I cookies: perché non sono una priorità e lo saranno ancora in meno futuro
Negli ultimi anni si è assistito ad un notevole potenziamento delle attività di marketing e profiling basate sulla c.d. behavioural advertising (ossia la pubblicità comportamentale), che consente agli advertisers di presentare annunci targettizzati e personalizzati ai consumatori, raccogliendo informazioni circa il loro comportamento sui browser.
Tale attività – di per sé non illecita o vietata – comporta però molti rischi in termini di privacy e, pertanto, è stata oggetto di importanti provvedimenti e linee guida contenenti discipline di regolamentazione.
Tra i possibili strumenti a disposizione di imprenditori, aziende e professionisti per incrementare la loro “efficacia” sul web, sicuramente i più discussi sono i c.d. web cookies (d’ora in avanti anche solo cookie nella forma singolare).
Tuttavia i cookie – in particolare i cookie di profilazione ed i cookie analitici di terza parte, utilizzatissimi nella pratica – sono destinati a scomparire a fronte dell’entrata in vigore del GDPR e dei trend interpretativi che ne sono derivati.
Tanto che tra gli addetti ai lavori si parla sempre di più di “post third-party cookie era”.
MA COSA SONO I COOKIE?
Il cookie è un piccolo file di testo che viene memorizzato sul dispositivo dell’utente quando naviga su determinati siti web tramite l’utilizzo di un browser (come Google, Safari, DuckDuckGo, ecc.).
Si tratta quindi un marcatore temporaneo (così lo definisce anche il Considerando 30 del GDPR) che consente ai server di identificare l’utente e “ricordare” le informazioni ad esso riferibili.
I cookie sono stati inventati da Lou Montulli, che ha iniziato ad usarli nel 1994 per verificare se gli utenti avessero già visitato il sito web di Netscape (società di cui Montulli era ingegnere) e per consentire ai siti web di ricordare le preferenze degli utenti, in particolare memorizzando gli oggetti da acquistare su un dato sito internet.
Grazie alla loro sbalorditiva potenzialità i cookie sono stati fin da subito considerati “magici”, tanto da essere soprannominati “magic cookie”.
Tuttavia a partire dal 1996 i media hanno iniziato a denunciare potenziali minacce alla privacy, soprattutto a causa dell’abilità dei cookie di memorizzare i dati degli utenti a loro insaputa o, comunque, senza il loro consenso.
L’UTILIZZO DEI COOKIE È REGOLATO DALLA NORMATIVA EUROPEA?
Proprio al fine di tutelare gli utenti da simile ingerenza, il legislatore europeo ha modificato la Direttiva ePrivacy (Dir. 2002/58/CE) con la Direttiva 2009/136/CE, introducendo l’obbligo del consenso da parte dell’utente per l’installazione di cookie, oltre all’obbligo di informativa circa gli scopi del trattamento.
Tale norma è stata dunque denominata “cookie consent law”, proprio perché finalizzata a limitare l’utilizzo indiscriminato dei cookie da parte di fornitori di servizi dell’informazione.
Ebbene, nel 2016 è stato approvato il GDPR e tutto è cambiato.
Si è infatti iniziato a mettere in discussione i contenuti della Direttiva ePrivacy, e ancora di più le prassi in materia di cookie di profilazione e analitici di terza parte che si sono sviluppate con l’applicazione della Direttiva.
E ciò sino alla storica pronuncia della Corte di Giustizia nella causa Planet49 (ottobre 2019) ed alle modifiche alle Linee Guida sul consenso dell’EDPB (maggio 2020).
Si tratta di provvedimenti essenziali non solo per chiunque si occupi di privacy e data protection, ma anche per coloro che abbiano o gestiscano un sito web.
Cerchiamo quindi di vederli in sintesi.
LA PRONUNCIA DELLA CGUE LE LINEE GUIDA DELL’EDPB
La Corte di Giustizia, con la storica sentenza del 1 ottobre 2019, n. 673 pronunciata nel caso Planet49, ha in particolare statuito che:
- per l’attivazione dei cookie serva un consenso esplicito e specifico dell’utente del sito web e che tale consenso, pur potendo essere fornito tramite un click su una casella apposita, non può mai esprimersi per il tramite di una casella preselezionata per l’attivazione dei cookie
Quindi NO, non è lecita la pratica dell’opt-out, in base alla quale era consentito preselezionare i cookie non strettamente necessari e costringere l’utente a deselezionare una casella (preflaggata) per negare il proprio consenso.
b. il consenso all’utilizzo di cookie debba essere dato prima che l’utente possa proseguire con la navigazione sul relativo sito e in maniera specifica.
Perché questo aspetto è così importante? Per una semplice ragione: la Direttiva ePrivacy non definiva le modalità con cui l’utente potesse prestare il proprio consenso.
È stata così finalmente dichiarata l’illiceità della prassi che ammetteva la prestazione di un consenso implicito all’utilizzo dei cookie tramite il solo proseguimento sul sito, ad esempio lo scroll.
Prassi peraltro ritenuta valida per anni dal Garante italiano, il solo, a dirla tutta, ad averla ammessa nel panorama europeo.
Le statuizioni della CGUE sono poi state successivamente consolidate con le Linee Guida in materia di consenso al trattamento di dati personali adottate dall’European Data Protection Board (EDPB) il 4 maggio 2020.
N.B. Tali Linee guida costituiscono solamente versione leggermente aggiornata delle Linee Guida sul consenso del 28 novembre 2017.
Nello specifico l’EDPB si è concentrato su due aspetti fondamentali:
- la validità del consenso prestato dall’interessato nell’interazione con i c.d. cookie walls
L’EDPB ha affermato che «al fine di garantire la libertà del consenso, l’accesso ai servizi e alle funzionalità non deve essere condizionato al rilascio del consenso, da parte di un utente, alla memorizzazione delle informazioni o all’accesso ad informazioni già memorizzate nel suo terminale».
È stato così cassato l’escamotage di mescolare il consenso al trattamento dei dati personali con l’esecuzione di un contratto o la prestazione di un servizio per il quale i dati personali non fossero necessari.
Come anche la prassi di collocare uno script di blocco della visibilità di un contenuto salvo che fosse prestato il consenso ai cookie e al trattamento dei dati per i quali i cookie erano stati installati.
2. il fatto che azioni come lo scorrimento o un’attività simili dell’utente non soddisfino in nessun caso il requisito di un’azione chiara e affermativa richiesta per concedere il consenso ai cookie (in linea di continuità, quindi, con la pronuncia della CGUE).
Qualsiasi attività come scorrere scrollare un sito o sfogliarne le pagine non costituisce un’azione chiara e positiva, né sufficientemente inequivocabile, e quindi contrasta con le caratteristiche che (ormai lo sappiamo) deve avere il consenso ai sensi del GDPR.
Senza contare che questa modalità di acquisizione del consenso pone un problema rispetto alla regola generale che la revoca del consenso deve essere possibile con la stessa facilità con cui il consenso è stato prestato.
E QUINDI?
Tutto questo ha portato incisivi cambiamenti nella gestione dei siti web e dei cookie.
Tutte le cookie wall e i cookie banner sono stati aggiornati, ma – come detto – nonostante questo basta fare un piccolo giro online per constatare l’illiceità della maggior parte dei siti.
Premesso che, volenti o nolenti, è essenziale adeguare il proprio sito web ai principi fissati dalla Corte di Giustizia e dall’European Data Protection Board, è ormai sempre più evidente che i cookie sono destinati a scomparire.
Infatti il terreno già fortemente eroso dai provvedimenti che abbiamo visto sta letteralmente per crollare.
L’INEVITABILE DECLINO DEI COOKIE
I trend interpretativi di cui abbiamo parlato hanno trovato un diretto riscontro nella bozza del Regolamento ePrivacy attualmente in discussione, che sostituirà la Direttiva ePrivacy del 2002.
Si tratta di un provvedimento fondamentale, in quanto disciplinerà in modo uniforme la materia delle comunicazioni elettroniche e dei dati relativi al traffico e all’ubicazione.
E quindi ogni sito web soggetto alla normativa europea.
Con specifico riferimento al tracciamento online la bozza di Regolamento prevede che i siti web non dovranno più mostrare i pop up per il consenso dell’utente ai cookie, in quanto gli utenti – siano essi persone fisiche o giuridiche – dovranno prestare un consenso esplicito, accettando ciascun cookie implementato sul sito. Fatta eccezione solamente dei cookie tecnici e i cookie ad essi assimilati (sulla cui distinzione si veda il Provvedimento del Garante italiano dell’8 maggio 2014 e successivi chiarimenti).
Ciò implicherebbe, in pratica, che l’utente dovrebbe cliccare su tanti checkbox quanti sono i cookie, e che il sito dovrebbe invece “partire” in modalità cookie-free, dando per assunto il rifiuto generalizzato dell’utente alla loro implementazione.
Per evitare una simile possibilità (che dire farraginosa è dire poco), il Parlamento europeo ha proposto che siano gli utenti a modificare una tantum (ossia una volta sola) le impostazioni per il consenso/rifiuto ai cookie direttamente nelle impostazioni dei loro browser.
In questo modo sarebbe il browser a “modulare” i siti web visitati sulla base delle preferenze preimpostate, sollevando quindi l’utente da questa scelta.
Non occorre essere tecnici per comprendere gli effetti di simile proposta sull’ecosistema online (e questa è una delle concorrenti ragioni per le quali la bozza è in stallo da qualche anno).
Ed infatti non pare eccessivo affermare che con la bozza del Regolamento ePrivacy è stata sancita in maniera definitiva quella che sul web è chiamata “APOCALYPSE COOKIE”.
Infatti, anche se allo stato attuale il marketing e la profilazione online sono ancora disciplinati dalla Direttiva ePrivacy, la bozza di Regolamento costituisce un fondamentale parametro di conformità per i siti web del futuro.
E difatti i principali browser e gli altri Tech Giants hanno già iniziato ad adeguarsi, ad es. bloccando i cookie di terza parte, ovvero lanciando nuovi set di standard che consentano di tracciare gli utenti in modo più trasparente.
Basti pensare a Google, Safari e Firefox, che hanno avviato dei progetti volti a eliminare i cookie di terza parte e altre tecnologie analoghe (come ad esempio fingerprinting, cache inspections, ecc.) entro il 2022, introducendo il c.d. Privacy Sandbox.
L’intenzione di fondo è quello di transitare sempre di più verso un “ecosistema” in cui verranno utilizzati solamente dati anonimi e aggregati.
Di fronte a queste sostanziali modifiche, moltissimi imprenditori, aziende e liberi professionisti, che hanno basato la loro attività online proprio sui cookie, stanno cominciando a “sudare freddo” di fronte alla prospettiva di doverli progressivamente eliminare.
Ebbene, non occorre farsi prendere dal panico: le alternative cookie-free a disposizione di imprenditori, aziende e professionisti nella “post third-party cookies era” non sono di scarso rilievo.
Ciò che conta è iniziare sin da adesso a valutare un cambiamento strategico nelle politiche di gestione dei propri siti web, in modo da non farsi trovare impreparati ai cambiamenti epocali che ci attendono.
CONCLUSIONI
L’imminente futuro è già alle porte, un futuro basato su un nuovo approccio allaprivacy, sempre più trasparente e attento alla tutela dell’utente/consumatore.
Il mondo di internet come lo conosciamo oggi è destinato a cambiare sensibilmente e tutti coloro che hanno un sito web verranno colpiti in prima persona dal cambiamento.
Ma come implementare una cookie policy conforme al GDPR in questa fase di transizione?
E, soprattutto, quali sono le possibile alternative su cui conviene cominciare ad investire?
La tua azienda è pronta a gestire in maniera adeguata le soluzioni del futuro?
Per generare la tua Cookie Policy e tutti gli altri documenti obbligatori richiesti dal GDPR, richiedi maggiori informazioni sul sistema DATI360® Legal Suite, contattaci nella sezione specifica del sito oppure direttamente in Chat.
DATI360® è un marchio registrato nr.302019000004315 presso: