Con provvedimento del 10.6.2021, doc. web 9677876, ed annessa scheda di sintesi (doc.ti 1 e 2), il Garante per la protezione dei dati personali, a distanza di circa sei anni dalle precedenti linee-guida del giorno 8.5.2014, doc. web 3118884, è intervenuto nuovamente sulla tematica degli strumenti di tracciamento.
La materia trova compiuta disciplina nella direttiva “ePrivacy” (dir. CE/2002/58), recepita dall’ordinamento italiano agli artt. 121 e ss. del d.lgs. 196/2003. Sebbene la predetta direttiva sia attualmente in fase di revisione, il Garante ha sentito l’esigenza di intervenire per assicurare che la disciplina dei sistemi di tracciamento sia conforme al nuovo quadro normativo dettato dal reg. UE 679/2016 in tema di data protection.
Di seguito si riportano i principali passaggi del Garante:
(i) le linee-guida del 10.6.2021 si applicano a tutti gli strumenti di tracciamento, siano essi attivi (ad es.: cookies) o passivi (ad es.: fingerprinting);
(ii) in presenza di sistemi di tracciamento meramente “tecnici” (da intendersi, ex art. 122 d.lgs. 196/2003, come quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”) occorre somministrare adeguate informazioni all’utente, se del caso anche inserendo un apposito paragrafo all’interno della più generale informativa privacy;
(iii) i cookies cd. “analitici”, ivi compresi quelli di terze parti come i “Google Analytics”, possono essere trattati come “tecnici”, ma vanno adottate impostazioni finalizzate a ridurre al minimo la possibilità di identificazione degli utenti;
(iv) l’uso di sistemi di tracciamento diversi da quelli “tecnici” è legittimo allorché l’utente abbia manifestato un preventivo e valido consenso (salva eventuale deroga prevista dalla direttiva ePrivacy e/o dalle relative disposizioni attuative, non essendo possibile ricorrere al “legittimo interesse”). A tal fine il Garante ha precisato che: (a) il consenso acquisito mediante scorrimento della pagina (cd. “scrolling”) è invalido, salvo che in presenza di un processo che permetta all’utente di capire chiaramente le conseguenze dello scrolling (n.b.: informare l’utente circa gli effetti dello scorrimento è cosa, di per sé, insufficiente, cosicché, oltre ad informare, sarà necessario adottare ulteriori misure, come ad esempio creare discontinuità visive); (b) il cd. “cookie wall” (inteso come il meccanismo vincolante attraverso il quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di strumenti di tracciamento, pena l’impossibilità di accedere al sito) non è un sistema idoneo alla raccolta di un valido consenso, salvo il caso in cui il titolare del sito offra all’utente la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’uso di strumenti di tracciamento; (c) la ripetuta richiesta di consensi è illegittima, cosicché è possibile chiedere nuovamente all’utente di esprimersi in merito all’uso di strumenti di tracciamento solo al mutare delle condizioni (ad es.: l’utente ha cancellato i cookies dal proprio browser, il titolare del sito ha introdotto nuovi sistemi di tracciamento) e/o dopo sei mesi dalla precedente presentazione all’utente del banner per la raccolta dei consensi; e (d) non è legittimo il consenso raccolto per effetto di particolari scelte di design del titolare del sito (il quale, ad esempio, potrebbe usare caratteri di colori e/o dimensioni diversi per indirizzare le azioni dell’utente);
(v) è suggerito l’uso di un meccanismo consistente nel predisporre, all’interno della landing page di accesso al sito (ovviamente sempreché il sito faccia uso di cookies e/o altri sistemi di tracciamento), un banner di adeguate dimensioni, che sia possibile chiudere facilmente senza per ciò solo autorizzare l’uso/installazione di sistemi di tracciamento. Tale banner dovrà riportare: (a) l’avvertenza che “la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici”; (b) una informativa minima relativa al fatto che il sito utilizza strumenti tecnici e potrà – esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve – utilizzare anche altri strumenti di tracciamento; (c) il link alla privacy policy o, comunque, ad una informativa “estesa”. In aggiunta a quanto sopra, in presenza di sistemi di tracciamento diversi da quelli “tecnici”, il banner dovrà contenere: (d) un comando attraverso il quale sia possibile prestare il consenso all’uso degli strumenti di tracciamento diversi da quelli tecnici; ed (e) il link ad un’area del sito in cui sia possibile personalizzare le scelte in ordine ai dispositivi di tracciamento. Inoltre, nel footer di ogni pagina del sito andrà predisposto un apposito link ad un’area che permetta all’utente di modificare facilmente ed in ogni momento le scelte relative ai sistemi di tracciamento. Le scelte dell’utente andranno adeguatamente registrate e, in caso di modifiche successive (fino alla revoca del consenso), ogni modifica dovrà sovrascrivere e superare le precedenti scelte. È suggerita, infine, la predisposizione di un segno grafico o altro accorgimento che ricordi all’utente le impostazioni correnti in materia di sistemi di tracciamento.
Sarà necessario adeguarsi alle linee-guida del Garante entro sei mesi decorrenti dal giorno 9.7.2021 (“con l’avvertenza che i consensi già raccolti, purché conformi alle caratteristiche richieste dal Regolamento, potranno essere ritenuti validi a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque debitamente documentabili, anche mediante evidenze informatiche”).
avv. Andrea D’Amico