New Authority Guidelines on Cookies and Other Tracking Systems 

On 9 July, the new Guidelines adopted by the Italian Data Protection Authority on cookies and other tracking systems were published in the Official Journal.

The final text results from the examination of the various contributions collected during the months of public consultation, which ended on 9 January.

The primary purpose of the Guidelines is to provide an overview of the legal framework of reference, also specifying the procedures for providing information and acquiring the consent of the data subject, in light of the principles expressed in Regulation (EU) 2016/679 (after this the “Regulation” or the GDPR”).

Regarding the rules in force, Article 122 of Legislative Decree 196/2003 (Privacy Code) is the main reference standard adopted to implement Directive 2002/58/EC (more commonly known as the ePrivacy Directive). The Authority is concerned to specify, with the new Guidelines, the relationship between the ePrivacy Directive and the GDPR, pointing out that between the two regulatory texts, there is a relationship of the genus to species. Therefore, following the reasoning, if the obligation to acquire or not the consent to the use of cookies is found in the ePrivacy Directive, the characteristics with which consent must be expressed are found in the Regulation.

A premise, perhaps not obvious. Before delving into the new features introduced, it seems appropriate to digress briefly into what cookies are and what function they play

Technically, cookies are usually strings of text that the websites visited by the user (so-called publishers) or different websites or web servers (so-called “third parties”) place and store on an electronic device available to the user. The information encoded in cookies may contain personal data (e.g., user, IP address) and non-personal data, such as language settings. Therefore, cookies can have different and important functions, helping to use web services (e.g., storing the items in a shopping cart for online purchases or the information entered on a form to be filled out). On the other hand, cookies can also be used to convey behavioral advertising and then measure the effectiveness of the advertising message, i.e., to confirm the type and modalities of the services rendered to the user’s behavior previously observed.

If we want to make a distinction between the types of the cookie according to their function, we can identify two macro-categories:

  • technical cookies, used for the sole purpose of “carrying out the transmission of a communication on an electronic communication network, or to the extent strictly necessary for the provider of an information society service explicitly requested by the contracting party or user to provide such service” (see Article 122(1) of the Privacy Code);
  • profiling cookies used to link specific actions or behavioral patterns recurring in the use of the offered functionalities (patterns) to specific identified or identifiable subjects, to group the different profiles within homogeneous clusters of different sizes, so that the data controller can, among other things, modulate the provision of the service in an increasingly personalized manner beyond what is strictly necessary for the provision of the service itself, as well as send targeted advertising messages, i.e. in line with the preferences expressed by the user while surfing the web.

The distinction is relevant since focusing on the methods of acquiring consent. The Authority specifies that the user must be put in a position to know whether the site uses exclusively technical cookies or also profiling cookies for which he can express consent to their installation.

Consent, deemed to be the indispensable legal basis for processing concerning the use of cookies or other tracking systems on users’ devices. In fact, in the Guidelines, the Authorirty repudiates the legitimate interest as a legal basis for processing, which until now has been used by many publishers or “third parties”. 

Moreover, scrolling (i.e. scrolling through the information notice to allow the installation of cookies) and the cookie wall (which allows access to the website subject to the mandatory acceptance of cookies, without the freedom to perform any other operation) are considered as methods of acquiring consent that are contrary to the principles expressed in the GDPR.

Among other changes introduced by the Guidelines, the Authority does not authorize the re-proposition of banners for each subsequent visit to the website after the wish not to consent to the use of profiling cookies had been previously expressed.

In addition, a link will always be available for users to exercise their rights concerning the processing, including the management and verification of their consent.

The Authority has given data controllers until 9 January 2022 to adapt to the changes introduced by the Guidelines, i.e., six months from the date of publication of the document in the Official Journal. 

 

****

 LE NUOVE LINEE GUIDA DEL GARANTE SUI COOKIE ED ALTRI SISTEMI DI TRACCIAMENTO

 

Lo scorso 9 luglio sono state pubblicate in Gazzetta Ufficiale le nuove Linee guida adottate dal Garante per la protezione dei dati personali sui cookie ed altri sistemi di tracciamento.

Il testo definitivo è il frutto dell’esame dei vari contributi raccolti durante i mesi di consultazione pubblica, conclusasi il 9 gennaio scorso.

Lo scopo primario delle Linee guida è quello di compiere una ricognizione del quadro giuridico di riferimento, specificando altresì le modalità per rendere l’informativa ed acquisire il consenso dell’interessato, alla luce dei principi espressi nel Regolamento (UE) 2016/679 (di seguito il “Regolamento” o ilGDPR”).

Per quanto concerne la disciplina vigente in materia, l’art. 122 del D.Lgs. 196/2003 (Codice Privacy) rappresenta la principale norma di riferimento, adottata per recepire la Direttiva 2002/58/CE (più comunemente nota come direttiva ePrivacy). Il Garante si preoccupa di specificare, con le nuove Linee guida, il rapporto tra la direttiva ePrivacy ed il GDPR, evidenziando come tra i due testi normativi si realizzi un rapporto di genus a species. Per cui, seguendo il ragionamento, se l’obbligo di acquisire o meno il consenso all’utilizzo dei cookie si ritrova nella direttiva ePrivacy, le caratteristiche con le quali il consenso debba essere espresso sono rinvenibili nel Regolamento.

Una premessa, forse non scontata. Prima di addentrarci tra le novità introdotte, pare opportuna una breve digressione su cosa siano i cookie e su quale funzione svolgano.

Tecnicamente, i cookie sono di regola stringhe di testo che i siti web visitati dall’utente (c.d. publisher) ovvero siti o web servers diversi (c.d. “terze parti”) posizionano ed archiviano all’interno di un dispositivo elettronico nella disponibilità dell’utente medesimo. Le informazioni codificate nei cookie possono contenere dati personali (ad es. user, indirizzo IP), ma anche dati non personali, come l’impostazione della lingua. I cookie possono svolgere, dunque, diverse ed importanti funzioni, coadiuvando la fruizione dei servizi web (ad es. memorizzando gli articoli contenuti in un carrello per gli acquisti online, ovvero le informazioni inserite su di un modulo da compilare). D’altra parte, i cookie possono essere utilizzati altresì per veicolare la pubblicità comportamentale (behavioural advertising) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

Volendo compiere una distinzione tra le tipologie di cookie in ragione della funzione svolta, possiamo individuare due macrocategorie:

  • i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice Privacy);
  • i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare del trattamento, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio stesso, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

La distinzione rileva dal momento che, focalizzando l’attenzione sulle modalità di acquisizione del consenso, il Garante specifica che l’utente deve essere posto in condizione di conoscere se il sito utilizza esclusivamente cookie tecnici o anche cookie di profilazione per i quali può esprimere consenso all’installazione.

Consenso, reputato come base giuridica indispensabile per il trattamento concernente l’utilizzo di cookie od altri sistemi di tracciamento sui devices degli utenti. Difatti, il Garante ripudia nelle Linee guida il legittimo interesse quale base giuridica del trattamento, fino a questo momento utilizzato da molti publisher o “terze parti”.

Peraltro, lo scrolling (inteso come scorrimento dell’informativa per consentire all’installazione dei cookie) ed il cookie wall (il quale consente l’accesso al sito Internet previa accettazione obbligatoria dei cookie, senza libertà di compiere alcuna operazione diversa) sono considerate modalità di acquisizione del consenso contrarie ai principi espressi nel GDPR.

Tra le altre novità introdotte dalle Linee guida, il Garante non autorizza alla riproposizione di banner per ogni successiva visita al sito web, dopo che era stata già in precedenza espressa la volontà di non acconsentire all’utilizzo dei cookie di profilazione.

Inoltre, è previsto l’inserimento di un link sempre raggiungibile dagli utenti per poter esercitare i diritti relativi al trattamento, tra cui la gestione e la verifica dei consensi prestati.

L’Autorità ha concesso ai titolari del trattamento tempo fino al 9 gennaio 2022 per adeguarsi alle novità introdotte dalle Linee guida, ovvero sei mesi di tempo a partire dalla data di pubblicazione del documento in Gazzetta Ufficiale.