Continuo l’approfondimento sulle Linee guida cookie e altri strumenti di tracciamento pubblicate lo scorso 10 giugno dal Garante per la protezione dei dati personali. Dopo un’analisi delle pratiche da evitare e della proposta del garante per la gestione dei cookie, oggi parliamo di cookie analytics e di alcuni aspetti da valutare in relazione alle informative privacy.
Cookie analytics: che cosa sono e che cosa richiede il Garante
I cookie che vengono utilizzati per ricavare dati in merito all’efficacia di un sito web o alle visite al sito da parte degli utenti, con la possibilità di ottenere dati in relazione all’area geografica, alla durata della permanenza sul sito o al percorso compiuto all’interno di un sito, vengono chiamati cookie analytics.
A dimostrazione che la gestione della privacy non è un’attività di cui ci si può occupare una volta e mai più, il Garante rivede con le linee guida del 2021 la sua posizione in materia di cookie analytics e obbligo di consenso. Nel 2014 si era espresso considerando questi cookie quale una sottocategoria di quelli tecnici, ossia necessari al funzionamento del sito e come tali esclusi dall’obbligo di acquisizione del consenso dell’interessato. Oggi il Garante ritiene che questa equivalenza tra cookie ananlytics e cookie tecnici sia possibile solo nel caso in cui i primi siano gestiti in modo da non consentire l’identificazione del singolo interessato.
In altre parole, il Garante ritiene che i cookie analytics possano essere esclusi dall’obbligo di acquisizione del consenso se:
- uno stesso cookie è riferibile a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che riceve il cookie sul proprio dispositivo;
- il cookie consente solo la produzione di statistiche aggregate;
- un cookie è utilizzato in relazione a un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona tra applicazioni e siti diversi.
L’ultimo passaggio delle linee guida in materia di cookie analytics riguarda la possibilità di effettuare analisi statistiche relative a più canali, attività che è soggetta a vincoli diversi a seconda che chi svolge l’analisi sia un soggetto terzo o il titolare dei canali.
I cosiddetti soggetti terzi, come Google Analytics, che forniscono al proprietario o al gestore del sito il servizio di rilevazione dei dati non possono combinare i dati, anche minimizzati come previsto all’elenco precedente, con altre elaborazioni (ex. statistiche di visite ad altri siti) né trasmetterli a ulteriori terzi. L’unica è eccezione è quella in cui le statistiche facciano riferimento a più domini, siti web o app riconducibili al medesimo proprietario o gruppo imprenditoriale.
Resta invece possibile a un titolare, proprietario di più domini, siti web o app, effettuare analisi statistiche relative a tutti i canali, anche in assenza delle misure di minimizzazione, purché proceda in proprio all’elaborazione statistica e non utilizzi i risultati dell’elaborazione a fini commerciali.
Gli aspetti da migliorare nelle informative privacy
L’informativa, ricorda il Garante, deve essere sviluppata in un’ottica di trasparenza verso l’utente e deve contenere l’indicazione degli eventuali soggetti destinatari dei dati personali e dei tempi di conservazione delle informazioni acquisite. Inoltre, l’utente deve individuare nell’informativa le indicazioni su come può esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso ai dati e di proporre un reclamo a un’autorità di controllo.
Vi sono però due dettagli specifici che devono essere messi a fuoco da parte del titolare del trattamento dati.
Il primo riguarda il fatto che, in assenza di un sistema universalmente accettato di codifica dei cookie e degli altri strumenti di tracciamento che consenta di distinguerli in modo oggettivo, è in carico al titolare mettere a fuoco i sistemi adottati integrando dell’informativa privacy almeno con i criteri di codifica dei sistemi in questione.
Il secondo dettaglio riguarda invece il fatto che è onere del titolare adottare ogni accorgimento necessario a garantire che le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di chi, a causa di disabilità, necessita di tecnologie assistive o configurazioni particolari.
Gli obblighi sono stemperati dalla messa a fuoco di due opportunità in termini di realizzazione dell’informativa, che il titolare deve però valutare in termini di adeguatezza ai requisiti del Regolamento:
1. l’informativa può essere multilayer, quindi suddivisa in sezione o livelli, con gradi di approfondimento crescenti e dettagli specifici per alcune pagine di un sito;
2. l’informativa può essere multichannel, cioè resa attraverso più canali e modalità (ex. video, pop-up informativi, assistenti virtuali, chatbot).