Nelle recenti linee guida sui cookie, il Garante della privacy ha precisato, in particolare, le modalità di acquisizione del consenso dell’interessato per l’utilizzo dei cookie di profilazione, o di tracciamento dei dati personali generati durante la visita su un sito web.
Quando parliamo di consenso privacy a cosa ci riferiamo?
Il consenso dell’interessato è ogni sua manifestazione di volontà, liberamente espressa, specifica, informata e inequivocabile, con la quale, mediante una dichiarazione, o un’azione affermativa inequivocabile, l’interessato esprime il consenso al trattamento dei suoi dati personali.
Nella gestione dei cookie, il consenso dell’interessato non è altro che la sua manifestazione di volontà con la quale acconsente a che i cookie vengano inseriti, o utilizzati sul proprio dispositivo dal titolare del sito web visitato.
La manifestazione del consenso privacy dell’utente rappresenta la condizione giuridica preliminare per poter utilizzare i cookie di profilazione e/o di tracciamento e per raccogliere così i dati personali.
Questa tipologia di cookie, quindi, deve essere configurata in modo da attivarsi solo dopo che venga espresso un consenso favorevole, fino a quel momento dovranno essere bloccati ( Privacy by default).
Quando il consenso privacy è valido?
Il consenso espresso dall’interessato, per essere ritenuto valido, deve presentare delle caratteristiche ben precise. In particolare deve:
1 – essere espresso “mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”( considerando 32 GDPR).
Pertanto, non può considerarsi un consenso valido: il silenzio, l’inattività, o la preselezione di caselle. Ad esempio, il semplice scrolling non è di per sé idoneo, ad esprimere compiutamente la manifestazione di volontà all’installazione sul proprio dispositivo di cookie diversi da quelli tecnici e, dunque, non può essere considerato un consenso valido (parere n. 5/2020, del 4 maggio 2020).
2 – essere espresso in modo informato, cioè l’interessato deve ricevere dal titolare del sito web tutte le informazioni previste dall’articolo 13 del GDPR.
Come fornire queste informazioni?
Le linee guida specificano che al primo accesso sul sito web l’utente deve visualizzare un banner le cui dimensioni siano, al tempo stesso, sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma anche tali da evitare il rischio che l’utente possa far ricorso a comandi e, dunque, compiere scelte indesiderate, o inconsapevoli.
All’interno del banner, inoltre, dovrà essere presente un informativa minima relativa al fatto che il sito utilizza i cookie o altri strumenti tecnici, nonché il link alla privacy policy, ovvero ad una informativa estesa dove riportare in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai predetti cookie, o altri strumenti tecnici.
Il consenso espresso deve essere conservato?
Il consenso privacy all’utilizzo dei cookie deve essere memorizzato e documentato.
Le azioni e le scelte, anche di dettaglio, effettuate dall’interessato cioè:
- mantenimento delle impostazioni di default;
- espressione consenso (anche granulare);
- revoca del consenso precedentemente espresso mediante ripristino delle impostazioni di default;
devono essere memorizzate dal titolare del sito web.
Al riguardo il Garante, nel riconoscere l’autonomia imprenditoriale e nell’accountability del titolare, lascia ampia liberta operativa su come documentare il consenso. In ogni caso suggerisce l’utilizzo di appositi cookie tecnici (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE) o anche ulteriori modalità che la tecnologia dovesse rendere disponibili al fine di tenere aggiornata la documentazione delle scelte compiute dall’interessato.
Conclusione
Gestire i cookie in modo conforme al GDPR comporta, innanzitutto, un’attenta analisi sulle risorse informatiche utilizzate all’interno dei siti web e sul loro funzionamento.
Nel caso si decida di utilizzare i cookie di profilazione e/o di tracciamento, bisogna essere consapevole che permettono di raccogliere dati personali degli utenti del sito web e che bisogna trattarli in modo organizzato e sicuro in modo da salvaguardare i diritti degli interessati.
L’installazione e l’utilizzo dei cookie come qualsiasi altro trattamento dei dati personali non potrà essere gestito in modo casuale e standard, quindi, non basta affidarsi ad un fornitore esterno che gestisce la scansione dei cookie utilizzati, il banner e l’informativa.
E’ sicuramente consigliabile rivedere, sulla base di un’analisi tecnico – giuridica, le scelte dei cookie da utilizzare e configurarli tenendo conto, in particolare, della finalità e della durata del trattamento che si intende avviare.