Normativa Cookies: tutti gli adempimenti per siti web ed e-Commerce
La normativa cookies, anche conosciuta come Cookie Law, è contenuta nella Direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche (c.d. direttiva ePrivacy). Essa è stata successivamente modificata dalla Direttiva 2009/136/CE. Il legislatore italiano ha poi trasposto i principi dettati dal legislatore europeo nel Titolo X del Codice Privacy (D.lgs. 196/03).
A distanza di anni dall’entrata in vigore della Cookie Law, i dubbi sulla sua applicazione sono ancora molti. Le autorità garanti, il Working Party 29 (oggi EBPD) e persino la Corte di Giustizia si sono più volte pronunciati in materia di cookies ma non sempre in modo coerente. L’entrata in vigore del Reg. UE 2016/679 (GDPR) non ha migliorato le cose, rendendo ancora più evidente la necessità di rivedere la normativa cookies con l’emanazione del regolamento ePrivacy, ormai in cantiere da anni.
In questo articolo cercherò di fare un po’ d’ordine fra le normative, pronunce giurisprudenziali e linee guida in materia di cookies. Cercherò inoltre di rispondere alle domande più frequenti e sfatare alcuni luoghi comuni. L’intento è quello di fornire indicazioni chiare ed esaustive per chiunque voglia conformare il proprio sito web o e-Commerce alla normativa cookies.
[vc_posts_grid post_layout=”small” loop=”size:10|order_by:date|by_id:3246″]
Cosa sono i cookies?
Prima di entrare nel vivo della normativa, è necessario capire cosa sono i cookies e perché incidono sulla nostra privacy.
I cookies sono dei piccoli file di testo che vengono trasmessi dai siti web durante la navigazione e “piazzati” sul nostro browser. Essi hanno la funzione di marcatori. Consentono infatti ai siti internet di riconoscere il browser che ha effettuato il collegamento e tracciarne alcuni comportamenti durante la navigazione.
Un esempio tipico del funzionamento di un cookie lo si trova nei siti web multilingua. In occasione della prima visita, ci viene chiesto di scegliere la lingua che preferiamo. Nelle visite successive però non ce ne sarà più bisogno, perché il sito web si presenterà automaticamente nell’idioma scelto la prima volta. Questo è possibile grazie ad un cookie che viene installato sul nostro browser. Esso permette al sito web di riconoscerci e gli ricorda di mostrare la lingua che abbiamo scelto precedentemente. Se utilizziamo un altro browser oppure cancelliamo i cookies prima del nuovo collegamento, il sito non ci riconoscerà e chiederà nuovamente di scegliere la lingua.
Poiché i cookies permettono di riconoscere un dispositivo e tracciare le sue abitudini di navigazione, essi vengono costantemente utilizzati a fini di profilazione e marketing. Se entriamo sul sito di un’agenzia immobiliare che utilizza cookies, nelle settimane successive vedremo annunci di case in vendita durante la navigazione.
Una volta compreso cosa sono i cookies, per capire come applicare la normativa dobbiamo anche imparare a distinguerli. Dal punto di vista oggettivo, i cookies possono essere divisi in due categorie: cookies tecnici e cookies di profilazione. Dal punto di vista soggettivo, invece, si distinguono cookies di prima e di terza parte.
Classificazione oggettiva: cookies tecnici e cookies di profilazione
I cookies si distinguono in cookies tecnici e cookies pubblicitari (o di profilazione).
Sono cookies tecnici quelli finalizzati unicamente a permettere la trasmissione di una comunicazione e quelli strettamente necessari al funzionamento del sito web. I cookies tecnici non rappresentano una minaccia per la privacy degli utenti ma piuttosto migliorano la user experience. Essi possono migliorare le prestazioni del sito e facilitare alcune operazioni, come la scelta della lingua o l’inserimento di prodotti in un carrello e-Commerce.
I cookies di profilazione, diversamente, permettono di tracciare la navigazione degli utenti e profilare i loro interessi per personalizzare i messaggi pubblicitari. Si tratta dei cookies abitualmente utilizzati nell’attività di re-marketing.
L’obbligo del consenso per i cookies di profilazione
Ai sensi dell’art. 122 del Codice Privacy, è richiesto il consenso preventivo dell’utente per installare cookies sul suo terminale o accedere alle informazioni già archiviate. Il consenso deve essere prestato dopo che è stata fornita all’utente un’informativa breve sulla presenza di cookies, nella forma di un banner che crei discontinuità nella navigazione.
Se questa è la regola generale, i cookies tecnici rappresentano l’eccezione. I cookies tecnici non richiedono il previo consenso da parte dell’utente per essere installati, fermo restando l’obbligo dell’informativa.
[vc_posts_grid post_layout=”small” loop=”size:10|order_by:date|by_id:4441″]
Serve il consenso per i cookies di Analytics?
Alcuni cookies, detti statistici, consentono al gestore di un sito web di raccogliere dati in forma aggregata relativi alla navigazione del sito web. Il servizio più comune è senza dubbio quello fornito da Google Analytics, ma ve ne sono altri altrettanto conosciuti, come Yandex Metrica.
Questi strumenti sono indispensabili per il gestore di un sito web, in quanto consentono di monitorare il traffico e determinare le strategie di marketing. Allo stesso tempo, non risultano particolarmente invasivi per gli utenti, poiché i loro dati vengono utilizzati solo in forma aggregata e per finalità statistiche.
Tuttavia, possiamo realmente dire che si tratta di cookies strettamente necessari al funzionamento del sito web?
Fortunatamente l’Autorità Garante italiana ha fornito importanti chiarimenti in materia di attuazione della normativa cookies.
I cookies di analytics vengono assimilati ai cookies tecnici e quindi non richiedono il consenso preventivo dell’utente. Ciò tuttavia è vero se ricorre una delle seguenti condizioni:
- i cookies siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi);
- siano previsti sistemi di anonimizzazione dell’indirizzo IP (mascheramento di porzioni significative dell’indirizzo) che ne riducano il potere identificativo.
In conclusione, è possibile utilizzare Google Analytics o strumenti ad esso assimilabili senza chiedere il consenso preventivo dell’utente, a condizione che sia stata attivata la funzione di anonimizzazione dell’indirizzo IP.
Il bloccaggio preventivo dei cookies di profilazione
Se per installare i cookies di profilazione occorre il previo consenso dell’utente, cosa deve fare il gestore di un sito per ottenerlo?
In occasione della prima visita al sito, dovrà apparire ben visibile un banner che informi l’utente della presenza di cookies anche profilanti e chieda il consenso ad installarli mediante un comportamento attivo: il click sul pulsante “acconsento”.
Per attuare correttamente la normativa cookies, il gestore del sito deve assicurarsi che tutti i cookies profilanti siano bloccati di default e non vengano installati sino a quando l’utente non presta il consenso.
Affinché il consenso sia considerato valido, sul cookie banner deve essere presente anche la possibilità di rifiutarne l’installazione. Esso deve inoltre rimandare ad un pagina che fornisca una Cookie Policy estesa e renda possibile la disattivazione granulare dei diversi tipi di cookies.
Lo scrolling è sufficiente per accettare i cookies?
Alcuni siti web permettono di accettare i cookies profilanti con un semplice scroll della pagina, che di conseguenza ne permette il piazzamento e fa sparire il banner con l’informativa breve.
Se ciò sia lecito è tutt’altro che scontato. Si registrano infatti difformità di vedute da parte dei diversi garanti europei. Il Garante tedesco, quello francese e quello del Regno Unito ritengono che lo scrolling e la prosecuzione della navigazione sul sito non siano modalità idonee ad acquisire il consenso per l’installazione dei cookies. Il Garante spagnolo e quello italiano invece sembrano più permissivi.
La posizione del Garante italiano
Nei chiarimenti in materia di normativa cookies forniti dal Garante italiano si legge il passo sotto riportato:
Soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito, che possa essere qualificato come azione positiva dell’utente.
La posizione della Corte di Giustizia e dell’EBPD
Nonostante quanto affermato dal Garante italiano, a mio parere questa soluzione non può essere consigliata. È ormai pacifico infatti che il consenso al trattamento di dati personali debba consistere in un atto positivo, esplicito ed inequivoco della volontà di accettare: un opt-in e mai un opt-out. Ignorare il banner e proseguire nella navigazione non può considerarsi tale.
La mia opinione sembra oggi confermata dall’EBPD e dalla Corte di Giustizia Europea, tant’è che lo stesso Garante italiano sembra in procinto di rivedere la sua posizione sullo scrolling.
Nel caso C-673/17-Planet49 GmbH, la Corte di Giustizia ha precisato che il consenso all’installazione dei cookies deve essere specifico e attivo. Non è considerato legittimo un consenso acquisito mediante caselle pre-spuntate, poiché non risulterebbe possibile determinare a livello oggettivo se la scelta di non deselezionare tali caselle possa rappresentare effettiva manifestazione di un consenso.
Ancora più preciso è stato l’EBPD nelle linee guida in materia di consenso del 4 Maggio 2020, affermando quanto segue:
Actions such as scrolling or swiping through a webpage or similar user
activity will not under any circumstances satisfy the requirement of a clear and affirmative action.
Classificazione soggettiva: cookies di prima parte e di terza parte
Secondo il criterio soggettivo, i cookies si distinguono in cookies di prima parte, quando vengono installati direttamente dal dominio del gestore del sito, e cookies di terza parte, quando provengono dai domini di soggetti terzi.
Anche se il nostro sito web non utilizza cookies di profilazione, è probabile che alcuni plug-in comportino a nostra insaputa l’installazione di cookies di terza parte, anche profilanti. Ad esempio, se sul sito è caricata una mappa di Google Maps, questa installerà dei cookies di Google, utilizzati da quest’ultimo per profilare gli utenti del nostro sito. Lo stesso vale per gli share button o i pulsanti “Like” di Facebook, i video di YouTube e molti molti altri servizi.
Per verificare quali cookies di terze parti vengano installati da un sito è sufficiente consultare il browser. Su Chrome, ad esempio, per vedere i cookies possiamo cliccare sul lucchetto alla sinistra della stringa dell’indirizzo della pagina.
Ma se i cookies di terza parte non sono installati da noi, come possiamo controllarli? Quali sono i nostri obblighi in qualità di gestori del sito web?
Chi è titolare del trattamento con riguardo ai cookies di terza parte?
Con la sentenza C-40/17 Fashion ID, la Corte di Giustizia ha individuato una contitolarità del trattamento fra il gestore di un sito web in cui era presente un plug-in per i “Like” di Facebook e Facebook stessa.
L’Avvocato Generale prima e la Corte di Giustizia poi hanno precisato che la contitolarità non riguarda tutte le fasi del trattamento dati ma solo le operazioni di raccolta e trasmissione delle informazioni ricavate dai cookies. Il gestore del sito infatti non determina finalità e modalità del trattamento con riferimento all’uso che Facebook fa dei dati ricevuti. Esso però determina la raccolta e l’invio dei dati nel momento in cui sceglie di installare il plug-in sul proprio sito.
Il fatto che il gestore del sito sia anch’egli un titolare del trattamento comporta per lui l’obbligo di ottenere il consenso preventivo all’installazione dei cookies di terza parte, nonché di fornire l’informativa mediante una Cookie Policy.
In sintesi, i cookies di terza parte, come quelli di prima parte, devono essere preventivamente bloccati se profilanti. Poiché non è sempre possibile conoscere le finalità di un cookie di terza parte e difficilmente questi sono strettamente necessari al funzionamento del sito, è buona norma provvedere al bloccaggio preventivo di tutti i cookies di terza parte, in attesa del consenso da parte dell’utente.
Per quanto riguarda l’informativa, il gestore del sito deve fornire nella propria Cookie Policy una descrizione dei cookies di terza parte installati, ovviamente nei limiti delle sue conoscenze, nonché rimandare all’informativa del titolare dei cookies.
I Cookie Wall sono legittimi?
Una Cookie Wall è una barriera che impedisce l’accesso ad un sito web a meno che l’utente non fornisca il consenso all’installazione dei cookies, anche profilanti.
Sulla legittimità o meno dei Cookie Wall si è recentemente formato un conflitto di decisioni in Francia. Mentre il Garante francese (CNIL) aveva affermato l’illegittimità dei Cookie Wall nelle proprie linee guida, il Consiglio di Stato ha revocato parzialmente il provvedimento, stabilendo che la loro legittimità non può essere esclusa sulla base della legge sui cookie.
La decisione francese ha scatenato una serie di discussioni, poiché in realtà l’illegittimità dei Cookie Wall appare evidente, stanti i requisiti richiesti affinché si formi un valido consenso in materia di trattamento di dati personali.
Sui Cookie Wall si è recentemente pronunciato anche l’EBPD con le linee guida in materia di consenso emanate il 4 maggio 2020. Esso ha ribadito che il consenso non può ritenersi liberamente formato e quindi valido se ad esso viene condizionata la possibilità di accesso ad un servizio.
Cookie Policy: quali informazioni vanno date?
Redigere una buona Cookie Policy non è affatto una cosa semplice e richiede molto spesso la convergenza di competenze tecniche e legali.
È innanzi tutto importante spiegare agli utenti del sito cosa sono i cookies e perchè incidono sul loro diritto alla protezione dei dati personali.
La Cookie Policy deve descrivere in maniera specifica e analitica le caratteristiche, le finalità e la durata dei cookies installati dal sito e consentire all’utente di selezionare e deselezionare le singole categorie di cookies.
La Cookie Policy dovrà informare gli utenti in caso di installazione di cookies di terza parte, descriverne per quanto possibile funzionamento e finalità, nonché rinviare alle informazioni fornite direttamente dal titolare dei cookies (es. Google, Facebook, Microsoft etc.).
Gli utenti devono essere informati della possibilità di disattivare i cookies anche intervenendo sui propri browser e fornire se possibile le istruzioni necessarie.
Infine, la Cookie Policy deve essere raggiungibile mediante un link inserito nel Cookie Banner, nonché accessibile da ogni pagina tramite un link posto nel footer.
Cookie Law e GDPR, quale applicare?
L’entrata in vigore del GDPR ha riportato il focus sulla materia del trattamento dei dati personali e, conseguentemente, anche sui cookies. Occorre tuttavia sgombrare il campo da alcuni equivoci: il GDPR non ha modificato la normativa cookies. Essa è disciplinata, come visto sopra, dalla direttiva ePrivacy e confluirà prossimamente in un nuovo e diverso regolamento.
Ciò non significa che il GDPR sia completamente irrilevante per la Cookie Law, poiché i cookies incidono sul trattamento di dati personali. Il rapporto fra GDPR e Cookie Law deve considerarsi come rapporto fra legge generale (il GDPR) e legge speciale (la Cookie Law). La conseguenza è che i principi generali del GDPR, come quelli sulla validità del consenso, sull’accountability, sulla privacy by design e by default possono applicarsi anche ai trattamenti effettuati mediante cookies. Tuttavia, le norme specifiche sui cookies prevalgono su quelle generiche previste dal GDPR i trattamenti di dati.
Un esempio tipico è quello relativo alle basi giuridiche. Poiché la Cookie Law richiede il consenso all’installazione dei cookies sul terminale degli utenti, non sarà possibile ricorrere alle diverse basi giuridiche previste dall’ art. 6 GDPR. Ad esempio, non è possibile basare l’installazione dei cookies sul legittimo interesse del titolare del trattamento.
Conclusioni
Come visto sopra, la normativa in materia di cookies è estremamente complessa, spesso contraddittoria e talvolta addirittura inattuabile nella pratica. Ciò la rende inaccessibile alla stragrande maggioranza dei gestori di piccoli siti web, nonché una delle norme più disapplicate di sempre.
Quando tento di spiegare ai miei clienti e soprattutto agli web developer quello che c’è bisogno di fare per adempiere alla normativa cookies, spesso mi sento rispondere: “ma non lo fa nessuno!“. A queste comprensibili osservazioni, non posso che rispondere sconsolato che, seppur vero, il fatto che non lo faccia nessuno non significa che non vada fatto. Del resto, come avvocato non posso esimermi dal raccomandare ai miei clienti l’adozione delle best practices. La decisione di attuarle oppure accettare il rischio di sanzioni (non frequenti ma salate!) spetta comunque al cliente.
Recentemente, un web developer ha risposto alle mie raccomandazioni invitandomi a visitare il sito web italiano di un big a livello mondiale, di cui ovviamente non faccio il nome. Una volta atterrato sulla homepage, prima che fornissi qualsiasi consenso, il sito aveva già installato sul mio browser 58 cookies, di cui alcuni notoriamente profilanti.
Ciò non può che evidenziare la necessità di un ripensamento della normativa cookies mediante l’emanazione del tanto atteso Regolamento ePrivacy. Il mercato degli e-Commerce e del marketing online è infatti uno dei pochi in crescita costante e l’attuale normativa cookies rappresenta un ostacolo al suo sviluppo. Senza poi parlare della user experience degli internauti, costretti ogni giorno a districarsi fra una miriade di banner e pop-up sempre più fastidiosi e complicati da decifrare.
Il difficile bilanciamento fra interessi privati e di business
Il mio parere è che la profilazione, se effettuata in modo corretto e soprattutto trasparente, non debba essere demonizzata. Personalmente sono felice che Spotify impari a riconoscere i miei gusti musicali ed in base ad essi mi suggerisca nuovi artisti. Allo stesso modo, non mi dispiace se Amazon mi consiglia un prodotto sulla base dei miei precedenti acquisti o delle mie ricerche. Ovviamente, la scelta di mantenere riservata la navigazione deve sempre essere possibile, chiara e semplice.
Il difficile compito del Regolamento ePrivacy sarà dunque quello di bilanciare nel modo più equilibrato possibile gli interessi di chi fa business online con quelli degli internauti allo loro riservatezza. Su queste basi, non si può che augurare al legislatore europeo un buon lavoro!
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.
