Cosa sono i cookie, perché si deve acquisire il consenso. Quali sono le indicazioni dei Garanti Ue e chiarimenti dall'autorità ICO sulla modalità di espressione del consenso alla luce del Gdpr.

I cookie sono file di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale.

Proprio grazie ai cookie, il sito ricorda le azioni e le preferenze dell’utente. Ciò che è importante chiarire sin d’ora è che i cookie tecnici, cioè quelli che migliorano l’esperienza di navigazione, non necessitano del preventivo consenso dell’interessato/utente prima di essere “serviti”, mentre i cookie di profilazione, cioè quelli che analizzano le preferenze e abitudini degli utenti, al contrario, possono essere “serviti” solo ove l’utente abbia espresso il proprio consenso, previo rilascio, in entrambi i casi, dell’informativa affinché tale consenso possa dirsi effettivamente informato (cfr. art. 5(3) Direttiva ePrivacy 2002/58/CE così come modificata nel 2009).

Il Garante nel Provvedimento dell’8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” si è occupato delle modalità di acquisizione del consenso online ai cookie, coniugando la necessità di acquisirlo in modo espresso e specifico, con quello di rendere previamente l’informativa.

Naturalmente, dell’avvenuta prestazione del consenso, il titolare del trattamento deve procurarsene la prova, eventualmente attraverso un apposito cookie tecnico di memorizzazione del consenso. Del pari, la stessa Direttiva ePrivacy stabilisce la necessità di acquisire il consenso per la memorizzazione e l’accesso ai cookie prima che il trattamento dei dati abbia inizio, e lo stesso articolo 5(3) della Direttiva ePrivacy poc’anzi citato, contempla espressamente il solo consenso quale base giuridica.

Prospettiva ICO

ICO chiarisce che qualsiasi cookie sia necessario per l’esecuzione del contratto richiesto dall’utente non necessita di consenso, esattamente come non necessita di consenso il trattamento dei dati personali se ciò avviene, appunto, in esecuzione di un contratto con ciò ponendo un veto per i cookie “non essenziali”.

Si può comprendere dunque come l’evoluzione normativa che sta venendo alla luce impatterà sul settore delle tecnologie, ma anche sugli operatori di mercato che vogliono assettare i propri siti in modo compliant alla normativa, per evitare il rischio di incorrere in sanzioni. L’obiettivo delle linee guida sui cookie, ha chiarito ICO, è quello di allineare perfettamente la normativa sui cookie a quanto previsto dal Regolamento, ed in particolare allo standard di consenso ivi previsto.

Addio al consenso implicito 

Addio quindi al consenso implicito: gli utenti, con riferimento ai cookie non essenziali, devono dare un consenso esplicito. Gli utenti devono poter avere il controllo sui cookie che vengono serviti al momento della loro visita sulla pagina web.

Ma quali cookie rientrano tra quelli non essenziali e quindi necessitano di consenso esplicito? Sono i cookie analitici, quelli utilizzati a fini di marketing e pubblicità.

Si tratta di un cookie wall. Ossia un banner che informa l’utente dell’uso dei cookie, configurato in modo tale che quest’ultimo, fintanto che non acconsenta esplicitamente all’uso dei cookie non essenziali, non dovrebbe poter avere accesso al contenuto del sito. Insomma,  una misura anticipatoria rispetto a quello che l’ePrivacy Regulation introdurrà: saranno direttamente i browser a fare da gatekeeper dei tracciamenti dei siti.

Chiarisce ICO inoltre, che i disclaimer presenti sul web, ove si assume che l’utilizzo del sito comporta accettazione dei cookie (analitici), non valgono a surrogare il consenso esplicito richiesto dalla normativa, e non vale quindi a dirsi compliant alla normativa.

Quindi non saranno più validi i “click fuori dal banner” e scroll!