Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Cookie wall

La tematica riguardante alcune testate giornalistiche online che nei mesi scorsi hanno iniziato a porre l’utente di fronte ad una scelta secca che subordina l’accesso ai loro contenuti digitali o al pagamento di una somma di denaro (c.d. paywall) o, in alternativa, al rilascio del consenso dell’interessato a trattamenti di profilazione attraverso cookie o altri strumenti di tracciamento [1], è ancora oggi oggetto di attività istruttoria da parte del nostro Garante Privacy [2].

In attesa, pertanto, di un suo intervento chiarificatore proviamo – senza pretesa di esaustività – a fare chiarezza su cosa sono e come devono essere utilizzati i c.d. cookie.

La materia è allo stato dell’arte particolarmente frammentata e regolata da due fonti normative: da un lato vi è la direttiva “e-Privacy” (Direttiva 2002/58/CE [3]) che esplicitamente regola il caso dei cookie, dall’altro vi è il Regolamento Europeo 2016/679 che non solo disciplina la materia dei cookie ma più in generale il trattamento dei dati personali delle persone fisiche all’interno del territorio europeo.

A questi due provvedimenti normativi, si aggiungono poi in ambito nazionale le Linee guida adottate dal Garante italiano per la protezione dei dati personali del 10 giugno 2021 nonché, in ambito sovranazionale, le Linee guida del Comitato europeo per la protezione dei dati (EDPB [4]) del 4 maggio 2020 [5] che definiscono ciò che costituisce un consenso valido per il trattamento dei dati personali nell’Unione Europea.

In primo luogo, dunque, la Direttiva “e-Privacy” dispone all’art. 5.3 che l’attivazione dei cookie è “consentita unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso”; consenso che come specificato al considerando 17 della stessa “deve essere prestato liberamente e in coscienza di causa”.

E sempre di consenso libero ed esplicito parla anche il GDPR il quale, all’art. 4 paragrafo 11, definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale lo stesso, manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Anche le Linee guida dell’European Data Protection Board si conformano al GDPR in quanto sottolineano la necessità che il consenso ai cookie sia:

  • specifico: fornito sulla base di informazioni dettagliate contenute nelle informative e pertanto informato;
  • fornito sempre prima dell’attivazione dei cookie
  • non ambiguo: nel senso che deve rappresentare una scelta effettiva da parte dell’utente
  • libero e quindi fornito in assenza di condizionamenti o condizioni negative in caso di mancato consenso.

Pertanto, alla luce di tale impianto normativo e ai sensi del Considerando 32 del GDPR non si configura come consenso “il silenzio, l’inattività o la preselezione di caselle”.

Queste previsioni normative impongono quindi agli operatori di Internet di richiedere ed ottenere il consenso dell’utente all’utilizzo dei cookies prima di poterli attivare.

Ma cosa sono i cookie?

I cookie sono piccoli file di testo che, trasmessi sui dispositivi di navigazione degli utenti, permettono a chi li ha realizzati e installati (ossia il gestore del sito o terze parti) di memorizzare una serie di dati sulle preferenze e sui comportamenti degli utenti online[6]. Il loro scopo principale è quindi quello di memorizzare piccole quantità di informazioni personali sulla navigazione degli utenti con il fine di offrire esperienze personalizzate. A seconda poi del lasso di tempo in cui i cookies rimangono attivi sul dispositivo dell’utente si possono distinguere:

  • i cookie di sessione che durano finché non viene chiuso il browser;
  • e i cookie permanenti che diversamente continuano ad operare anche dopo la chiusura del browser.

 

I cookie, inoltre, possono essere distinti anche in base al soggetto che li installa sul dispositivo dell’utente: si parla infatti di cookie di prima parte che sono creati e impostati dai proprietari del dominio del sito web che l’utente sta visitando e cookie di terze parti che invece sono creati da domini differenti da quello in cui l’utente sta navigando.

Infine, in base alle finalità perseguite è possibile distinguere i cookie in tre macrocategorie:

  1. cookie tecnici: normalmente installati direttamente dal titolare del sito web servono a effettuare la navigazione e a fornire un servizio richiesto dall’utente (esempio classico sono le attività di home banking, per le quali i cookie tecnici consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione);
  2. cookie analitici: sono quelli invece destinati a fornire al gestore del sito dati meramente statistici come, ad esempio, il numero degli utenti che hanno visitato il sito per ciascuna fascia oraria determinata;
  3. cookie di profilazione: sono utilizzati per ricondurre a soggetti determinati, identificati e/o identificabili, specifiche azioni o schemi comportamentali ricorrenti di modo che sia possibile al titolare modulare la fornitura del servizio offerto in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati in linea con le preferenze manifestate dall’utente nell’ambito della navigazione.

Se per le prime tipologie di cookie, proprio in virtù delle funzioni loro assolte e nei limiti delle condizioni richiamate, il loro impiego è esente dall’obbligo di acquisizione del consenso dell’interessato e dunque non è necessario per essi realizzare specifici banner, i cookie di profilazione e gli altri strumenti di tracciamento possono essere utilizzati esclusivamente previa acquisizione del consenso informato del contraente o utente. Tale consenso, pertanto, dovrà essere acquisito tramite presentazione di un banner che sia in grado di accogliere l’eventuale azione positiva dell’utente nella quale deve sostanziarsi la manifestazione del consenso dell’interessato[7].

Con specifico riferimento quindi ai c.d. cookie wall, dove con tale espressione si fa riferimento ad un meccanismo vincolante ( take it or leave it) che subordina l’accesso e la visualizzazione del contenuto di un sito web solo dopo aver dato il consenso all’uso dei cookie di profilazione o altre tecnologie di tracciamento, il Garante italiano si è espresso sottolineandone il suo illecito utilizzo in quanto l’eventuale consenso così ottenuto non è conforme alle caratteristiche imposte dal Regolamento ( e segnatamente al suo art. 4, paragrafo 11). L’autorità, tuttavia, ha altresì precisato che la liceità o meno di tale tipo di meccanismo dovrà essere valutata caso per caso verificando se il titolare del sito offra o meno all’interessato la possibilità di accedere ad un servizio o altro contenuto equivalente senza prestare il proprio consenso all’installazione e all’uso di cookie; in difetto il cookie wall non può essere reputato conforme alla disciplina vigente.

In conclusione, è necessario attendere la chiusura dell’istruttoria del Garante per capire se tale meccanismo adottato da alcuni editoriali online sia conforme o meno all’impianto normativo sulla protezione dei dati personali sia in ambito nazionale che europeo.

[1] Come, ad esempio, il “fingerprinting” (letteralmente impronta digitale) che si configura come una tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di alcune informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.  Poiché si tratta di uno strumento “passivo” di tracciamento la sua caratteristica non permette all’utente né di disattivarlo autonomamente né di avero libero accesso al profilo creato tramite le informazioni raccolte.

[2] Si veda al tal proposito la comunicazione del Garante consultabile al seguente link: www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9822601

[3] Modificata in parte della Direttiva 2009/136/CE del 25 novembre 2009 del Parlamento e del Consiglio Europeo.

[4] Organismo indipendente che promuove la cooperazione fra le Autorità nazionali preposte alla protezione dei dati.

[5]Consultabili qui: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_it.pdf

[6] Si vedano al tal proposito le Linee guida sull’utilizzo dei cookie e di altri strumenti di tracciamento consultabili al seguente link https://www.garanteprivacy.it/faq/cookie

[7] In altre parole, come specificato dal Garante, nel caso in cui l’utente scegliesse liberamente di non voler prestare il proprio consenso all’accettazione dei cookie/altri strumenti di tracciamento dovrebbe limitarsi semplicemente a chiudere il banner mediante la selezione del relativo comando utilizzato a tale scopo.