[GDPR e Cookies] Il (falso) mito del registro dei consensi

Venerdì 10 dicembre 2021 divenivano operative le indicazioni contenute nelle Linee Guida cookie e altri strumenti di tracciamento approvate a giugno dello scorso anno dal Garante per la Protezione dei Dati Personali, a seguito di una specifica consultazione pubblica.

Tra le novità principali introdotte, per i titolari del trattamento che vogliano utilizzare cookies di tracciamento, il Garante ha definito la necessità di richiedere e raccogliere il consenso in modalità conformi ai principi di cui al Reg. (UE) 2016/679: la richiesta di consenso dovrà quindi essere preceduta da specifiche informazioni relative alle tecnologie traccianti utilizzate, e soprattutto l’acquisizione del consenso come inequivocabile e specifico fa sì che esso debba essere anche dimostrabile.

È proprio con riferimento alla dimostrabilità dell’acquisizione del consenso che si è assistito, nell’ultimo periodo, ad un proliferare di strumenti di gestione automatizzata (chiamati “registri del consenso cookies”) che promettono da soli di rendere i siti internet conformi alle nuove previsioni. L’utilizzo di tali sistemi da soli però, senza un’attenta analisi del sito e in assenza di un sistema di controllo continuativo, rischia di violare le stesse Linee Guida e l’art. 7 Reg. (UE) 2016/679.

La necessità di raccogliere e rendicontare il consenso per i cookies di tracciamento

Tra le novità più dirompenti del nuovo provvedimento dell’Autorità troviamo non tanto la necessità di richiedere il consenso per l’utilizzo di cookies di tracciamento o di profilazione, quanto più le modalità di richiesta e rendicontazione di tale consenso: il consenso dovrà essere richiesto attraverso un banner ben distinguibile dalla pagina web, che dovrà offrire anche agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati (ad esempio chiudendo il banner cliccando sulla caratteristica “X” da inserire in alto a destra).

La finestra, oltre all’indicazione che il sito utilizza dei cookies e il richiamo al link della privacy policy che dovrà contenere la specifica cookies policy del sito, dovrà dunque prevedere:

  • il menzionato comando (es. una X in alto a destra) per chiudere la finestra senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso;
  • l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Considerato poi che ai sensi dell’art. 7 GDPR il consenso al trattamento deve essere informato, libero, inequivocabile e specifico, i titolari del trattamento dovranno essere in grado di dimostrare la coerente predisposizione dei loro siti internet, identificando corrette modalità di richiesta ed acquisizione del consenso per l’utilizzo dei cookie di tracciamento, consenso che dovrà quindi essere dimostrabile. I caratteri di inequivocabilità e specificità del consenso hanno fatto sì che taluni meccanismi siano stati definitivamente identificati come illegittimi dal Garante Privacy (si pensi al meccanismo dello scrolling, del cookie wall o della reiterazione continua del banner) ed hanno reso necessario interrogarsi sulle modalità effettive di rendicontazione dei consensi acquisiti.

Il registro dei consensi cookies, uno strumento non conforme se utilizzato da solo

A tal proposito, si è recentemente instaurata la prassi della generazione di un registro dei consensi, strumento che dovrebbe essere in grado di gestire automaticamente il consenso per i cookies di tracciamento memorizzando le scelte degli utenti nel momento della visualizzazione del banner; tale strumento rischia, però, di invalidare le finalità delle Linee Guida per ciò che concerne la gestione effettiva di tali tecniche di tracciamento, in quanto non permette di tenere conto di diversi fattori (identificati nelle linee guida ICO, ad esempio) quali gli aggiornamenti di contenuti e funzionalità degli strumenti di tracciamento utilizzati: in alcuni casi l’utente potrebbe dover “riconsentire” alle impostazioni dei cookie, ad esempio nel caso in cui il sito web stia impostando cookie non essenziali di una nuova terza parte senza curarsi di annullare i consensi già raccolti o non provveda alla corretta categorizzazione di nuovi cookie di profilazione nel banner. Ed è esattamente questa la finalità principale del provvedimento, ovverosia quella di permettere il controllo costante ed effettivo, da parte degli utenti, sulla gestione dei propri dati di navigazione, durante la navigazione stessa: laddove muti il contesto, l’utente dovrebbe esserne reso partecipe, con la possibilità, ancora una volta, di acconsentire o meno all’installazione di tali tecnologie traccianti.

Non si tratta, dunque, di gestire un adempimento meramente compilativo, ma di provvedere a un’attenta analisi dei cookies presenti nel sito web e di conseguenza di gestire correttamente gli obblighi di informativa e richiesta del consenso, come previsto dal GDPR. In particolare, il gestore dovrà essere in grado in ogni momento di spiegare con linguaggio semplice le funzionalità di ogni singola tecnologia tracciante adottata, e solo in un secondo momento dovrà provvedere alla registrazione dei consensi che dovranno quindi essere coerenti con le tecnologie utilizzate e con le informazioni che il titolare del trattamento fornisce all’utente in relazione alle tecnologie stesse.

Il registro dei consensi appare così, se utilizzato da solo e in modo automatizzato, uno strumento non conforme rispetto alle previsioni del provvedimento, e dunque la sua tenuta sottratta da ogni altra necessaria e preventiva valutazione una condotta da evitare, in quanto sanzionabile.

Non solo, la gestione del registro dei consensi che prescinda da una preventiva analisi sui cookies adottati o eventualmente successivamente integrati determinerebbe l’identificazione di un timestamp della non conformità del sito.

La gestione della sola rendicontazione dei consensi, senza una coerenza degli stessi con le possibili modifiche adottate dal sito, violerebbe le Linee Guida e implicitamente l’art. 7 GDPR in merito al consenso informato.

Spunti operativi: i consigli di CNIL per l’acquisizione e la rendicontazione del consenso

In questo contesto, il CNIL ha recentemente identificato alcuni meccanismi che dovrebbero essere tenuti in considerazione all’atto della progettazione del sito internet e dell’installazione dei cookie; l’analisi degli spunti resi dall’Autorità Francese indicano ancora una volta come, affianco allo strumento tecnico di registrazione del consenso, debbano trovarsi delle procedure di controllo per la rendicontazione e dimostrazione dello stesso. Si ricordano, in particolare, gli spunti per l’acquisizione del consenso:

  • La registrazione delle informazioni che consentono di tenere adeguatamente traccia del consenso potrebbe essere effettuata a livello di meccanismo di raccolta del consenso, ovvero il tracker nel caso di un browser Web o il parametro utilizzato per memorizzare le informazioni sul consenso nel caso di un’applicazione mobile, ecc.
  • I dati registrati potrebbero includere un timestamp del consenso, il contesto in cui è stato raccolto il consenso (identificazione del sito Web o dell’applicazione mobile), il tipo di meccanismo di raccolta del consenso utilizzato e le finalità a cui l’utente ha acconsentito.

Tra le procedure per dare prova, poi, della corretta acquisizione, CNIL indica le seguenti:

  • La prova della validità del consenso può essere ottenuta inserendo il codice utilizzato dalla società che raccoglie il consenso, per le diverse versioni del suo sito o della sua applicazione mobile, in un deposito gestito da una terza parte;
  • È possibile conservare uno screenshot del rendering visivo visualizzato su un dispositivo mobile o desktop per ciascuna versione del sito o dell’applicazione;
  • È possibile, e consigliabile, svolgere audit periodici dei meccanismi di raccolta del consenso implementati dai siti o dalle applicazioni da cui viene raccolto il consenso.

Conclusioni: la necessità di una strategia di gestione del sito internet

Nell’attesa della creazione di una libreria formale dei cookie e delle tecnologie traccianti, che permetta di identificare l’uso di cookie diversi per ciascuna finalità distinta senza ingenerare confusione negli utenti e permettendo la garanzia quindi di un consenso inequivocabile (perché consentirebbe la distinzione precisa del meccanismo tracciante in uso, senza confonderlo con altri strumenti), sarà necessario affrontare il tema della rendicontazione dei consensi in modo concreto, tenendo conto dello scopo effettivo delle Linee Guida.

Si tratterà di analizzare la struttura del sito e identificare le tecnologie traccianti utilizzate caso per caso, di fornire le informazioni necessarie per poter acquisire un consenso informato, e di individuare una modalità tecnica di acquisizione del consenso che ne permetta la rendicontazione, ma anche che permetta la modifica delle impostazioni del consenso da parte dell’utente laddove decida di revocarlo, ad esempio, e che consenta di modificare le impostazioni di consenso laddove il titolare del trattamento decida di utilizzare nuove tecnologie traccianti. Tali sistemi dovranno essere infine sottoposti ad audit e verifiche, per monitorare il funzionamento del metodo scelto, determinando per i gestori dei siti la necessità di uscire dalla dinamica dell’adeguamento a mezzo di un automatismo.

Valentina De Nicola

Valentina De Nicola

Nata a Venezia, si è laureata presso l’Università degli studi di Padova presentando una tesi in diritto penale d’impresa dal titolo “Gruppo d’impresa e D.Lgs. 231/2001: problemi e prospettive”. Dopo la laurea ha svolto il praticantato ed è stata abilitata al patrocinio, continuando ad approfondire il tema dei modelli organizzativi che l’hanno progressivamente avvicinata alla materia della data protection. È stata privacy consultant presso una primaria società di consulenza, sviluppando progetti di compliance per società private e pubbliche amministrazioni. È stata abilitata alla professione forense nel 2019, ed è iscritta all'Albo degli Avvocati di Venezia dal 2021, è certificata privacy specialist secondo la norma UNI ISO 11697:2017 presso AICQ SICEV, e sta continuando il suo percorso di specializzazione ultimando il Master di II livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università di Roma Tre; è interessata allo sviluppo di sistemi di gestione aziendali e nel tempo libero si dedica alla musica e alla lettura.