Web, cookies e tracciamenti: un importante passo in avanti

Lo scorso 10 giugno il Garante per la Privacy ha emanato le nuove linee guida sull’utilizzo dei cookies e degli altri sistemi di tracciamento. Il provvedimento è stato pubblicato in Gazzetta Ufficiale il 9 luglio.

Entro la prima decade di gennaio 2022 i titolari dei siti e dei servizi web dovranno adeguarsi. Le novità interessano i molteplici operatori del web, coinvolti a vario titolo e a vari livelli: dai titolari e/o gestori di un sito amatoriale, a quelli del portale più evoluto e articolato con giornaliero accesso di milioni di utenti.

Le nuove linee guida sono molto rigorose, individuando nuovi parametri per il rilascio del consenso volto all’utilizzo da parte dei titolari dei siti – ovvero di parti terze – di cookies di profilazione e/o di altri sistemi di tracciamento. Cioè di quei file (in genere, righe di testo) scaricati nel browser dei nostri terminali fissi e mobili, che raccolgono informazioni sulle abitudini di navigazione degli utenti.

Per effetto del provvedimento, il sito deve essere impostato di default per lo scaricamento dei soli cookies tecnici (quelli che ne consentono il semplice funzionamento e che non sono funzionali alla raccolta dei dati dell’utente) e deve essere comunque visitabile dall’utente: di conseguenza, il cosiddetto cookies wall (cioè l’inibizione all’accesso dell’utente in mancanza di previo consenso allo scaricamento dei cookies «commerciali») non è più consentito come strumento di raccolta del consenso. Il quale deve essere peraltro esplicito, inequivoco e positivamente espresso, oltre che documentabile: il semplice scrolling sul sito (scorrere l’home page dall’alto in basso) non è più sufficiente, così come non è valido il consenso espresso mediante pre-selezione di una casella di autorizzazione (che così compaia all’accesso al sito) al quale si abbini la richiesta all’utente di «deflaggare» (pardon!) la stessa casella per negare il consenso.

Il banner sui cookies contenente l’informativa sintetica che compare all’accesso di ogni sito deve consentire all’utente di accettare agilmente i cookies per categorie (attualmente, nella prassi suddivise in «cookies tecnici», «cookies funzionali», e «cookies di profilazione»), risultando pertanto superata la necessità di far scorrere l’ostico, infinito e poco comprensibile elenco dei cookies, anche di terze parti, e che, in passato, compariva quando, a seguito della apparizione del banner sintetico, si cliccava la casella volta ad acquisire più informazioni invece di scegliere quella, poco rassicurante ma assai più sbrigativa, «accetta tutto».

Queste rilevanti novità fanno il paio con l’applicazione dei principi di privacy by design (cioè dalla progettazione) e di privacy by default (cioè per impostazione predefinita) che – in omaggio al Gdpr – regolano la privacy sul web e obbligano il titolare del trattamento ad assumere le decisioni sulle scelte di business, tenendo in primaria considerazione anche la legittimità e l’organizzazione dei trattamenti di dati personali che tali scelte implicano. Principi funzionali a una piena (e sotto certi profili farisaica, ma comunque ragionevole) responsabilizzazione degli operatori.

Queste nuove regole integrano una prima, ma auspicabile e auspicata, rivoluzione della regolamentazione sulla navigazione online. Un provvedimento capace di mettere all’angolo quel tanto silenzioso quanto potente strumento di profilazione che da più di vent’anni spopola arrogante nella rete e che, almeno sin qui, poteva di fatto essere escluso solamente adottando sistemi di protezione tecnica come ad esempio la navigazione in incognito. Un provvedimento che richiede senz’altro ai titolari dei siti una nuova attivazione, ma che, se correttamente applicato e fatto applicare, risolverà un primo problema al quale il popolo del web (cioè noi tutti) era esposto.

Se, come ora è possibile e tecnicamente facile, gli utenti daranno il loro consenso allo scaricamento di soli cookies tecnici, non si ritroveranno, navigando, gli annunci pubblicitari o mail con prodotti magari ricercati on line il giorno prima. Poco rilevante? Non credo, è la cartina di tornasole del superamento di trattamenti silenziosi di ben altra portata e un primo passo verso un web veramente democratico ed evoluto. I posteri, possibilmente non algoritmici, renderanno la non ardua sentenza.

Scarica articolo in PDF

Laureato all’Università di Pavia nel 1994, è entrato a far parte dello Studio nel settembre 1996, divenendo partner nel 2003. Iscritto all’ordine degli Avvocati di Milano dal 1998, si occupa prevalentemente di problematiche bancarie, finanziarie, contrattuali e societarie, e delle intersezioni applicative in tema di privacy, di e-business e di finanziamento alternativo alle imprese innovative (equity crowdfunding).