Lo scorso 9 luglio 2021 il Garante Privacy ha reso pubbliche le “Linee guida cookie e altri strumenti di tracciamento, già approvate il 10 giugno 2021, alle quali i gestori dei siti dovranno adeguarsi entro il 9 gennaio 2022.

Con questo provvedimento l’Autorità ha fornito importanti indicazioni in merito alla disciplina dei cookie e alle relative informative che i gestori dei siti web dovranno fornire agli utenti.

Il Garante ha però soprattutto chiarito definitivamente quali siano le basi giuridiche che rendono lecito il trattamento dei dati personali degli utenti per finalità di tracciamento delle attività sul web, ai sensi dell’art. 6 del GDPR (Reg. UE 2016/679).

Vediamo ora se ed in quali ipotesi sia consentito ai gestori dei siti effettuare un tracciamento degli utenti mediante cookie basati sul legittimo interesse, senza ottenerne il consenso.

La definizione di legittimo interesse nel GDPR

Come anticipato, il legittimo interesse del titolare rientra tra le basi giuridiche che, ai sensi del GDPR (art. 6, lett. f), rendono lecito il trattamento dei dati personali, a condizione che tale interesse non prevalga sui diritti e sulle libertà dell’interessato.

Nel mondo del web marketing, dove l’utilizzo di cookie (soprattutto quelli analitici e di profilazione) costituisce uno strumento utile per analizzare i comportamenti degli utenti e crearne dei profili al fine di personalizzare gli annunci pubblicitari, i gestori dei siti web hanno spesso fatto ricorso all’ “escamotage” del legittimo interesse per evitare di richiedere il consenso dei visitatori per ogni singola attività di tracciamento.

Purtroppo, tale attività non costituisce solo un mero diversivo, ma va a configurare una vera e propria violazione delle disposizioni del GDPR e della Direttiva 2002/58/CE (c.d. Direttiva ePrivacy), che può esporre i gestori a provvedimenti sanzionatori da parte delle Autorità nazionali.

La diffusione dell’uso del legittimo interesse circa i cookie

Questa prassi si è instaurata anche in virtù dell’ambiguità del GDPR circa il trattamento dei dati personali nelle attività di marketing diretto.

In particolare, al considerando 47 del GDPR, si legge espressamente che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, senza però chiarire ulteriormente se le attività di profilazione mediante cookie possano rientrare nelle ipotesi di marketing diretto.

Sfruttando tale “zona grigia”, come accennato, moltissimi titolari del trattamento hanno scelto di bypassare la richiesta del consenso degli utenti/interessati impostando di default il legittimo interesse come base giuridica per l’utilizzazione dei cookie di profilazione.

Questa attività “subdola” di raccolta di dati personali ha destato non pochi dubbi non solo in capo ai consumatori, ma anche alle Autorità Garanti nazionali. L’utilizzo di cookie basati sul solo legittimo interesse del titolare lascia infatti intendere che gli utenti non siano stati correttamente informati circa il tracciamento compiuto sui dispositivi usati per la navigazione.

Il framework IAB ha facilitato la prassi di bypassare il consenso degli utenti

Di certo, sotto questo profilo, il Transparency and Consent Framework dello IAB (Interactive Advertising Bureau – un’importante associazione di operatori del digital marketing), nella sua ultima versione, ha fortemente contribuito alla prassi di impostare il legittimo interesse come base giuridica di default in ambito cookie.

Il Framework IAB, infatti, seppur diffuso con il nobile intento di consentire ai titolari del trattamento di fare affidamento su una serie di fornitori aderenti a regole comuni, ha di fatto dato il via ad un’attività incondizionata di profilazione e tracciamento mediante cookie “giustificata” solo sulla base del legittimo interesse.

Semplificando, tramite lo strumento fornito dallo IAB, i fornitori di servizi di tracciamento aderiscono al Framework specificando le basi giuridiche per le singole finalità di trattamento dei loro cookie e forniscono un apposito banner, che a sua volta il gestore del sito sottoporrà all’attenzione degli utenti.

Purtroppo, la maggioranza dei cookie banner predisposti in adesione al Framework IAB, oltre alla base giuridica del consenso liberamente selezionabile dagli utenti, prevedono la base giuridica alternativa del legittimo interesse, impostata di default per le ipotesi in cui non sia stato prestato il consenso per determinate finalità.

Cookie policy e legittimo interesse. Come mettere a norma il proprio sito.

Un esempio di cookie policy che richiama il legittimo interesse

Risulta evidente, pertanto, che anche tale pratica dovrà essere integralmente rivista, modificando i cookie banner ed eliminando la possibilità che venga impostato il legittimo interesse come base giuridica di default per l’utilizzo di cookie non tecnici.

L’intervento del Garante Privacy

Sulla scorta delle preoccupazioni sollevate dalle rappresentanze dei consumatori, l’Autorità Garante nazionale ha avviato  una consultazione pubblica per adeguare le preesistenti linee guida in materia di cookie all’evoluzione degli strumenti informatici di tracciamento degli utenti del web. Come detto, tale consultazione si è conclusa con il Provvedimento del Garante n. 231 del 10 giugno 2021, contenente le nuove linee guida sugli strumenti di tracciamento.

Riguardo alla scelta del legittimo interesse come base giuridica per tali finalità di trattamento, il Garante è stato perentorio: l’utilizzo di cookie di profilazione impone l’ottenimento del consenso degli interessati.

L’Autorità ha chiarito che, se per l’utilizzo di cookie e altri identificatori tecnici, indispensabili per il funzionamento del sito, il titolare avrà il solo obbligo di fornire un’adeguata informativa agli interessati, lo stesso non potrà dirsi per gli strumenti di tracciamento per finalità diverse da quelle tecniche, i quali potranno essere utilizzati esclusivamente previa acquisizione del consenso.

E attenzione: il consenso dovrà essere indicato come “non prestato” di default al momento dell’apertura del c.d. cookie banner. Sarà quindi necessaria un’espressa attività materiale dell’utente che dovrà esplicitamente prestare il proprio consenso al trattamento dei propri dati.

Il Garante ha precisato che in materia di cookie, infatti, la normativa ancora applicabile (poiché norma speciale prevalente sulla disciplina generale dettate dal GDPR) è quella dettata dall’art. 122 del Codice Privacy, che a sua volta ha recepito la disciplina della Direttiva ePrivacy. L’art. 122 prevede che l’archiviazione delle informazioni nei dispositivi di un utente sia consentita a condizione lo stesso abbia espresso il proprio consenso informato.

Con tale precisazione l’Autorità ha inteso chiarire, una volta per tutte, che i titolari non potranno più invocare il legittimo interesse come base giuridica giustificativa di un trattamento dei dati effettuato senza il consenso degli interessati.

Come adeguarsi alle nuove linee guida cookie

Le indicazioni del Garante sono inequivocabili: i gestori dei siti web che intendano effettuare attività di tracciamento mediante l’utilizzo dei cookie dovranno ottenere lo specifico consenso degli utenti.

Il Garante ha inoltre stabilito che, una volta prestato o negato il consenso, tale scelta debba essere registrata dal gestore e che non possa essere riproposto il cookie banner nei 6 mesi successivi.

Tale limite non è previsto nelle sole ipotesi in cui siano mutate le condizioni del trattamento dei dati personali, oppure non sia possibile, per il gestore del sito web, avere contezza del fatto che un cookie sia già stato memorizzato nei propri sistemi.

Eliminare il legittimo interesse dalla cookie policy

Da un punto di vista strettamente pratico, sarà necessario rivedere integralmente le modalità di raccolta del consenso, preferibilmente eliminando la voce “legittimo interesse” dalle basi giuridiche che autorizzano il tracciamento mediante cookie non tecnici.

Per garantire piena trasparenza e libertà di scelta degli utenti, il gestore del sito web, al momento dell’accesso, dovrebbe presentare un cookie banner che consideri di default come negato il consenso, con la possibilità per gli utenti di cambiare le proprie preferenze con un’attività positiva, esplicita ed informata (opt–in).

Al riguardo, il Garante ha evidenziato l’inadeguatezza dello scrolling, ovvero il semplice scorrimento della pagina web, come attività idonea di per sé a fornire una valida manifestazione del consenso.

Cookie policy e legittimo interesse. Come mettere a norma il proprio sito.

Un esempio di cookie policy che non prevede di default il legittimo interesse

Nell’esempio riportato, la voce relativa al legittimo interesse non è “spuntata” di default, richiedendo comunque un’approvazione dell’utente. È sicuramente una scelta più vicina a quanto disposto dal Garante privacy, ma una trasparenza ottimale richiederebbe l’integrale cessazione dell’uso di cookie basati sul legittimo interesse.

Le altre cose da controllare

Attenzione però: queste semplici accortezze potrebbero non essere sufficienti a garantire una piena aderenza alle nuove linee guida, che richiedono un’integrale revisione delle attività di tracciamento delle attività sul web, in termini di informativa, di trasparenza, di fruibilità dei servizi e di scelta dei fornitori.

Per ulteriori consigli pratici su come adeguare la tua cookie policy alle nuove indicazioni del Garante privacy, consulta l’apposita guida di SmartIUS!