Linee guida cookie e altri strumenti di tracciamento e successivi Provvedimenti del Garante: come avere un sito PA a norma?

---

Con il presente lavoro ci si prefigge l’obiettivo di sintetizzare il contenuto delle nuove Linee guida sui cookie e gli altri strumenti di tracciamento, anche alla luce dei successivi Provvedimenti del Garante, in modo da avere la possibilità di coglierne più agevolmente i contenuti per avere siti a norma e conformi con le prescrizioni contenute negli attuali bandi di finanziamento per il rifacimento dei siti istituzionali secondo le Linee Guida AgID che, tra le condizioni, prescrivono un generico “rispetto delle normative privacy”. Allo stesso tempo, per evidenziare quanto il rispetto delle prescrizioni in materia sia più complicato di quanto possa apparire a prima vista, si descriveranno brevemente due casi di contenzioso intervenuti niente di meno che tra il Garante Europeo e le Istituzioni Europee, relativamente alle violazioni commesse da quest’ultime proprio nella materia qui ad oggetto.

---

Con il presente lavoro ci si prefigge l’obiettivo di sintetizzare il contenuto delle nuove Linee guida sui cookie e gli altri strumenti di tracciamento, anche alla luce dei successivi Provvedimenti del Garante, in modo da avere la possibilità di coglierne più agevolmente i contenuti per avere siti a norma e conformi con le prescrizioni contenute negli attuali bandi di finanziamento per il rifacimento dei siti istituzionali secondo le Linee Guida AgID che, tra le condizioni, prescrivono un generico “rispetto delle normative privacy”. Allo stesso tempo, per evidenziare quanto il rispetto delle prescrizioni in materia sia più complicato di quanto possa apparire a prima vista, si descriveranno brevemente due casi di contenzioso intervenuti niente di meno che tra il Garante Europeo e le Istituzioni Europee, relativamente alle violazioni commesse da quest’ultime proprio nella materia qui ad oggetto.

Com’è noto, il primo caso riguarda il sito web istituzionale del Parlamento Europeo: poco dopo l’abolizione del «EU-US Privacy Shield» e poco prima dall’emanazione da parte del Garante italiano per la Protezione dei Dati Personali delle linee guida sui i cookie e altri strumenti di tracciamento,  l’European Data Protection Supervisor (EDPS) è intervenuto – su segnalazione di sei deputati del Parlamento stesso – facendo presente che il sito web del Parlamento utilizzava cookie di Google Analytics. Va ricordato che Google Analytics è un servizio di Google che consente di «analizzare delle dettagliate statistiche sui visitatori di un sito web. Il servizio è usato per il marketing su internet e dai webmaster».

Considerato che la sede legale di Google si trova negli Stati Uniti, il trattamento effettuato dall’Istituzione europea tramite il proprio sito web risultava in forte contrasto con l’ultimissima sentenza della Corte di Giustizia dell’Unione Europea (CGUE). Quest’ultima si era pronunciata il 16 luglio 2020 in merito al regime di trasferimento dei dati tra l'Unione Europea e gli Stati Uniti, invalidando la c.d. sentenza Schrems II, ovvero la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione Europea in seguito alla decadenza dell'accordo “Safe Harbor”. Tale accordo «imponeva alle imprese americane obblighi più stringenti di tutela dei dati personali degli europei». Il Privacy Shield prevedeva, dunque, che le autorità americane vigilassero e assicurassero con più forza il rispetto dell’accordo e che collaborassero in misura maggiore con le autorità europee per la protezione dei dati personali. L’accordo –non più in forza– conteneva impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte dell’amministrazione americana.

In assenza di un vero e proprio accordo in linea con i principi del Regolamento (UE) 2016/679, come chiarito dalla CGUE, il trasferimento di dati personali dall'UE agli Stati Uniti è soggetto a condizioni molto più severe. In questa chiave di lettura, i siti web europei sono tenuti ad astenersi dal trasferire dati personali negli Stati Uniti, qualora non sia possibile garantire un adeguato livello di protezione dei dati personali. Come premesso da Max Schrems, «sono le autorità pubbliche, e in particolare le istituzioni dell'UE, a dover dare l'esempio per rispettare la legge. E questo vale anche per i trasferimenti di dati al di fuori dell'UE». In effetti, «utilizzando fornitori statunitensi, il Parlamento Europeo consente alle autorità statunitensi di accedere ai dati del suo personale e dei suoi membri».

Oltre alle questioni sollevate dai deputati in merito al trasferimento dei dati raccolti tramite il sito web del Parlamento Europeo, non è stato di minore rilevanza il Case “Planet49” circa l’implementazione del banner e della raccolta dei consensi tramite il sito web della CGUE.

In questo secondo caso – a seguito di un reclamo formale presentato da un cittadino europeo – l’EDPS aveva riscontrato una violazione dei requisiti di protezione dei dati personali in relazione al tracciamento e alla raccolta di informazioni tramite il sito web della CGUE nonché alla mancanza di chiarezza del banner presente sullo stesso. In particolare, il banner non elencava tutti i cookie inseriti nel browser ed utilizzati e costringeva gli utenti ad accettare tutti i cookie. Di conseguenza, il trattamento dei dati sul sito e l'immissione di cookie sulla base del consenso dell'utente non avevano una base giuridica definita. Nello specifico, in riferimento all’accesso e memorizzazione di informazioni su un dispositivo terminale, l’EDPS aveva considerato quanto segue:

1. il sito utilizzava dei cookie analitici, mentre il banner offriva solo due pulsanti: “OK” e “Altre informazioni”, con palese mancanza di chiarezza rispetto alla realtà dei fatti. Il consenso, come stabilito dal Regolamento (UE) 2016/679, dev’essere prestato in maniera chiara, esplicita e univoca;
2. il sito non offriva uno strumento per revocare il consenso all’uso dei cookie analitici con la stessa facilità con cui lo concedeva l’utente. Per rifiutare i cookie, invece, l'utente doveva cliccare sul pulsante 'maggiori informazioni' per revocare il proprio consenso”;
3. il sito non informava l’utente sulla possibilità di impostare i cookie di YouTube in caso di accettazione, né forniva un meccanismo per rifiutare tutti i cookie sul sito web;
4. il banner rappresentava di fatto un “Cookie Wall”, poiché non permetteva all’utente l’uso del sito senza la previa accettazione (facoltativa) dei cookie non necessari. 

Quindi, alla luce di quanto sopra, come deve comportarsi una PA per rispettare le condizioni di bando e fruire dei finanziamenti per il rifacimento del proprio sito senza incorrere in violazioni delle normative privacy, anche considerato il fatto che l’attività ispettiva del Garante per l’attuale semestre 2022 reca testualmente le “verifiche relative alla corretta applicazione delle indicazioni di cui alle Linee Guida in materia di cookies e di altri strumenti di tracciamento” ed il “trasferimento di dati all’estero sulla base degli analytics di Google”?

In questa newsletter si cercherà di concentrare tutte le informazioni utili al riguardo.

Venendo, pertanto, alla sintesi delle linee Guida ad oggetto, e dei successivi recenti Provvedimenti del Garante, si premette che il quadro giuridico di riferimento continua ad essere costituito dalla Direttiva 2002/58/CE (Direttiva E-Privacy, recepita all’interno del nostro Codice della Privacy), dagli artt.4.11 e 7, e dal considerando 32 GDPR come da ultimo interpretati dalle Linee Guida WP29 del 10 aprile 2018 e poi sostituite dalle nuove Linee Guida 5/2020 del 4 maggio 2020. Inoltre, si precisa che il Provvedimento ad esame torna a ribadire taluni concetti già consolidati nel suo precedente Provvedimento n.229 dell’8 maggio 2014 e fornisce alcune nuove precisazioni.

Per l’analogia di funzioni, si ricorda che le Linee Guida si riferiscono tanto all’utilizzo di identificatori attivi (cookie) quanto all’utilizzo di identificatori passivi (fingerprinting).

In particolare, in occasione del rifacimento dei siti si dovrà tener conto del fatto che:

1. soltanto gli identificatori di natura “tecnica”, cioè quelli utilizzati unicamente per effettuare la trasmissione di una comunicazione su di una rete elettronica o nella misura strettamente necessaria al Titolare per erogare il servizio esplicitamente richiesto dall’utente, sono esentati dall’obbligo di acquisizione del consenso dell’interessato, mentre ogni altro strumento impiegato per finalità diverse da quelle tecniche potrà essere utilizzato soltanto previa acquisizione del consenso;
2. il consenso dell’interessato deve essere espresso ed univoco, non potendo esso desumersi dalla preselezione di caselle o dalla semplice inattività dell’utente (“scrolling”). Tuttavia, in base all’approccio GDPR orientato al principio dell’”accountability”, è possibile che lo scrolling intervenga come uno degli elementi di un più articolato processo, da valutarsi con estremo rigore, che consenta all’utente di segnalare al titolare del sito, tramite la generazione di una precisa soluzione progettuale (pattern), una scelta inequivoca e consapevole passibile di essere registrata e, dunque, di essere documentata;
3. il rispetto delle regole sub “a” e sub “b” comporta che, per impostazione predefinita, al momento del primo accesso dell’utente ad un sito web nessun cookie o altro strumento, sia attivo che passivo, diverso da quelli tecnici, venga posizionato all’interno del suo dispositivo (principio della privacy by design and by default) e che, di conseguenza, sia possibile mantenere tale impostazione mediante la semplice selezione del comando di chiusura del banner. Tale comando di chiusura, laddove non espresso dalla consueta X in alto a destra, dovrà avere un’evidenza grafica pari a quella degli ulteriori comandi idonei ad esprimere le altre scelte nella disponibilità dell’utente (accetta tutto/rifiuta tutto/consenti ai selezionati) e dovrà avvertire che la chiusura del banner comporterà il permanere delle impostazioni di default e, dunque, la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici. Gli utenti dovranno sempre essere posti in condizione di modificare le scelte compiute – sia in termini positivi che negativi – in maniera semplice, immediata e intuitiva attraverso un’apposita area accessibile attraverso un link da posizionarsi nel footer del sito (esplicitare tale funzionalità attraverso l’indicazione “rivedi le tue scelte sui cookie” e posizionare in ciascuna pagina del dominio, eventualmente accanto al link all’area dedicata alle scelte, un segno grafico o altro accorgimento tecnico che indichi lo stato dei consensi resi è la soluzione ottimale);
4. l’utilizzo di un cookie wall, intendendosi con tale espressione un meccanismo vincolante (c.d. “take it or leave it”) in base al quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di strumenti di tracciamento pena l’impossibilità di accedere al sito, è da ritenersi illecito a meno che il Titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o ad un servizio alternativi che non comportino l’utilizzo di strumenti di tracciamento (sarebbe pertanto ipotizzabile l’utilizzo di un cookie pay wall per l’accesso a determinati contenuti e servizi a pagamento con la contestuale offerta di diversi ed alternativi contenuti e servizi che non comportino l’utilizzo di alcuno strumento di tracciamento);
5. il banner deve contenere un’informativa minima del fatto che il sito utilizza strumenti tecnici e (se così è), previa acquisizione del consenso, strumenti di tracciamento al fine di inviare messaggi pubblicitari o al fine di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso durante la navigazione allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori del sito;
6. il banner deve contenere un link all’informativa estesa nella quale vengono fornite in maniera chiara e completa tutte le indicazioni relative ai cookie o agli altri strumenti utilizzati, nonché un diverso link ad un’ulteriore area dedicata nella quale sia possibile selezionare in modo analitico le funzionalità degli strumenti utilizzati dai soggetti “terze parti” a cui l’utente decida di acconsentire in modo granulare. Tale specifico elenco terze “parti” dovrà essere tenuto costantemente aggiornato;
7. l’eccessiva riproposizione del banner ad ogni nuovo accesso, ai fini dell’acquisizione del consenso al tracciamento da parte dell’utente “appare - secondo il Garante - suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione libero dalla comparsa del banner contenente l’informativa breve e la richiesta di prestazione del consenso”. In tale contesto, quindi (cioè, ad avviso di chi scrive, nel contesto di siti la cui comparsa del banner risulti “asimmetrica” per il fatto di comparire soltanto nel caso di consenso negato e non nel caso di consenso prestato poiché, diversamente, se ed in quanto rispettato il principio della privacy by design and by default si verterebbe in un’ipotesi di semplice compromissione della fluidità della user experience nella navigazione), la scelta compiuta dall’utente dovrà essere debitamente registrata e la prestazione del consenso potrà essere nuovamente sollecitata soltanto se:
   1. mutino significativamente una o più condizioni del trattamento e, di conseguenza, la riproposizione del banner sia necessaria per assolvere all’obbligo di integrazione dell’informativa;
   2. quando sia impossibile per il gestore del sito web avere contezza del fatto che un cookie sia già stato in precedenza memorizzato per essere poi nuovamente trasmesso al sito che lo ha generato (per esempio, nel caso in cui l’utente abbia cancellato i cookie dal proprio dispositivo);
   3. quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner;
8. resta impregiudicata, per i siti e/o i servizi a cui si acceda mediante uso di credenziali di autenticazione, la possibilità di raccogliere e memorizzare gli eventuali consensi all’utilizzo degli strumenti di tracciamento fin dal momento della creazione dell’account. A tali specifici utenti, c.d. “autenticati”, dovrà essere consentito di scegliere consapevolmente se accettare la possibilità che il tracciamento che li riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device;
9. affinché i cookie analitici siano equiparati a quelli tecnici, è indispensabile precludere la possibilità che si pervenga alla diretta individuazione dell’interessato (c.d. “single out”), il che equivale a impedire l’impiego di quei cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti e univoci. La struttura del cookie analytics, pertanto, dovrà prevedere la possibilità che lo stesso cookie sia riferibile non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve (di regola tale effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie ed impedendo la combinazione di tali dati con altre elaborazioni quali file dei clienti o statistiche di visite ad altri siti, ad esempio). Inoltre, precisa il Garante, l’uso dei cookie analytics dovrà limitarsi alla produzione di statistiche aggregate e, salvo che possano essere ricondotti ad un medesimo soggetto o gruppo imprenditoriale che procede in proprio senza travalicare i confini di un mero conteggio statistico, dovrà riferirsi ad un unico sito o ad un’unica applicazione, non essendo consentito il tracciamento della navigazione della persona che utilizza applicazioni o naviga in siti web diversi.

Inoltre, si ricorda che l’utilizzo di cookie analytics quali Google Analytics comporta un trasferimento di dati verso un Paese Terzo (gli USA)  al momento non ritenuto dall’UE sufficientemente garantista della protezione dei dati che, pertanto, richiede il consenso informato da parte dell’utente anche in tal senso (si vedano al riguardo la decisione del Garante Austriaco del 22 dicembre 2021, resa pubblica il 14 gennaio 2022, quella del Garante Francese del 10 febbraio 2022, secondo le quali è illegittimo il trasferimento senza consenso al fornitore USA dei dati dei naviganti quali gli indirizzi IP e gli ID univoci memorizzati nei cookie, nonché si vedano gli ultimi Provvedimenti di ammonizione del Garante Italiano a carico di Fastweb, Il Meteo e Caffeina Media S.r.l., e l’interessante contenuto delle FAQ del Garante Danese a proposito di Google Analytics 4 che potete trovare a questo link https://www.datatilsynet.dk/english/google-analytics).

Articolo a cura del Gruppo Pubblica Amministrazione del Comitato Scientifico di ASSO DPO