Cookie e GDPR

Con il nuovo Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR, assume particolare rilievo la tematica dei cookies (e\o tecnologie assimilabili, come i web beacon o clear gift) per la tracciatura e il monitoraggio degli utenti on line.

L’utilizzo di queste tecnologie su web è già stata in precedenza oggetto della normativa detta ePrivacy: tuttavia, l’entrata in vigore del GDPR richiede ai gestori dei siti web un’attenzione particolare nel trovare nuove soluzioni tecniche, in particolare sul tema del consenso dell’utente, per rendere il proprio sito GDPR compliant.

Vediamo allora perchè e come adeguare la gestione dei cookie sul proprio sito web.

 

COOKIES

 
I cookies sono dei file di testo inviati sul computer dell’utente che in quel momento sta visitando il sito web: in origine, sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione.

Ben presto, tuttavia, i cookie iniziarono ad essere utilizzati anche per identificare, riconoscere e classificare il visitatore del sito: le aziende ne comprendono il potenziale e insieme ai cookie tecnici sviluppano sia cookie statistici per analizzare le visite al sito, sia cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore.

La tecniche di profilazione dei visitatori su web diventano così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziano ad essere distribuiti anche da siti terzi, e nascono società come DoubleClick (acquisita a marzo 2008 da Google) che inizia a tracciare gli utenti durante tutta la loro navigazione online, per poi mostragli annunci personalizzati sui vari siti.

 

Profilazione del navigatore web

    L’uso dei cookie ai fini di “profilazione” permette di tracciare il percorso di navigazione di una persona fisica anche su siti differenti, acquisendone a sua insaputa informazioni comportamentali, tracciandone il profilo e usando queste informazioni a fini di marketing.

 

 

COOKIE, COOKIE LAW e GDPR

 

Con la crescita delle tecnologie web, il tema della profilazione tramite cookie diventa un aspetto importante per la privacy delle persone fisiche. La comunità europea emana quindi diverse direttive (In Italia conosciute come “COOKIE LAW”) che mirano a fermare l’uso selvaggio dei cookie e impongono ai siti web di informare adeguatamente il visitatore, di modo che questi possa darne un consenso consapevole all’uso.

 

Cookie Law e GDPR

    Con l’entrata in vigore del GDPR è proprio il consenso a subire la modifica più significativa, in quanto dal 25 maggio 2018 dovrà essere espresso mediante un atto positivo inequivocabile e per singola finalità di trattamento. In qualsiasi momento, inoltre, l’utente dovrà poter revocare il consenso già fornito.

 
Benchè il GDPR non modifichi espressamente alcuna parte della Cookie Law, questo cambio di visione ha un impatto importante anche sulla gestione dei cookie da parte del sito web.

Di seguito vediamo esattamente perché, ripercorrendo prima quanto previsto dalla Cookie Law, per arrivare poi ad analizzare i punti del GDPR che impattano sulla gestione dei cookie.

 

COOKIE LAW: la normativa cookies

 

L’attenzione al tema dei cookie da parte del legislatore europeo inizia nel 2002. I principali riferimenti normativi comunitari che regolamentano la gestione dei cookie (e che precedono il GDPR) sono:
 

  • Direttiva 2002/58/CE (ePrivacy) del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), pubblicata in Gazzetta Ufficiale n. L 201 del 31/07/2002.

    Stabiliva l’obbligo di presentare un informativa sulla presenza dei cookie e sul fatto che potevano essere disabilitati tramite browser. Il consenso era implicito.

 

    Art. 122: 1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
    2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente. 2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

 

  • Direttiva 2009/136/CE recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.

    Impone al titolare del sito web di informare l’utente del fatto che fa uso dei cookie sul sito, e in alcuni casi a ottenere il consenso preventivo all’uso degli stessi (Art. 3). Sottolinea che “Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili” (Cons. 66) e modifica la 2002/58/CE introducendo l’obbligo che l’utente sia informato “sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento” (Art. 5.3).

 

Per saperne di più sulla Cookie Law, puoi leggere il nostro precedente articolo Cookie Law: cosa fare e come adeguare il tuo sito web.

 

Come gestire i cookie: le indicazioni del Garante

 

La normativa europea del 2009 non è entrata subito in vigore, in quanto i Garanti nazionali ritardarono nel predisporre la regolamentazione necessaria. Il Garante Italiano emette un provvedimento con le specifiche di applicazione in data 8 maggio 2014:
 

  • Provvedimento 229/2014 del Garante Italiano per l’Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014).

    Il Garante formula le regole e le modalità per adempiere agli obblighi (introdotti dalle direttive comunitarie) di informativa e acquisizione del consenso all’utilizzo di cookie. Concede un anno di tempo alle aziende per adeguare i propri siti web: il provvedimento entra in vigore il 3 giugno del 2015 e dopo 2 giorni vengono pubblicati i chiarimenti del Garante su alcune modalità. La normativa si applica a tutti i siti che installano cookie sui terminali degli utenti situati sul territorio dello Stato (Art. 5, comma 2, del Codice privacy).


Insieme ai chiarimenti, il Garante diffonde un’utilissima infografica:

Gestione dei Cookie
Gestione dei Cookie: infografica del Garante

 
Potete vedere l’infografica originale sul sito dei Garante, alla pagina Cookie e privacy: istruzioni per l´uso.

Infografica sui Cookie

    Questa infografica rappresenta un documento importantissimo che chiarisce molti aspetti e aiuta le aziende a comprendere come strutturare correttamente la gestione dei cookie sul proprio sito web (Si segnala che, con l’entrata in vigore del GDPR, l’obbligo di notifica non è più richiesto)

 
Infatti, per quanto riguarda l’obbligo di Notifica, come ben illustrato in questa pagina del sito del Garante “In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste né la notifica preventiva dei trattamenti all’autorità di controllo, né una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento)”.

 

Consiglio Europeo per la protezione dei Dati (Ex Gruppo Articolo 29)

 

Con l’entrata in vigore del GDPR, è stato costituito il Consiglio europeo per la protezione dei dati (EDPB) che dal 25 maggio 2018 ha sostituito il Gruppo dell’articolo 29 per la tutela dei dati (in inglese Article 29 Working Party o WP29) che era il gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati.

E’ importante citare questo organismo consultivo indipendente, istituitosi inizialmente dall’art. 29 della Direttiva 95/46/CE (ora abrogata e sostituita dal GDPR), composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione.

Prevedeva vari compiti da affidare ai membri dei Garanti nazionali, che quindi si riunivano per garantire regole comuni in tema di privacy e fornivano pareri esperti su diversi temi, anche in tema di cookie. Per questo motivo, anche il Garante della Privacy Italiano ha pubblicato sul proprio sito i pareri del Gruppo, tra cui anche le Linee guida elaborate dal Gruppo Art. 29 in materia di trasparenza, definite in base alle previsioni del Regolamento (UE) 2016/679 (ovvero il GDPR). Riprenderemo questo tema più avanti.

 

GDPR e uso corretto dei Cookie sui siti web

 

Il Regolamento europeo sulla protezione dei dati (GDPR) nasce quindi con l’obiettivo di tutelare le persone fisiche da un utilizzo illecito dei loro dati personali: proprio l’aumento esponenziale dei servizi online ha determinato un aumento dei rischi per i diritti e per la privacy dei cittadini, e ha reso necessario un intervento legislativo europeo. In relazione alla direttiva 2002/58/CE (ePrivacy), l’Art.95 del GDPR recita:

“Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.”

Benchè quindi nel Regolamento si dichiari di non imporre obblighi supplementari a quelli già previsti nella ePrivacy, in realtà dal 25 maggio 2018, con l’entrata in vigore del GDPR, vengono modificate le condizioni di validità per l’acquisizione del consenso, ora richiesto per singola tipologia di trattamento, e questo influisce quindi anche sul tema dei cookies.

 

GDPR: Riferimenti normativi ai cookie

 

Vediamo meglio gli articoli e le parti della norma che hanno un importante impatto in materia di cookie:

 

  • L’indirizzo IP è un dato personale come anche i cookie e altri “identificatori”, in quanto possono essere incrociati con altre informazioni e creare un profilo dell’utente. In altre parole: se i cookie possono identificare un individuo, sono considerati dati personali

    Il Considerando 30 cita esattamente: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”

 

  • I cookie sono considerati dati pseudonimi ovvero una tipologia di dato personale dove gli elementi identificativi sono stati sostituiti da altri elementi (come stringhe di testo e numeri). Se resi sufficientemente anonimi non sono considerati dati personali (quindi non sono soggetti alle disposizioni previste dal GDPR) purché anonimizzandoli non possano più essere incrociati con altre informazioni per identificare la persona, ovvero il dispositivo univoco utilizzato per l’accesso e la navigazione online.

    Il Considerando 26 cita esattamente: “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”

 

  • Le caselle pre-selezionate non sono conformi al GDPR in quanto ciò non è sufficiente a rappresentare una manifestazione volontaria ed esplicita equivalente ad un consenso. L’utente deve manifestare attivamente il proprio consenso con un comportamento positivo, apponendo una spunta su un campo oppure selezionando una specifica impostazione tecnica per accettare o negare i cookies.

    Il Considerando 32 cita esattamente:“Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.”

 

Scroll e consenso

    Al momento, su molti siti web lo scroll è considerata un’azione positiva paragonabile al click su un pulsante di conferma, in quanto ciò è ritenuto dal Garante Italiano una modalità di acquisizione del consenso valida (rif. Cookie Law: i chiarimenti del 2015). Fino a quando questa specifica non sarà modificata (e/o fino ad una modifica della ePrivacy), anche lo scroll di pagina può quindi essere considerato una manifestazione di consenso, a patto che ciò sia chiaramente indicato nell’informativa breve (banner) e che l’evento sia registrato in un cookie tecnico.

 

  • Ogni trattamento di un dato personale deve essere “lecito”, ovvero deve avere una validità giuridica (definita tecnicamente dalla base giuridica di trattamento) e ogni modifica, qualora sostanziale, ai termini d’uso dei dati personali di un utente deve rispettare gli stessi principi di liceità e/o essere soggetta all’approvazione dell’utente stesso.

    L’Art. 6 definisce che “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni” quali Consenso, Obbligo di Contratto, Obbligo di Legge, Interesse vitale, Interesse pubblico, Interesse Legittimo del Titolare.

 

  • L’informativa deve essere semplice e completa e deve essere “consegnata” (resa visibile) al momento della raccolta. Non va modificata con troppa frequenza, e non sono più ammesse modifiche unilaterali ai termini contrattuali (rispetto a quanto era stato accettato dall’utente in sede di iscrizione al servizio) soprattutto se estendono le finalità di trattamento dei dati personali già raccolti

    L’Art.13 descrive esattamente cosa deve essere fornito nell’informativa: concisa, trasparente, intelliggibile e facilmente accessibile, deve prevedere le finalità esatte del trattamento, per ogni dato raccolto, e la base giuridica che rende lecita la raccolta e il successivo trattamento. Deve specificare tutti i diritti dell’interessato, contenere le informazioni sull’origine dei dati (se non raccolti direttamente), l’esistenza di un processo di profilazione e la sua logica (se presente), l’esistenza di Responsabili esterni del trattamento.

 

  • Il consenso deve essere una scelta libera e deve essere fornito per ogni singola finalità di trattamento.

    Considerando 42 cita: “Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”

 

  • Il consenso dato può essere revocato in qualsiasi momento: il visitatore del sito deve poterlo revocare con la stessa semplicità con cui inizialmente ha fornito lo stesso consenso.

    L’Art. 7 / comma 3 cita: “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa
    facilità con cui è accordato.”
    Il GDPR prevede quindi che sul sito siano presenti dei meccanismi di opt-out per la revoca del consenso prestato, che siano semplici, trasparenti e di efficacia pari alle modalità di acquisizione iniziale del consenso.

 

Il consenso per singola finalità

    E’ proprio il consenso per singola finalità che complica la gestione dei cookie, che vanno quindi analizzati singolarmente e catalogati sulla base della loro finalità. Il consenso prestato dall’utente all’uso del cookie non può più essere massivo, ma il visitatore web deve poter esprimere per quale finalità di trattamento (quindi per quale categoria di cookie) fornisce il proprio consenso esplicito. E deve poter revocare in qualsiasi momento il consenso precedentemente fornito: tecnicamente, questo si traduce nel fatto che ogni sito web dovrebbe impostare un pannello di controllo per l’utente, che gli permetta attivamente di selezionare o deselezionare i cookie per finalità di trattamento.

 

  • I dati raccolti devono essere conservati per un periodo di tempo definito: nella cookie policy andrebbe quindi integrata una tabella riportante anche il tempo di conservazione.

    Il Considerando 39 cita: “Da qui l’obbligo, in particolare, di assicurare che il periodo di
    conservazione dei dati personali sia limitato al minimo necessario”
    .

 

  • La profilazione è analisi del comportamento dell’utente su base automatizzata al fine di valutare l’utente stesso. La raccolta di dati non è di per sè profilazione, ma lo è la messa in opera di decisioni basate su tali dati con meccanismi automatizzati: il focus del GDPR non è quindi sul “trattamento” di per sè, bensì sulla modalità di trattamento. Con il termine “profilazione” nel GDPR non s’intende quindi la raccolta del dato puro o la semplice identificazione della persona, bensì l’utilizzo che si fa di quel dato quando viene elaborato con l’obiettivo di valutare la persona.

    Il Considerando 24 cita esattamente: “…Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. L’Art. 4, comma 4) definisce la profilazione come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica,
    in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione
    economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”

 

 

Tipologie di Cookie e GDPR

 

Possiamo individuare nelle “tipologie di cookie” definite dal Garante nell’infografica la “finalità di trattamento” ai fini del GDPR. Il Garante ha effettuato una catalogazione valutando il grado di invasività del cookie nella sfera privata dell’utente, e ha individuato 6 categorie:
 

  • Cookie di prima parte | Tecnici (cd cookie tecnici): se il sito web installa solo cookie tecnici, ha solamente l’obbligo di informarne il visitatore.
  • Cookie di prima parte | Analitici (assimilabili a cookie tecnici): i cookie analitici di prima parte sono assimilabili a cookie tecnici: pertanto, laddove il dato venga raccolto direttamente dal sito e usato a fini statistici, si ha solamente l’obbligo di informare il visitatore.
  • Cookie di prima parte | Profilanti: questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.
  • Cookie di terza parte | Analitici Anonimizzati (assimilabili a cookie tecnici): i cookie analitici di terza parte, se mascherano l’indirizzo IP e non vengono incrociati con altri dati, possono essere assimilati a cookie tecnici e trattati come tali.
  • Cookie di terza parte | Analitici Non Anonimizzati: se non anonimizzati, questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.
  • Cookie di terza parte | Profilanti: questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.

 

Ragionando in termini di GDPR, possiamo dire che per il trattamento dei cookie tecnici (e dei cookie assimilabili a cookie tecnici) abbiamo come base giuridica l’interesse legittimo del titolare del sito, in quanto si tratta di strumenti necessari sia al funzionamento del sito stesso sia a fini statistici che per difendersi da frodi (si pensi, ad esempio, ad un sito che mette a disposizione un servizio online gratuito ma solo per un limite massimo di 3 volte al giorno: il titolare del sito solo memorizzando l’IP dell’utente può averne controllo, evitando un uso improprio del servizio).

Per tutti gli altri casi di cookie “non-tecnici” è invece necessario acquisire il consenso preventivo dell’utente, quale base giuridica che ne rende lecito il trattamento (la raccolta, la conservazione, l’elaborazione..etc..).

 

Cookie tecnici e cookie non-tecnici

 

I cookie tecnici sono esenti dall’acquisizione del consenso, in quanto hanno un grado di invasività minimo: è importante indicarli nell’informativa estesa (Cookie Policy) ma non necessariamente nell’Informativa breve (Banner Cookie), tanto che un sito che installa solo cookie tecnici potrebbe non presentare alcun banner.

L’esenzione dal consenso è stata elaborata dall’ex Gruppo di Lavoro Articolo 29 in questo documento tecnico denominato “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” dove formalizza 2 casistiche:

  • CRITERIO A: il cookie è utilizzato “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica”.
  • CRITERIO B: il cookie è “strettamente necessari[o] al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

 
Il documento evidenzia come l’elemento discriminante per catalogare correttamente un cookie sia la valutazione del rischio per la protezione dei dati, che discende dalla o dalle finalità del trattamento anziché dalle informazioni contenute nel cookie. Quindi, per poter stabilire se un cookie può essere esente dal consenso in virtù del CRITERIO A o B occorre valutare la finalità e l’attuazione o il trattamento specifici.

Dato che è possibile impiegare un cookie per varie finalità (“Cookie multi scopo“) tale cookie può essere esente dal consenso solo qualora tutte le distinte finalità dell’impiego, prese singolarmente, siano esenti dal consenso.

Ad esempio “è possibile creare un cookie con un nome o valore unico che possa essere impiegato sia per memorizzare le preferenze dell’utente sia a fini di monitoraggio. Benché si possa ritenere che la memorizzazione delle preferenze dell’utente ricada in alcune circostanze nell’ambito di un’esenzione (come illustrato nella sezione 3.6), è molto improbabile che la seconda funzionalità soddisfi il CRITERIO A o B. Pertanto, il sito web dovrà sempre chiedere il consenso dell’utente a tal fine. Nella pratica, ciò dovrebbe incentivare i proprietari di siti web a utilizzare un cookie diverso per ciascuna finalità distinta.”

 
Lo stesso documento riporta, poco dopo, questa osservazione:
 

Consenso per gruppo di cookie

    Come già evidenziato dal Gruppo di lavoro nel parere 16/2011, se un sito web utilizza più cookie oppure cookie con più finalità, ciò non significa che debba presentare un “banner” distinto o una richiesta di consenso per ciascun cookie o scopo. Nella maggior parte dei casi è sufficiente un unico riquadro informativo e consenso, presentato in modo chiaro ed esaustivo.

 

Nel parere si definiscono cookie tecnici esenti:
 

  • Cookie con dati compilati dall’utente (user input)
  • Cookie per l’autenticazione
  • Cookie di sicurezza incentrati sugli utenti
  • Cookie di sessione per lettori multimediali
  • Cookie di sessione per il bilanciamento del carico
  • Cookie per la personalizzazione dell’interfaccia utente
  • Cookie per la condivisione dei contenuti mediante plug-in sociali

 

Mentre non rientrano nelle categorie sopra e quindi sono cookie non esenti:
 

  • Cookie di monitoraggio mediante plug-in sociali
  • Pubblicità di terzi
  • Analitica di prima parte (*)

 

Questi ultimi (*), tuttavia, non sono considerati cookie che generino un rischio per la privacy, pertanto il Garante italiano ha deciso di farli assimilare ai cookie tecnici (come indicato nell’infografica).

 

Cookie di terze parti

 

Il titolare del sito è quindi il responsabile per i cookie impostati da una terza parte tramite il sito stesso: come specificato dalle FAQ del Garante, “l’obbligo di informare l’utente sull’uso dei cookie di terze parti e di acquisirne il preventivo consenso incombe sul titolare del sito”.

 

Scarico dei cookie di terze parti

    Nessun cookie di terze parti dovrà quindi essere scaricato dal sito né potrà accedere a informazioni presenti sul terminale dell’utente, in assenza di una corretta informazione e (laddove richiesto) di un consenso esplicito. Solo nel caso in cui il cookie di terza parte sia anonimizzato, può essere assimilato ad un cookie tecnico e non è necessario acquisirne il consenso (ma è necessario mostrare l’informativa).

 

 

Cookie di profilazione (Marketing)

 

I cookie di profilazione raccolgono informazioni e tracciano i dati di navigazione con il fine di realizzare una profilo del visitatore e inviargli pubblicità personalizzata. Per questo motivo, hanno un grado di invasività molto elevato e necessitano del consenso preventivo. Devono scadere al massimo entro 12 mesi.

 

Come adeguare il sito e la gestione dei Cookie al GDPR?

 

Mettendo insieme tutti gli elementi che abbiamo visto fin qui, possiamo dire che gli aspetti che riguardano la gestione dei cookie e la compliance del sito web al GDPR si possono riassumere nei seguenti punti:

 

Norme da applicare al sito:

  • La Cookie Law è la norma di riferimento in materia di cookie
  • L’infografica del Garante è il riferimento ufficiale e definisce le tipologie di cookie (“Finalità di Trattamento”)
  • L’indirizzo IP completo è un dato personale
  • Il Consenso deve poter essere fornito per ogni Finalità di trattamento
  • Il Consenso deve poter essere revocato per ogni Finalità di trattamento
  • Ogni dato raccolto deve essere conservato per il tempo strettamente necessario

 

La Cookie Law definisce come implementare nel sito le informative (tipicamente l’informativa breve o banner e l’informativa estesa o Cookie Policy completa). L’infografica del Garante permette, inoltre, di avere un quadro semplificato – ma allo stesso tempo preciso – di come catalogare ogni cookie e come operare di conseguenza.

L’acquisizione del consenso ai cookie (COOKIE CONSENT) rappresenta invece una aspetto che con il GDPR cambia, in quanto deve poter essere fornito per ogni finalità, quale risultato di una atto inequivocabile e deve poter essere revocato in qualsiasi momento.

 

Cosa scrivere nell’informativa breve (BANNER COOKIE)

 

All’accesso al sito, va visualizzato un banner cookie riportante un informativa breve che, tra le altre cose, deve contenere:
 

Banner Cookie

  • Tipo di cookie scaricati in caso di consenso
  • Come non fornire il consenso
  • Link alla Privacy Policy e alla Cookie Policy
  • Pulsante per poter accettare o effettuare il diniego

 

Il banner deve essere discontinuo: le specifiche sono le stesse già valide in precedenza e meglio descritte nel nostro articolo sulla Cookie Law: cosa fare e come adeguare il tuo sito web. Oltre a quanto già richiesto dalla norma precedente, nel banner andrebbe aggiunta una modalità semplificata per negare i cookie, evitandone in tal caso lo scarico sul terminale dell’utente.

 

Bloccare i cookie prima del consenso (COOKIE CONSENT)

 

I cookie di profilazione e i cookie analitici di terze parti non anonimizzati (che possiamo considerare “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) vanno bloccati fino all’espressione “attiva” del consenso da parte del visitatore.

Questo significa che la funzione svolta dal banner cookie non è solo informativa, ma deve anche effettuare la funzione di controllo del “cookie consent” bloccando i cookie profilanti non accettati. Questo significa che il sito web non dovrà scaricare alcun cookie profilante, come anche bloccare tutti gli oggetti di terze parti (widget, video embeddati, etc..) presenti nelle pagine web, fino al necessario consenso.

 

Cosa scrivere nell’informativa estesa (COOKIE POLICY)

 

La Cookie Policy deve contenere:

 

Cookie Policy

  • Spiegazione di cosa sono i cookie
  • Descrizione dei cookie di terze parti installati e i link alle relative Cookie Policy
  • Possibilità di disattivare i cookie e/o revocarne il consenso dato
  • Tabella dei cookie, divisa per finalità e con l’elenco completo dei cookie installati, indicante l’origine/destinazione (terza parte) e il periodo di conservazione

 

Può essere inserita nella Privacy Policy: anche in questo caso, le specifiche sono le stesse già valide in precedenza e meglio descritte nel nostro articolo sulla Cookie Law: cosa fare e come adeguare il tuo sito web.

Oltre a quanto già richiesto dalla norma precedente, per rispondere meglio alle specifiche dell’Art. 13 del GDPR, nella Cookie Policy andrebbe inserita anche una modalità agevolata per revocare il consenso ai cookie e andrebbe aggiunta una tabella dei cookie che indica l’origine del cookie (che coincide con la piattaforma terza cui saranno trasmessi i dati) e la durata della sessione.

Vediamo un esempio di tabella dei cookie, relativa a cookie con finalità di marketing:
 

Tabella Cookie
Esempio Tabella Cookie

 

Google Analytics, COOKIE LAW e GDPR

 

Il Garante Italiano mette in rilievo la differenza tra cookie profilanti di terze parti anonimizzati e non. Come specificato nell’infografica e nei chiarimenti del 05/06/2015, il potere profilante dei cookie può essere limitato mascherandone (anche parzialmente) l’indirizzo IP e non inviando così alla piattaforma terza il dato personale del visitatore del sito.

Ciò avviene tramite la tecnica dell’anonimizzazione, con la quale il dato trasmesso alla piattaforma di analytics contiene solo le informazioni necessarie per rilevarne la provenienza e poter effettuare delle statistiche aggregate, ma non viene incrociato con altri dati e quindi ricondotto al singolo utente.

Solo se resi anonimi e non usati per fini diversi da quelli statistici, i cookie analitici di terze parti possono essere assimilati a cookie tecnici. Tuttavia, la sola anonimizzazione potrebbe non essere di per sè sufficiente a garantire che il dato grezzo raccolto non venga combinato con altri dati (del sito web, di analytics o di altri prodotti collegati) che messi insieme potrebbero profilare comunque l’utente.

Vediamo meglio un esempio con Google Analytics, che oggi è tra i sistemi di analytics più diffusi: di seguito vediamo come anonimizzarne i cookie e quali parametri il sistema prende in considerazione per fare profilazione o meno.

 

Anonimizzare gli IP di Analytics

 
Cosa fa Google Analytics quando anonimizza gli IP?

Come descritto sulla Guida di Google Analytics:

“Dal 25 maggio 2010, Analytics ha fornito la funzione _anonymizelp … per consentire ai proprietari di siti web di richiedere l’anonimizzazione di tutti gli indirizzi IP dei loro utenti nel prodotto. Questa funzione è stata progettata per aiutare i proprietari di siti a rispettare le norme sulla privacy o, in alcuni Paesi, le raccomandazioni delle autorità locali per la tutela dei dati, che possono impedire la memorizzazione delle informazioni relative agli indirizzi IP completi. Il mascheramento o l’anonimizzazione IP avviene non appena i dati vengono ricevuti dalla rete di raccolta di Analytics, prima che avvenga qualsiasi memorizzazione o elaborazione.”

Il processo di anonimizzazione IP in Analytics si svolge nell’arco di due passaggi nella procedura di raccolta, ed è schematizzato in questa immagine:

Così, quando arriva una richiesta a Google Analytics, sono incluse le informazioni aggiuntive nell’intestazione della richiesta HTTP (ad es. il tipo di browser utilizzato) e l’intestazione TCP/IP (ad es. l’indirizzo IP del richiedente), ma non l’ultima parte dell’indirizzo IP.

Per implementare correttamente il parametro (che deve essere eseguito prima della funzione di raccolta) seguire queste indicazioni della devguide di Google.

 

Anonimizzazione e portata statistica del cookie

 

Anonimizzando l’IP non si perde alcun dato relativo alle statistiche base di Analitics: utenti attivi, pagine visitate, lingua, località, flussi di utente… etc… in quanto nascondendo l’IP si mantengono le informazioni circa la località del visitatore o il tempo di permanenza sulle pagine visitate, rendendo più complesso (ma non impossibile) risalire al singolo utente.

Per impedire completamente a Google Analytics di “incrociare” le informazioni raccolte con altri prodotti, sarebbe infatti necessario non attivare (nelle impostazioni della Proprietà) la condivisione con altri Prodotti Google, il Benchmarking, i Segmenti e i Rapporti Socio-Demografici.

 

Anonimizzazione e incrocio con altri dati

 
Come abbiamo visto in precedenza, ai sensi del GDPR il controllo del comportamento è citato nell’ambito della profilazione (Considerando 24). Questo significa che anche se utilizzi Google Analytics con IP Anonimizzato potresti incrociare l’area geografica dei tuoi visitatori con altri dettagli (come l’indirizzo email aziendale o l’età) usando questi dati per dedurre informazioni aggiuntive (come gli interessi o il reddito) contribuendo così alla profilazione dell’utente.

Questo avviene anche se decidi di attivare, tra i parametri di Analytics, la condivisione dei dati con i Prodotti Google, il Benchmarking, i Segmenti e i Rapporti Socio-Demografici: per raccogliere questi dati aggiuntivi, Google Analytics utilizza infatti dei cookies diversi da quelli statistici anonimizzati tramite _anonymizeIP, considerati cookie profilanti.

In tutti questi casi, dovrai quindi compilare adeguatamente sia la Privacy Policy che la Cookie Policy (spiegando in modo accurato quali informazioni raccogli, lo scopo, l’utilizzo e l’elaborazione di terze parti) e anche acquisire il consenso esplicito (adeguando quindi il cookie consent) laddove richiesto.

 

Specificare il periodo di conservazione dei dati usati in profilazione

 

Come riportato sulla Guida ufficiale, Google Analytics ha introdotto i controlli per la conservazione dei dati, con effetto a partire dal 25 maggio 2018 (data di entrata in vigore del GDPR). Questi controlli richiedono al titolare del sito di impostare un periodo di conservazione che riguarda i dati a livello di utente ed evento, associati a cookie, identificatori utente (ad es. User ID) e identificatori pubblicitari (ad es. cookie DoubleClick, ID pubblicità di Android e Identifier for Advertisers di Apple).

Non sono interessati quindi i rapporti aggregati standard di Google Analytics ma la modifica riguarda solo i dati raccolti e utilizzati da funzioni avanzate, quali i segmenti personalizzati o altri sistemi di analisi più approfondita, che si basano sulla creazione di rapporti personalizzati.

Trattandosi di dati raccolti e utilizzabili in modo personalizzato, sarà quindi il Titolare del sito a dover indicare ad Analytics per quanto tempo dovrà conservare i dati prima di eliminarli, scegliendo tra: 14 mesi, 26 mesi, 38 mesi, 50 mesi, Non scadono automaticamente. Questa scelta deve essere ponderata in conformità al GDPR, pertanto valutando la tipologia di dato raccolto in analytics e la sua invasività a livello di privacy dell’utente.

Quando i dati raggiungono la fine del periodo di conservazione, vengono eliminati automaticamente.

 
 
 

Consulenza GDPR e analisi dei cookie

In questo articolo abbiamo cercato di riportare le informazioni più critiche riguardanti l’adeguamento del sito web al GDPR. Sotto trovate tutte le fonti da cui abbiamo raccolto le informazioni.

L’adeguamento della gestione dei cookie al GDPR è un aspetto molto delicato: serve una valutazione attenta, soprattutto quando il sito è collegato a campagne Google Ads oppure è un sito ecommerce. Sottovalutare la questione è rischioso, in quanto potrebbe comportare sanzioni salate.

 

Analizza i Cookie del tuo sito

    Hai dubbi, domande oppure vuoi un consiglio esperto?
    Contattaci o scrivici: siamo a tua completa disposizione.

 

 

Fonti Articolo

Fonti ufficiali e altri articoli di riferimento

ePrivacy
Direttiva 2002/58/CE (ePrivacy)

Codice Privacy Italiano
Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy)

Modifica alla ePrivacy
Direttiva 2009/136/CE

Provvedimento Garante Italiano (Cookie Law)
Provvedimento 229/2014

Sito del Garante Italiano: are dedicata ai cookie
Cookie e privacy: istruzioni per l´uso

Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante

Sito del Garante: Decadimento dell’obbligo di Notifica
Doveri

Sito del Garante: pareri del ex Gruppo Articolo 29
I pareri del Gruppo Articolo 29

Sito del Garante: linee guida elaborate dal Gruppo Art. 29
Linee guida elaborate dal Gruppo Art. 29

Ex Gruppo Articolo 29
Il Gruppo Articolo 29

Consiglio Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Consiglio europeo per la protezione dei dati (EDPB)

Guida di Analytics | Anonymize IP: cosa fa
Guida di Google Analytics: cosa fa l’Anonymize IP

Guida di Analytics | Anonymize IP: come fare
Guida di Google Analytics: devguide

Guida di Analytics | Periodo di Conservazione
Conservazione dei dati

Google Analytics | Periodo di Conservazione
Anonimizzare Google Analytics ed evitare l’incrocio dati

Comments are closed.