Cookie e traccianti: cosa dice il GDPR.

Ai sensi della Direttiva Privacy, gli utenti di Internet devono essere informati e dare il loro consenso, prima del deposito e della lettura di determinati traccianti, mentre altri sono esentati dall’ottenere tale consenso.

Cosa definiscono i termini “cookie” o “tracciante?..

I termini “cookie” o “tracciante” definiscono, ad esempio:

• cookie HTTP,
• cookie “flash”,
• il risultato del calcolo di un’impronta univoca del terminale in caso di ”  impronta digitale (Fingerprinting)  (calcolo di un identificatore univoco del terminale, sulla base di elementi della sua configurazione, ai fini del tracciamento),
• pixel invisibili o “web bug”,
• qualsiasi altro identificatore generato dal software o da un sistema operativo (numero di serie, indirizzo MAC, identificatore univoco del terminale IDFV) o qualsiasi insieme di dati utilizzato per calcolare un’impronta digitale univoca del terminale (ad esempio tramite un metodo di “impronta digitale”).

Possono essere depositati e/o letti, ad esempio durante la consultazione di un sito web, di un’applicazione mobile, o anche durante l’installazione o l’utilizzo di software, indipendentemente dal tipo di terminale utilizzato: computer, smartphone, tablet digitale o console per videogiochi connessi a Internet.

Chi ha questo obbligo?

È vincolante per i titolari del trattamento che depositano traccianti previo consenso sulla protezione dei dati (ad esempio quando gli editori autorizzano il deposito di cookie, che vengono poi letti dalle agenzie pubblicitarie). Questi ultimi sono contitolari del trattamento in quanto determinano congiuntamente le finalità e le modalità delle operazioni di lettura e scrittura sugli apparati terminali degli utenti.

L’obbligo di acquisire il consenso può quindi essere imposto, in particolare:

• editori di siti Web e applicazioni mobili;
• alle agenzie pubblicitarie;
• ai social network che forniscono moduli di condivisione sui social network.

In generale, i redattori di siti o applicazioni mobili, a causa del contatto diretto con l’utente, sono spesso nella posizione migliore per informare quest’ultimo delle informazioni sui tracker depositati e per raccoglierne il consenso.

Quali cookie richiedono il preventivo consenso degli utenti?

Tutti i cookie che non hanno l’esclusiva finalità di consentire o agevolare la comunicazione con mezzi elettronici o non sono strettamente necessari alla fornitura di un servizio di comunicazione online su espressa richiesta dell’utente, richiedono il preventivo consenso dell’utente internet. Tra i cookie che richiedono la preventiva informativa e la preventiva raccolta del consenso dell’utente, si possono citare in particolare:

• cookie relativi ad operazioni relative alla pubblicità personalizzata;
• cookie dei social network, in particolare generati dai loro pulsanti di condivisione.

Per quanto riguarda i traccianti non soggetti a consenso, possiamo citare:

1. i traccianti conservando la scelta espressa dagli utenti sul deposito dei traccianti;
2. traccianti destinati all’autenticazione con un servizio, compresi quelli destinati a garantire la sicurezza del meccanismo di autenticazione, ad esempio limitando i tentativi di accesso robotici o imprevisti;
3. traccianti destinati a memorizzare il contenuto di un carrello su un sito di un commerciante o a fatturare all’utente il/i prodotto/i e/o il/i servizio/i acquistato/i;
4. traccianti di personalizzazione dell’interfaccia utente (ad esempio, per la scelta della lingua o per la presentazione di un servizio), quando tale personalizzazione costituisce un elemento intrinseco e previsto del servizio;
5. traccianti per bilanciare il carico di apparecchiature che contribuiscono ad un servizio di comunicazione;
6. traccianti che consentono ai siti a pagamento di limitare il libero accesso a un campione di contenuti richiesto dagli utenti (quantità predefinita e/o per un periodo limitato);
7. determinati tracker di misurazione dell’audience purché soddisfino determinate condizioni.

Come ottenere un consenso valido?

Il consenso deve manifestarsi con un atto positivo della persona preventivamente informata, in particolare, delle conseguenze della sua scelta e dotata dei mezzi per accettare, rifiutare e revocare il suo consenso. 

Occorre pertanto predisporre adeguati sistemi di raccolta del consenso secondo modalità pratiche che consentano agli utenti di Internet di beneficiare di soluzioni di facile utilizzo.

L’accettazione delle condizioni generali di utilizzo non può costituire una valida modalità di acquisizione del consenso.

Il consenso deve essere antecedente al deposito e/o alla lettura dei cookie.

• Finché l’interessato non ha prestato il proprio consenso, i cookie non possono essere inseriti o letti sul suo terminale.
• Deve essere richiesto ogni volta che alle finalità inizialmente previste, si aggiunge una nuova finalità che richiede il consenso.

Il consenso è una manifestazione di volontà, libera, specifica, inequivocabile e informata. La validità del consenso è quindi particolarmente legata alla qualità delle informazioni ricevute.

• Deve essere visibile, evidenziato e completo.
• Deve essere scritto in termini semplici che possano essere compresi da qualsiasi utente.
• Deve consentire agli utenti di Internet di essere perfettamente informati, in particolare per quanto riguarda le diverse finalità dei cookie e l’identità dei responsabili del trattamento.

1. Al fine di conciliare concisione e precisione delle informazioni, è possibile disporre di due livelli di informazione: ad esempio, un primo livello può descrivere sinteticamente ciascuna finalità del trattamento, mentre un secondo livello fornirebbe maggiori dettagli su tali finalità e sull’elenco dei titolari del trattamento.

Il consenso è valido solo se la persona fa una scelta reale.

• L’utente deve poter accettare o rifiutare il deposito e/o la lettura dei cookie con lo stesso grado di semplicità.
• Secondo il considerando 42 del GDPR, che chiarisce il requisito della libertà di consenso di cui al suo articolo 4, “il consenso non dovrebbe considerarsi liberamente, se l’interessato non dispone di una reale libertà di scelta o non è in grado di rifiutare o revocare il consenso senza pregiudizio”.  
• Inoltre, si raccomanda che tale scelta venga effettuata su ciascuno dei siti o applicazioni interessati dal tracciamento della navigazione.

Il consenso deve poter essere revocato in modo semplice ed in qualsiasi momento dall’utente.

• Revocare il consenso dovrebbe essere facile come darlo.
• Le soluzioni che consentono agli utenti di revocare il proprio consenso devono essere messe a disposizione dell’utente. Devono essere accessibili in ogni momento.

Come si dimostra che è stato ottenuto il consenso?

Ogni Società che richiede il consenso deve essere in grado di fornirne prova. A tale scopo può utilizzare i seguenti metodi non esclusivi:

• Sequestro presso una terza parte del codice informatico utilizzato dall’ente che ottiene il consenso, per le diverse versioni del proprio sito o della propria applicazione mobile, o anche semplicemente mediante la pubblicazione timbrata su piattaforma pubblica di un digest (o “hash”) del presente codice, per poterne provare a posteriori l’autenticità;
• Per ogni versione del sito o dell’applicazione è possibile conservare, in modalità timestamp, uno screenshot del rendering visivo visualizzato su un terminale mobile o fisso;
• Audit periodici dei meccanismi di raccolta del consenso implementati dai siti o dalle applicazioni da cui è raccolto, possono essere attuati da terzi incaricati a tal fine;
• Le informazioni relative agli strumenti implementati e alle loro successive configurazioni (come le soluzioni per la raccolta dei consensi, note anche come “Piattaforma di gestione del consenso”) di CMP possono essere conservate, con modalità cronologica, dalle terze parti che pubblicano tali soluzioni.