Cookie e privacy: le linee guida del garante

Durante la navigazione online, in particolare all’apertura di una pagina web, succede di imbattersi in una finestra nella quale viene indicato: “Questo sito utilizza i cookies. Utilizzando il nostro sito web l’utente dichiara di accettare e acconsentire all’utilizzo dei cookies.”

In questo articolo tratteremo questo argomento in maniera approfondita, analizzando i cookie per comprenderne la loro importanza e la loro funzione. Inoltre prenderemo in considerazione le linee guida del Garante, diventate operativa a partire dal 9 gennaio di quest’anno. Elencheremo infine le ulteriori indicazioni del Garante dedicate alle Pubbliche Amministrazioni per la creazione dei propri siti web.

Ma cosa sono i cookie?

Per prima cosa bisogna partire dalla definizione data proprio dal Garante secondo cui i cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi usati per la consultazione (computer, smartphone, tablet, smart TV, ecc.) per essere memorizzati e poi ritrasmessi agli stessi siti in occasione della visita successiva. Le informazioni contenute all’interno dei cookie possono includere dati personali (indirizzo IP, nome utente, identificativo univoco o indirizzo e-mail) e dati non personali (le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

I cookie, come anche gli altri strumenti di tracciamento, possono essere distinti in base alla loro durata in due diverse categorie:

1. I cookie tecnici, che vengono definiti come strumenti volti ad “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);
2. I cookie di profilazione, utilizzati invece per ricollegarsi a soggetti determinati, identificati o identificabili, a specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte.

A cosa servono?

L’utilità dei cookie è quella di monitorare le sessioni, memorizzare le informazioni riguardanti le specifiche caratteristiche degli utenti che accedono ai siti web. Questo permette ai singoli dispositivi di elaborare queste informazioni senza doverle reperire nuovamente.

I cookie vengono impiegati per tenere traccia dei dati reperiti durante la navigazione (ad esempio per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico).

Il loro utilizzo consente alle pagine web di caricarsi più velocemente e, inoltre, di incanalare le informazioni su una rete. Sempre attraverso i cookie è possibile trasmettere la cosiddetta pubblicità comportamentale (“behavioural advertising”) e misurarne l’efficacia del messaggio pubblicitario, ovvero conformando la tipologia e la modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

Cosa ci dice il Garante?

È di pochi giorni fa la notizia del via libera del Garante alle modalità finalizzate alla realizzazione e alla modifica dei siti web delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle “Linee guida di design per i siti internet e i servizi digitali della PA”.

Come la stessa Autorità afferma, la realizzazione delle linee guida è un’importante passo per offrire, ai titolari del trattamento e a tutti i soggetti coinvolti, informazioni utili che assicurano la protezione dei dati personali trattati nelle pubbliche amministrazioni nell’ambito dei siti web e dei servizi digitali, in conformità dei seguenti criteri:

• accountability;
• privacy by design e by default;
• informative trasparenti e chiare;
• rafforzamento del meccanismo di consenso.

L’accountability è uno dei principi base della privacy e del trattamento dei dati personali. Coinvolge aspetti quali l’affidabilità e la competenza nella gestione dei dati. Può essere quindi definita come l’insieme di misure giuridiche, organizzative e tecniche per la protezione dei dati personali. Attraverso l’adozione di politiche e misure adeguate l’accountability è una “garanzia” di un avvenuto trattamento in conformità alle regole.

Per privacy by design si intende che, la protezione dei dati personali, deve essere presa in considerazione dal principio, dalle prime fasi di progettazione fino all’ultimo utilizzo o trattamento. Privacy by default invece, indica che la raccolta dei dati deve essere attuata solo ed esclusivamente per le finalità per cui sono stati raccolti, vanno quindi rispettati i principi di minimizzazione dei dati e limitazione della finalità.

Per informative trasparenti e chiare si vuole indicare la necessità di avere un linguaggio il più semplice e coinciso possibile. Le informative inoltre devono essere presenti in multilayer: essere quindi disponibili in canali diversi, tramite l’utilizzo di pop-up informativi, interazioni vocali, assistenti virtuali, contatto telefono, chatbot, ecc.

Il meccanismo di consenso infine, è uno dei principi fondamentali delle nuove linee guida. È importante secondo il Garante, riuscire ad identificare uno strumento adatto alla raccolta del consenso per quello che riguarda i siti web. Il consenso all’impiego di cookie e altri strumenti di tracciamento, ai fini della sua validità, deve rispettare tutti i requisiti imposti dal Regolamento, al pari di una qualsiasi altra manifestazione di volontà dell’interessato circa il trattamento dei dati personali. Vi è quindi l’obbligo, in particolare, della dimostrazione da parte del titolare dell’avvenuta e corretta acquisizione del consenso.

Considerato il principio di accountability, non è ancora prevista alcuna misura specifica circa le modalità per assicurare l’adempimento dell’obbligo del consenso. È Il titolare a potersi quindi avvalere di un apposito cookie tecnico o all’individuazione di misure alternative.

Le integrazioni del Garante per i siti web delle PA

Per assicurare la conformità alle Linee guida al Regolamento e al Codice della Privacy, il Garante ha sottolineato l’importanza di alcune integrazioni, riferite in particolare alle pubbliche amministrazioni che realizzano i propri siti web.

Qualora vi sia un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che venga indicata ed attuata la valutazione d’impatto sulla protezione dei dati prima di procedere al trattamento. Inoltre, potrebbe essere indicata una consultazione preventiva dell’autorità. Ulteriori integrazioni riguardano le informazioni riguardo il trattamento dei dati personali, che devono essere formulate in un linguaggio semplice e chiaro, soprattutto se riguardano informazioni destinate ad un pubblico di minori. Devono essere quindi coincise, trasparenti e facilmente accessibili.

Un’attenzione maggiore deve essere data ai cookie e ai sistemi di tracciamento: sarà necessario richiamare le Linee guida del Garante assicurando comunque la fruibilità del sito o del servizio digitale anche quando l’utente non intende accettare l’archiviazione d’informazioni sul proprio dispositivo o l’accesso alle informazioni archiviate.

È compito delle pubbliche amministrazioni valutare attentamente quanto sia necessario fare ricorso a questi strumenti di tracciamento rispetto alle finalità perseguite e indicare nell’informativa l’utilizzo dei cookie o di altri identificatori. Per quanto riguarda i servizi di hosting o cloudcomputing, che vengono forniti da soggetti esterni e dei quali la PA è titolare, qualora i suddetti siano stabiliti in Paesi esteri, occorre rispettare le regole per il trattamento dei dati personali in tali Paesi.