Sono anni ormai che si sta attendendo l’emanazione del sempre dibattuto nuovo Regolamento E-Privacy che a livello Europeo doveva integrare l’ormai noto GDPR e completare il panel di norme di riferimento in materia di privacy. Ma nonostante la tecnologia corra e il tempo anche, il regolamento E-Privacy ancora non si sa quando sarà ufficiale e allora alcuni Garanti nazionali hanno deciso di emanare delle proprie linee guida che vanno a superare la previgente normativa ormai datata. Quindi, anche se il regolamento E-privacy ancora non è stato pubblicato, è bene tenere a mente questi ultimi indirizzi perchè saranno sicuramente un buon riferimento per gestire correttamente i cookie sui nostri siti in attesa di indicazioni ufficiali. Vediamo quindi quali sono i punti fermi.
Innanzitutto il consenso
Nella direttiva E-Privacy attualmente in vigore (Direttiva 2002/58/CE), che si rifà alla Direttiva 95/46/CE, si considerava l’operazione di “scrollare la pagina” quale effettiva prestazione di consenso da parte dell’utente. Ora però il GDPR ha definitivamente abrogato la direttiva 95/46/CE e questo determina che il consenso per l’installazione dei cookie deve possedere le stesse caratteristiche pretese dal GDPR (art.4), ossia deve essere libero, specifico, informato e inequivocabile e dev’essere rilasciato dall’interessato mediante dichiarazione o azione positiva inequivocabile. E per questo molti Garanti Nazionali non permettono più di considerare comportamenti passivi (quali quelli di proseguire con la lettura della pagina) quali dimostrazione di consenso.
Vediamo i nuovi orientamenti
In generale confrontando le opinioni di diversi Garanti (Spagnolo, Francese, Inglese e Tedesco) si capisce che le definizioni di base, e quindi il campo di applicazione, differiscono da nazione a nazione. Ad esempio la distinzione tra cookie di prima e terza parte non è sempre contemplata, come anche la necessità di consenso nel caso di cookie analitici o di identificazione della durata massima per il consenso dell’utente. Ci sono anche pareri diversi in merito alla fruibilità del servizio (quindi l’accesso al sito) in caso di rifiuto nel rilascio del consenso o nella possibilità di adottare la cosiddetta “cookie wall”.
Tutti hanno però espresso la necessità di fornire informativa semplice, chiara, immediata, accessibile, completa e preventiva all’installazione dei cookie (tranne nei casi di esplicita esclusione, come i coookie tecnici). Non vi è dubbio poi che sicuramente il consenso dev’essere richiesto in presenza di cookie di profilazione e di retargeting o remarketing e la modalità di rilascio di tale consenso dev’essere collegata ad un’azione positiva dell’utente, quindi lo scroll della pagina, le caselle preselezionate, le procedure di opt-out non costituiscono un strumento idoneo a questo scopo.
E intanto in Italia…
Al momento il Garante italiano non ha ancora aggiornato la sua posizione e l’impostazione attualmente in vigore (risalente al 2014) prevede innanzitutto un’informativa su più livelli: un banner sintetico iniziale che riporti le informazioni essenziali sull’imminente trattamento dei dati con la possibilità di trovare approfondimenti di dettaglio in una cookie policy apposita, linkata al banner. Con un chiarimento del 2015 il Garante equiparava inoltre l’operazione di “scroll” a quella di un consenso esplicito dell’utente qualora questo fosse “chiaramente esplicitato nell’informativa e l’operazione generasse un evento registrabile e documentabile presso il server del gestore del sito (prima parte) che potesse essere qualificato come azione positiva dell’utente”. Ma tale approccio è ancora applicabile?
In conclusione
Se è vero che siamo ancora in attesa del testo ufficiale della nuova Direttiva E-Privacy (che doveva essere pubblicato insieme al GDPR nel 2016) è anche vero che l’indicazione dei trattamenti che necessitano di consenso e le modalità per il rilascio del consenso sono state chiaramente indicate nel Regolamento GDPR e non si può non tenerne conto quando si tratta di cookie, soprattutto se di profilazione e di retargeting o remarketing. Pertanto, in quest’ultimo caso, il suggerimento generale è quello comunque di adottare degli strumenti di gestione dei cookie che permettano di raccogliere in modo inequivocabile e preventivo il consenso dell’utente, nell’attesa che la nuova Direttiva E-privacy definisca dei criteri ufficiali e al passo con la tecnologia.
Lascia un commento