Le presenti informazioni sono tratte dalle spiegazioni fornite dal Garante della Privacy, liberamente rielaborate.

La fonte principale delle presenti informazioni è il sito del Garante della Privacy.

“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

 

Come è noto, i cookie sono di regola stringhe di testo che i siti web visitati dall’utente ovvero siti o web server diversi posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

 

I terminali cui ci si riferisce sono, ad esempio, un computer, un tablet, uno smartphone, ovvero ogni altro dispositivo in grado di archiviare informazioni. 

 

I software per la navigazione in internet e il funzionamento di questi dispositivi, ad esempio i browser, possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.

 

Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

 

I cookie possono dunque svolgere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.

 

Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete – in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

 

I cookie e, in buona misura, gli altri strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale e dunque essere considerati in base alla loro durata (di sessione o permanenti), ovvero dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto della “terza parte”).

 

E tuttavia la classificazione che risponde alla ratio della disciplina di legge e dunque anche alle esigenze di tutela della persona, è quella che si basa, in definitiva, su due macro categorie:

 

– i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);

 

– i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

 

Analogamente, anche gli altri identificatori possono essere catalogati secondo criteri diversi, dei quali il principale resta, tuttavia, la finalità per la quale vengono utilizzati: di natura “tecnica” o di natura “non tecnica”, dovendosi intendere quest’ultima categoria in senso ampio, dal momento che l’attuale disciplina di legge, di cui in appresso, tesa alla tutela della confidenzialità delle comunicazioni elettroniche oltre che delle informazioni di carattere personale, è inequivocamente formulata secondo lo schema di una generale proibizione di trattamento dei dati degli interessati, salvo eccezioni rigorosamente e restrittivamente codificate, insuscettibili di estensione analogica.

 

 

Per l’utilizzo di cookie e degli altri identificatori tecnici, in virtù della funzione assolta e nei limiti ed alle condizioni richiamate, il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato; i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. 

 

Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.

 

Le modalità per l’acquisizione del consenso online alla luce di alcuni opportuni chiarimenti e nuove raccomandazioni.

 

Il Garante ritiene che l’impianto teso alla individuazione della modalità tecnica per l’acquisizione del consenso online per il tracciamento a mezzo cookie (ovvero anche realizzato per il tramite di altri strumenti) illustrato nel menzionato provvedimento del maggio 2014 sia da ritenersi tuttora valido, pur nel mutato assetto normativo che privilegia ed impone ai titolari di agire in ossequio al nuovo regime di accountability (art. 5, par. 2, del Regolamento) consentendo loro, se del caso, anche l’adozione di modalità diverse attraverso cui assicurare la conformità alle regole e la tutela degli interessati.

 

Il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.

 

Non pare potersi escludere, tuttavia, che lo scrolling possa intervenire nella procedura di acquisizione del consenso e costituire non la sola, bensì una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile, volta a prestare il proprio consenso all’uso dei cookie o di altri strumenti di tracciamento, come richiesto dalle norme vigenti.

 

Tale conclusione risulta d’altro canto coerente, oggi, con il richiamato approccio regolamentare teso alla valorizzazione dell’accountability; pertanto, ed analogamente a quanto affermato con riferimento al potere di autonomia del titolare nell’identificazione delle soluzioni più appropriate per conseguire la conformità alle regole dei trattamenti di dati personali effettuati, il Garante invita i titolari a valutare con estremo rigore ogni possibile soluzione, anche di carattere tecnico, idonea ad essere interpretata e registrata come una forma di consenso espresso dall’utente per l’installazione dei cookie o per l’impiego di altri strumenti di tracciamento.

 

 

 

Affinché lo stesso risulti acquisito legittimamente, il medesimo titolare dovrà inoltre far sì che eventuali modalità alternative rispetto a quelle proposte nelle presenti Linee guida di espressione del consenso online siano realizzate in modo tale da rendere inequivoco anche per l’utente l’effetto della propria azione, equivalente alla manifestazione del consenso stesso. Ciò, allo scopo di limitare l’incidenza dei c.d. “falsi positivi”, ossia di erronee interpretazioni di azioni casuali come espressioni consapevoli della volontà dell’utente.

 

Qualora invece, nel caso concreto, all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche anche sotto il profilo della consapevolezza per lo stesso utente, allora in nessun modo sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.

 

Ulteriori chiarimenti appaiono opportuni con riferimento al cd. cookie wall, intendendosi con tale espressione un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.