Cookie: i nuovi chiarimenti del Garante Privacy

Il Garante Privacy interviene con ulteriori chiarimenti (garanteprivacy.it/documento-cookie), volti a dissipare i dubbi emersi, sopratutto da parte dei piccoli gestori, in ordine alla applicazione del noto provvedimento volto alla semplificazione degli adempimenti privacy connessi all’uso di cookie.

A onor del vero va detto che, in assenza delle procedure di “semplificazione” volte a rendere l’informativa più o meno compatibile con la navigazione (le critiche degli operatori del settore sono aspre e molteplici) il tenore dell’articolo 122 del Codice Privacy, letto nel contesto normativo di riferimento, imporrebbe già ex sé, prima di rendere “operativi” i cookie profilanti, la visualizzazione dell’informativa estesa volta ad acquisire un valido consenso. Con intralcio ancora più evidente della normale navigazione.

Si conferma, e questo pare il dato interpretativo principale, il ruolo dell’intermediario tecnico nella acquisizione del consenso per i cookie di terze parti, dal che si desume che le polemiche montate all’indomani dell’entrata in vigore del provvedimento, sono destinate a non placarsi.

Si tratta, in effetti, di una soluzione del tutto peculiare, inattesa e sorprendente rispetto alla dialettica tra titolare e interessato, ma non nuova, dato che il provvedimento di semplificazione risale all’anno scorso, e tale interpretazione trovava piano piano spazio incuneandosi tra il dato letterale e il lessico inusuale del provvedimento stesso.

I chiarimenti partono ribadendo un dato che lasciava poco all’interpretazione, ossia che per i cookie tecnici non occorre il banner, e l’informativa può essere data nelle forme più congeniali, anche nella privacy policy.

Cookie di analisi di terze parti

Di maggior interesse, invece, appare il punto due, dove si parla dei cookie di analisi.

Infatti perché vengano assimilati ai cookie tecnici e venga esclusa la necessità di notificazione, occorre non solo l’anonimizzazione dell’IP, ma anche che l’impiego di tali cookie sia subordinato a “vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano”. Chi, pertanto, abbia giudicato sufficiente la mera anonimizzazione dell’IP farà bene ad assumere le corrette iniziative contrattuali, o a provvedere alla notifica, che nel caso, si ricorda, si effettua una tantum (dietro versamento di Euro 150,00 di diritti), e resta valida sino a che non venga cessato o modificato il trattamento che ne è oggetto. Omessa notifica e notifica tardiva sono assoggettate alla medesima sanzione, pertanto è bene ricordare che la notifica deve sempre precedere il trattamento e mai seguirlo.

Piattaforme

Ugualmente destinato a non passare inosservato è il terzo punto, dedicato agli utilizzatori di piattaforme. Il Garante ricorda come l’ampio termine concesso per l’adeguamento fosse stato congruamente ponderato proprio in ragione della complessità di tali situazioni. E conclude invitando i gestori delle piattaforme a fornire idonei strumenti agli utilizzatori: “Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.”

Ritengo che si tragga un’importante informazione da questo punto: il termine è scaduto.

Pertanto, preso atto della informale dichiarazione dell’Autorità in ordine all’opportunità di differire ancora per un po’ le sanzioni, tali accorgimenti andrebbero adottati in tempi brevi. Ma il riparto delle responsabilità non è chiarissimo. Chi è il Titolare dei dati? E l’intermediario tecnico? L’utilizzatore o la piattaforma? La logica vorrebbe che il primo destinatario del precetto (e della correlata sanzione) fosse la piattaforma, ricadendo la responsabilità sull’utilizzatore solo ove questi, in caso venisse dotato di idonei strumenti, non ne facesse uso. Tuttavia, il punto non appare limpido. Cosa avverrà in caso di perdurante inerzia della piattaforma? Saranno contenti gli utilizzatori di avere ampio margine di azione o preferirebbero che fosse la piattaforma a farsi carico degli oneri, dato che al momento è essa che controlla gli strumenti? Non sarebbe meglio invece lasciare come è “il margine di possibile azione” degli utilizzatori e lasciare alla piattaforma gli oneri connessi ai trattamenti da cui è spesso la sola a trarre guadagno?

Probabilmente lasciare “ampio margine agli utilizzatori” è la soluzione che, da un punto di vista pragmatico, può garantire una riduzione consistente dei cookie di profilazione, dato che, se non vi è un interesse diretto, gli utilizzatori tenderanno a limitare al minimo i trattamenti. Tuttavia, a parere di chi scrive, questo è probabilmente il passaggio destinato ad infiammare di più gli animi.

Banner e prima parte

Il Garante precisa il nodo centrale del provvedimento: l’acquisizione del consenso per i cookie di terze parti.

Il Garante precisa che il trattamento ha, in questo caso, natura “distribuita“, che il sito prima parte è comunque coinvolto nel processo, pertanto il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

O, più verosimilmente, per come è attualmente impostato il web, quali escludere: con evidente ricaduta nel regime più favorevole di opt out proprio per i soggetti più “forti”.

Da un punto di vista sistematico, questa prospettazione genera non pochi problemi: non meno ne verranno evidenziati sotto il profilo pratico. Non è una novità dell’ultima ora, tuttavia. Chissà se le difficoltà che verranno evidenziate nella fase di implementazione non portino a qualche ulteriore aggiustamento.

Al riguardo, il Garante coglie l’occasione per ribadire che le richieste di consenso presenti all’interno dell’informativa estesa del sito prima parte ovvero nei siti predisposti dalle terze parti, non dovranno necessariamente fare riferimento ai singoli cookie installati, ma potranno riguardare categorie più ampie o specifici produttori o mediatori con cui il sito prima parte ha stabilito rapporti commerciali. Vale a dire che nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).

Scroll

In ordine alle modalità di acquisizione del consenso, segnatamente circa lo scroll (particolarmente criticato per la navigazione da mobile) il Garante precisa che è considerato in linea con i requisiti di legge qualora sia chiaramente indicato nell’informativa e sia in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente.

Tale pratica, tuttavia, presta il fianco ad abusi: infatti non è infrequente trovare già siti che subordinano la navigazione e l’accesso al sito alla prestazione del consenso, invitando l’utente a lasciare il sito ove non voglia prestare il consenso al trattamento attraverso la prosecuzione della navigazione o lo scroll. Se la prestazione del consenso viene collegata alla pressione di un tasto virtuale, sarà possibile per l’utente proseguire la navigazione senza chiudere il banner. Se invece si connette la prestazione del consenso a normali operazioni di  navigazione, come lo scorrimento della pagina, tale opzione non sarà data. Se è vero, pertanto, che come è previsto dalla normativa e come  ha più volte precisato anche il Garante Privacy, non è possibile subordinare la fornitura di un servizio all’ottenimento del consenso per l’utilizzo dei dati per finalità commerciali, occorre prestare particolare attenzione all’informativa estesa, consentendo all’utente l’esercizio di un effettivo potere di scelta, che non deve essere, tuttavia, limitato all’opt out. Tale impostazione, infatti, configge palesemente con la ratio della normativa. E forse, per evitare di vanificare l’impianto normativo e ridurlo a mero adempimento burocratico, tale punto avrebbe meritato maggiore chiarezza.

Notificazione per più siti e ambito di applicazione

Il Garante ammette che l’editore possa con un’unica notificazione coprire i diversi siti che gestisce, purché indichi puntualmente tutti i domini.

In ordine all’ambito di applicazione il Garante chiarisce che riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (cfr. art. 5, comma 2, del Codice privacy). Si tratta di un’interpretazione senza dubbio aderente all’orientamento tradizionalmente seguito dal Gruppo di Lavoro ex art 29 (si veda in particolare il Documento di lavoro sulla determinazione dell’applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento dei dati personali su Internet da parte di siti Web non stabiliti nell’UE del 30 maggio 2002 – WP 56)

Criticità

Indubbiamente l’intervento del Garante chiarisce dubbi interpretativi espressi da più parti e su utilità o servizi molto diffusi, come ad esempio i pulsanti di condivisione, che se sono meri link non necessitano di alcun adempimento,  o in ordine ai cookie di analisi di terze parti, per i quali l’obbligo di notifica a molti appariva superfluo.

Tuttavia l’impostazione che risulta dalla lettura incrociata dei provvedimenti non appare del tutto coerente con l’impostazione normativa, avendo la necessità di semplificazione portato a derogare norme cogenti, e le critiche si attesteranno, probabilmente, sulla abnormità del provvedimento che ammette la prestazione di un unico consenso per più finalità (si pensi al caso di presenza sul sito di cookie sia pubblicitari che di analisi di terze parti senza anonimizzazione dell’IP) anche riconducibili a soggetti diversi (si pensi al caso in cui l’editore persegua finalità di analisi del traffico e il fornitore terza parte di profilazione) e addirittura modalità di consenso implicito del tutto innovative nel nostro ordinamento (si pensi allo scroll). Nonché sulla efficacia dell’informativa che deve precedere il consenso, che nel caso di link a terze parti è a volte oscura anche per l’editore obbligato ad acquisire il link stesso.

Il reale problema, però, a parere di chi scrive, in tutto l’impianto normativo, e che travalica la buona volontà del Garante, è che la disciplina riferita ai cookie mal si adatta, per la natura “distribuita” dei servizi (per usare il termine coniato dal Garante), ma anche per i ruoli dinamici dei diversi attori, a essere pianamente inquadrata nei ruoli privacy tradizionali (e tipicamente individuati dal legislatore): titolare, al quale si riconnettono tutti gli obblighi, è infatti “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Finalità, modalità, e strumenti, invece, in questo tipo di trattamenti, si scompongono tra i diversi attori e spesso l’unica cosa che tiene unito il gestore del sito web alla definizione normativa di Titolare è l’individuazione di una finalità riconducibile al trattamento, o, quanto meno, a parte di esso. Modalità e strumenti e trattamenti ulteriori e finalità a volte imperscrutabili, sono appannaggio esclusivo di soggetti ben più forti sui quali il “titolare” non esercita alcun controllo. Il WP ART 29 ha dichiarato che, in caso di frammentazione, è la finalità a prevalere sulle modalità e gli strumenti, e a guidare l’individuazione del titolare. Tuttavia è evidente come, rapportata a questo tipo di trattamenti, la normativa non riesca che a tratteggiare una titolarità monca, se non addirittura una sorta di mosca cocchiere 2.0. Il risultato è che la normativa (si ricorda: di matrice europea) rischia di attirare su di sé l’ira dei destinatari e degli interessati stessi, che vedono solo la sproporzione tra il blogger “prima parte” e l’OTT che profila attraverso i cookie, finendo con il percepire la privacy come l’ennesimo intralcio burocratico alle magnifiche sorti e progressive del web, e risolvendosi a preferire sempre e comunque la profilazione, anche la più invasiva.

E la norma finisce col sortire un effetto contrario a quello sperato.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017