e vive) di advertising digitale.
La Guida dell’AEPD si suddivide in quattro parti.
Nella prima sezione, l’AEPD spiega la terminologia e le definizioni più comuni legate al mondo dei cookies, illustrandone le varie tipologie e funzioni: propri o di terzi; tecnici, di personalizzazione, analitici e di misurazione, di pubblicità comportamentale; di sessione e persistenti.
Nella seconda sezione, vengono illustrati gli obblighi connessi all’utilizzo dei cookies, con particolare riferimento al requisito di trasparenza ed alle corrette modalità di raccolta dei consensi dell’utente.
Per quanto riguarda il principio di trasparenza, l’AEPD ricorda che l’utente deve essere messo in condizione di comprendere facilmente l’uso e la finalità dei cookies che incontra vistando un sito web. Molto utili e pratici sono, poi, a mio avviso, i modelli di definizioni sui tipi di cookies impostati dall’AEPD (pagine 15-17 e 20-21 della Guida), che possono essere usati dai gestori/proprietari dei siti per offrire agli utenti chiare indicazioni su cosa sono e quali finalità hanno i diversi tipi di cookies e come gli interessati possono esercitare i loro diritti al riguardo.
Per quanto riguarda, invece, la raccolta dei consensi, l’AEPD non aggiunge nulla di nuovo ai principi già noti ed espressi in plurime occasioni da numerose fonti.
L’Autority spagnola precisa, in particolare, che:
- il consenso dell’utente può essere raccolto mediante dichiarazioni espresse, con un clic su casella “accetto” o “acconsento” o con qualsiasi altra inequivoca azione positiva dell’utente; mai con la semplice inazione di quest’ultimo;
- l’utente ha sempre diritto di rifiutare il consenso ai cookies di profilazione o di ritirarlo, dopo averlo prestato, in modo semplice;
- il consenso all’utilizzo dei cookies deve, inoltre, sempre essere richiesto in modo separato rispetto ad altre finalità (quale, ad esempio, l’accettazione dei termini e delle condizioni d’uso del sito o dei servizi proposti);
- il consenso dell’utente deve sempre precedere l’utilizzo del servizio al quale sono collegati i cookies;
- per quanto riguarda, poi, il consenso dei minori di anni 14, l’AEPD ricorda che il rischio di raccogliere il consenso di soggetti minori senza l’autorizzazione di chi esercita su di loro la potestà deve essere minimizzato tenendo conto del tipo di servizio offerto ed attraverso appositi avvisi di richiamo circa la necessità del consenso di un adulto. Anche in questo caso, l’AEPD suggerisce alcuni esempi pratici di avvisi (pagina 27 della Guida) utilizzabili in base al rischio di profilazione insito nei cookies utilizzati dal sito o servizio web.
La terza sezione della Guida è, invece, dedicata alle responsabilità legate all’utilizzo di cookies di terze parti. L’AEPD pone particolare enfasi al requisito dell’informazione puntuale e completa degli interessati in ordine alle modalità di gestione di questa specifica tipologia di cookies, soprattutto in riferimento all’accettazione o al rifiuto del consenso, dato che i Titolari del trattamento sono responsabili in solido con i proprietari dei cookies di terze parti in caso di raccolta e utilizzo delle informazioni ricevute dall’utente in modo non corretto.
L’allegato finale della Guida è, infine, dedicato al programmatic advertising
In quest’ultima parte l’Autorità spagnola illustra – attraverso un chiaro grafico iniziale, seguito da altrettante precise descrizioni di ciascun ruolo – tutti i soggetti che intervengono in questo tipo di advertising, soffermandosi anche sui principali strumenti utilizzati, quali:
- demand side platform (DSP),
- consent management platform (CMP)
- supply side platform (SSP)
- data management platform.
In ultima analisi, la Guida dell’AEPD appare completa e con un taglio destinato ad un utilizzo pratico immediato, di sicura utilità per gli operatori.
Lascia, tuttavia, perplessi che la Guida non faccia alcun riferimento alla recente sentenza della Corte di Giustizia dell’Unione Europea del 29 luglio 2019 e che trascuri completamente i precedenti contributi delle Autority che si sono già espresse sul tema, quasi ignorasse di operare in un contesto sovranazionale e benché si sia, oltretutto, in attesa dell’approvazione del Regolamento e-privacy che dovrebbe disciplinare uniformemente la materia in tutta l’Unione.
Un indice di scarso coordinamento tra le Autorità nazionali che non fa ben sperare in vista dell’applicazione dei meccanismi di cooperazione tra le Autorità di controllo previsti dall’articolo 60 e seguenti del GDPR.