La gestione dei cookie installati sui siti web rappresenta un trattamento dei dati personali, infatti, il loro utilizzo determina la raccolta di numerosi dati personali ( indirzzo IP, data. orario, azioni eseguite, device utilizzato ecc.) riferiti ai visitatori del sito web.
Come per qualsiasi altro tipo di operazione sui dati personali, anche in questo caso, il trattamento deve essere organizzato rispettando i principi generali enunciati dal GDPR. Quindi, anche ai cookie si applica il principio di accontability, privay by design e privacy by default.
Il titolare di un sito web, nella propria autonomia imprenditoriale e in ossequio al principio di accountability può adottare le modalità ritenute più idonee per assicurare che la gestione dei cookie ed il conseguente trattamento dei dati avvenga nel rispetto di quanto stabilito dal GDPR e dalla direttiva e-Privacy.
Il Garante della privacy nelle nuove linee guida suggerisce l’adozione di uno specifico modello organizzativo che è da considerare compliance alla predetta normativa.
Gli adempimenti e gli obblighi da rispettare cambiano in base al tipo di cookie installato ( tecnici o di profilazione) ed alla finalità perseguita ( erogazione servizio o pubblicità).
Infatti, in caso di utilizzo di cookie e degli altri identificatori tecnici, in virtù della funzione assolta, il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa mentre sarà esonerato dall’obbligo di acquisizione del consenso dell’interessato.
Viceversa, nel caso si decida di installare ed utilizzare cookie di profilazione, o di tracciamento si dovranno seguire le seguenti 5 regole generali.
1 – Blocco dei cookie.
I cookie installati nel sito web devono essere impostati di default in modo da non attivare la profilazione e/o il tracciamento fin quando l’utente non abbia espresso il proprio consenso. Quindi, al primo accesso a un sito web, nessun cookie, o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente, o attuata altra tecnica attiva, o passiva di tracciamento.
2 – Banner informativo
Al primo accesso sul sito Web, l’utente dovrà visualizzare un banner le cui dimensioni siano, al tempo stesso, sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma anche tali da evitare il rischio che l’utente possa far ricorso a comandi e, dunque, compiere scelte indesiderate, o inconsapevoli.
Il banner dovrà contenere:
- a) informativa privacy breve;
- b) il link all’informativa privacy estesa;
- c) la possibilità di esprimere il consenso, di rifiutare, o di chiudere semplicemente il banner selezionando il comando contraddistinto da una X posizionata di regola in alto a destra e all’interno del banner medesimo.
In occasione di successivi accessi il banner informativo non dovrà essere riproposto all’utente che abbia già espresso il consenso, o il rifiuto ai cookie, salvo che non sia trascorso un periodo di tempo non inferiore a 6 mesi.
3 – Consenso privacy
I cookie di profilazione e di tracciamento possono essere utilizzati solo se il visitatore del sito esprime il proprio consenso.
Il consenso è valido se:
– è conseguenza di un intervento attivo e consapevole dell’utente,
– opportunamente riscontrabile e dimostrabile,
– sia libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento.
Pertanto, nel caso in cui all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche anche sotto il profilo della consapevolezza per lo stesso utente, allora in nessun modo sarà possibile attribuire a tale azione la validità del consenso, ai sensi della normativa vigente ( ad esempio c.d. “scrolling” non genera un consenso valido).
Gli utenti, naturalmente, dovranno essere posti in condizione di modificare le scelte compiute – sia in termini negativi, che in termini positivi e, dunque, prestando un consenso negato, o revocando un consenso prestato – in ogni momento e ciò in maniera semplice, immediata e intuitiva attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie”, o analoga.
4 – Memorizzazione del consenso
Le azioni e le scelte, anche di dettaglio, effettuate dall’interessato (mantenimento delle impostazioni di default, espressione, anche granulare, del consenso, ovvero revoca del consenso precedentemente espresso mediante ripristino delle impostazioni di default) devono essere memorizzate del titolare del sito web.
Al riguardo, il Garante nelle proprie linee guida, nel riconoscere l’autonomia imprenditoriale e nell’accountability del titolare lascia ampia liberta operativa, in ogni caso suggerisce l’utilizzo di appositi cookie tecnici (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE), o anche ulteriori modalità che la tecnologia dovesse rendere disponibili al fine di tenere aggiornata la documentazione delle scelte compiute dall’interessato.
5 – Durata dei cookie
L’utilizzo dei cookie determina un trattamento dei dati personali e come tale deve avere una durata ben definita ( Art. 5, comma 1 lettera e) – Considerando 39 GDPR) allo scadere della quale i dati personali dovranno essere cancellati, o anonimizzati.
Dal punto di vista temporale i cookie possono essere distinti in :
- di sessione: che scadono alla fine di una sessione del browser (normalmente quando un utente esce dal browser) e sono utilizzati per finalità tecniche ;
- persistenti: possono essere conservati più a lungo anche dopo la sessione del browser. I cookie persistenti vengono memorizzati sul dispositivo dell’utente e possono consentire di ricordare le preferenze o le azioni dell’utente su un sito (o su diversi siti web) e vengono utilizzati per diverse finalità.
In generale, è difficile indicare una durata prestabilita in quanto è necessario valutare caso per caso la finalità dei cookie, i tipi di dati che vengono raccolti e la finalità del trattamento.
La configurazione della durata dei cookie non può essere lasciata al caso, deve necessariamente passare per l’analisi della finalità che si vuol raggiungere con i cookie installati e dal rispetto del principio di proporzionalità e di necessità che impongono di raccogliere solo i dati personali realmente necessari al raggiungimento della finalità stabilità ed indicata nell’informativa privacy.
Conclusioni
La gestione e l’organizzazione dei dati personali tramite i siti web è strettamente legata e influenzata all’evoluzione tecnologica delle risorse informatiche, sia hardware che software. Il trattamento dei dati on line impone ai titolari dei siti web di rivedere costantemente l’analisi e la valutazione tecnico giuridica delle risorse informatiche utilizzate.
La gestione dei cookie si colloca in questo scenario, quindi, per attuare quanto specificato nella linee guida del Garante non basta, acquistare software, o servizi automatizzati, ma è necessario attivarsi in modo professionale e consapevole verificando in concreto se le proprie risorse informatiche, o quelle di terze parti siano adeguate alle proprie necessità e soprattutto siano conformi alla normativa vigente.