Il nuovo Regolamento europeo sulla privacy influenzerà anche l’attuale normativa sui cookies (“Cookie Law”), che verrà meglio specificata dal futuro Regolamento “relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (“e-Privacy”), in corso di approvazione. Alcune considerazioni sulla relazione tra cookies e GDPR.
Il nuovo Regolamento europeo, visto nel nostro post precedente, dice molto poco su problematiche direttamente tecniche, volendo dare delle linee guida generali piuttosto che delle regole pratiche, che molto probabilmente verranno meglio chiarite dalle autorità competenti nei prossimi mesi, in particolare con il nuovo Regolamento sulla e-Privacy, ancora in via di definizione.
I cookies infatti sono nominati esplicitamente una volta sola dal GDPR, nel Considerando 30: “Le persone fisiche possono essere associate a identificativi online […] quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo […] Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
Per il Considerando 26, infatti, “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile”. Perciò, se un cookie può identificare una persona fisica, da solo o tramite incrocio di dati, esso è considerato “dato personale”. Lo stesso considerando però precisa: “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime […] o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”.
La disciplina italiana sui cookies, ed in particolare quella operativa dal 3 giugno 2015, che fino all’entrata in vigore del nuovo Regolamento sulla e-Privacy continua ad applicarsi per le parti compatibili con il GDPR, parla di:
1) cookies tecnici: quelli essenziali per la navigazione e la fruizione dei servizi del sito;
2) cookies di profilazione: quelli che generano un profilo dell’utente tracciandone la navigazione;
3) cookies di terze parti: cookies scaricati attraverso l’utilizzo da parte del sito di servizi esterni.
Poiché il GDPR considera l’indirizzo IP come un “identificativo”, i cookies di profilazione, che tracciano la navigazione dell’utente grazie al suo indirizzo IP, rientrano anche nell’ambito di applicazione del GDPR. Cookies di terze parti che consentono profilazione non sono solo quelli delle pubblicità mirate. Anche i cookies analitici sono considerati cookies di profilazione, a meno che non vengano anonimizzati, ossia venga “mascherato” l’indirizzo IP dell’utente, come già specificato dal Garante per la Privacy.
Al Considerando 32 il GDPR recita: “Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”. Questa considerazione vale senz’altro anche per i cookies.
Il GDPR verrà affiancato e integrato dal nuovo Regolamento sulla e-Privacy in corso di approvazione, che al Considerando 23 è più esplicito sui “marcatori” (cookies), preannunciando una normativa più restrittiva rispetto a quella vigente: “Gli utenti finali dovrebbero avere a disposizione un insieme di opzioni di impostazione della vita privata comprese fra la più restrittiva (per es. “non accettare mai marcatori”) e la meno restrittiva (per es. “accetta sempre i marcatori”) e una posizione intermedia (per es. “rifiuta i marcatori di terzi” o “accetta solo i marcatori di prima parte”)”.
L’assenso ai cookies che registrano l’indirizzo IP e tengono traccia della navigazione dovrà essere infatti libero, specifico, informato e non ambiguo (Considerando 32 e Art. 4 GDPR). Questo significa soprattutto che l’utente dovrà avere la possibilità di entrare nel sito anche senza accettare i cookies non essenziali: cioè non si potrà più “barattare” l’accettazione dei cookies con l’accesso al sito.
L’utente dovrà avere la possibilità di selezionare i tipi di cookies che accetta di scaricare: ad esempio “solo cookies tecnici”, “cookies tecnici ed analitici”, “tutti i cookies” (anche quelli di profilazione).
La modalità di rifiuto dovrà essere altrettanto facile di quella di assenso. Sono perciò proibite le caselle pre-selezionate, come vuole la “privacy by default”, e le caselle nascoste.
L’utente deve anche poter revocare il suo consenso ai cookies in ogni momento e in modo altrettanto facile. Anche la possibilità di revoca deve essere perciò immediatamente ritrovabile e non nascosta.
L’informativa estesa sarà molto più dettagliata, dovendo contenere i riferimenti ai cookies scaricati, il riferimento ai responsabili del trattamento dei dati e i link alla “privacy policy” delle terze parti.