Cookie: a che punto siamo?

Nelle ultime settimane, al di là della fatidica data del 10 gennaio in cui le Linee Guida in materia cookie del Garante italiano sono divenute “applicabili”, si sono succeduti diversi eventi che hanno modificato il quadro della gestione, da parte delle aziende, di questo aspetto tanto importante quanto spinoso.

Vediamo allora gli elementi che si possono derivare dalle più recenti decisioni e novità.

La decisione dell’Autorità austriaca

L’uso di Google Analytics (“GA”) comporta il trasferimento di dati verso gli U.S.A. (oltre che verso altri paesi considerati non adeguati, stante il posizionamento dei server di Google in diverse parti del mondo).

L’uso di tale tool di statistiche, retargeting e adv implica inoltre la possibilità per il gigante di Mountain View di re-identificare gli utenti anche laddove si utilizzino cookie con IP “troncato”.

Per queste ragioni, l’Autorità di Vienna ha deciso di porsi nel solco della decisione “Schrems II” e di dichiarare illegittimo l’uso di tale tool, anche laddove il titolare del sito web lo utilizzo esclusivamente per attività di statistica dell’utilizzo del proprio portale.

La posizione del Garante belga

Con il provvedimento del 22 gennaio 2022, l’Autorità in oggetto ha chiarito alcuni punti ulteriori e fondamentali di come interpretare e maneggiare i cookie:

  • i cookie “tecnici” sono esclusivamente quelli che permettono all’utente di compiere attività e utilizzare funzioni “base” del sito web, e sono forniti dalla prima parte (cioè il proprietario del sito);
  • per tutti gli altri cookie e identificatori, anche e soprattutto quelli che “chiamano” funzionalità e servizi esterni al sito web visitato, è necessario il consenso;
  • detto consenso può essere raccolto per categorie;
  • la pratica di utilizzare un link su “come gestire i cookie nel browser” è comprensibile e corretta verso l’utente.

In Francia, il CNIL sanziona Google e Facebook

All’inizio di gennaio, l’Autorità francese ha emanato due sanzioni pesantissime nei confronti dei principali player del mercato adv, proprio per l’utilizzo non conforme alla normativa GDPR dei cookie e tracciatori online.

In particolare, il Garante transalpino ha ritenuto che i due soggetti sanzionati abbiano volontariamente reso complesso e arduo per l’utente rifiutare l’uso dei cookie, rispetto invece alla fornitura di un “comodo” pulsate di accettazione dell’intero pacchetto di identificatori.

Tale pratica, come le più note tecniche di c.d. “dark patterns” che disegnano flussi di accettazione che favoriscono (illecitamente) l’assenso e non il rifiuto dei cookie, sono ritenute illegali e pericolose, in quanto minano alla base la natura libera da vincoli del consenso richiesto.

Questa specifica decisione ha anche costituito un interessante precedente in merito alla competenza dell’autorità, in quanto Google e Facebook asserivano fosse la DPC (irlandese, quindi) il Garante che – in forza del meccanismo one-stop-shop – avrebbe dovuto decidere il caso.

E in tale sede, come per altre vicende, sappiamo che le cose vanno tendenzialmente molto più per le lunghe.

Quindi?

Restiamo alla finestra, sapendo anche che NOYB (con Max Schrems alla guida) ha inviato numerose contestazioni anche al Garante italiano.

Forse, prima dell’estate, avremo anche noi il primo “leading case” nostrano in materia, e il quadro diverrà un po’ più chiaro tra GDPR, Direttiva ePrivacy tutt’ora in vigore (del Regolamento ePrivacy non si hanno notizie da parecchio) e interpretazione “locale” del mondo cookie.

Intanto, prossimamente proveremo ad approfondire il tema delle “alternative plausibili” a Google Analytics.

_____________________________________________

Photo by Sara Sperry on Unsplash