Si può sostenere con fondamento che non vi sia operatore, economico o meno, privato o pubblico, che non abbia un proprio sito web, di tipo istituzionale o per l’erogazione di servizi in rete.

Di conseguenza, la disciplina sui cookie e su analoghi strumenti di tracciamento, è di interesse generale. Di converso, la regolamentazione esistente, da un lato, mette a dura prova coloro che intendono conformarsi alla norma, dall’altro, incrementa la disaffezione degli utenti verso una normativa che dovrebbe tutelarli, considerate le macchinose soluzioni attuative sinora sperimentate dalla prassi.

Sintesi

Lo scenario della regolamentazione su cookie e affini strumenti di tracciamento è di non facile descrizione, per usare un eufemismo. Si assiste a dichiarazioni di principio palesemente contraddette da prassi e diffusi modelli di business non conformi, ad applicazioni pratiche di difficile comprensione se non addirittura concepite con modalità da risultare irritanti per lo stesso utente da tutelare.

D’altro canto, diversamente da altri comportamenti o modalità operative in materia di trattamento di dati personali o di traffico, l’attività svolta in questo ambito e la verifica della conseguente conformità al dettato normativo, è facilmente e direttamente accertabile senza necessità di richiedere al titolare documentazione, accedere a sedi o locali o attendere la cooperazione dell’organizzazione interessata. In altri termini, l’eventuale non conformità risulta palese. Così è avvenuto nel caso giudicato dall’autorità di supervisione belga che ha sanzionato un’azienda per violazioni da questa commesse ed accertate dall’autorità, tramite un’iniziativa autonoma, non sollecitata da reclami di terzi bensì originata dalla mera “scansione” del web. La questione, quindi, si sposta sugli strumenti che possono aiutare la conformità e, soprattutto, sull’aspetto centrale dei tool per la gestione dei consensi per i cookie. Uno studio realizzato da ricercatori delle università di Aarhus (Danimarca) MIT (USA) e University College London (UK) evidenzia come la maggioranza degli strumenti che offrono piattaforme di gestione del consenso per i cookie (dette Content Management Platform o “CMP”) risulta non in linea con le prescrizioni del GDPR e con le posizioni di talune autorità di supervisione. Da ultimo, come “last touch”, l’odissea del processo di approvazione della proposta di regolamento ePrivacy non accenna a concludersi: la presidenza finlandese del Consiglio UE si è appena conclusa con un nulla di fatto e quella croata che la succede ha un bel da fare, tanto che la Commissione europea sembra intenzionata a ripartire daccapo con una nuova proposta che tenga conto di quanto convenuto sinora. Alcuni commentatori pronosticano che prima del 2025 non si possa sperare di avere una nuova disciplina sui cookie pienamente applicabile.

Disciplina sui cookie

Allo stato attuale, la disciplina su cookie e strumenti affini è regolata dalla direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. La norma di recepimento nel nostro ordinamento è confluita nell’articolo 122 del codice privacy che vieta l’accesso a dispositivi di terzi per archiviare informazioni o per accedere alle stesse, senza il preventivo consenso del contraente o utente; fatte salve le limitate eccezioni di:

  • archiviazione o accesso per strette necessità tecniche per effettuare la trasmissione di una comunicazione (ad es. cookie per la sicurezza dei dati richiesta dalla legge)
  • stretta necessità per fornire un servizio richiesto dal contraente o utente (come la memorizzazione dello stato di accesso, un carrello per lo shop online).

Questo sta a significare che il trattamento dei cookie è soggetto a tre possibili basi giuridiche che si sovrappongono a quelle tradizionali dell’articolo 6 del GDPR e precisamente:

  1. il consenso di contraente o utente
  2. la necessità tecnica
  3. la necessità per l’erogazione di servizi richiesti dal contraente o utente.

Si ricorda che tale disciplina si applica:

  • a qualsiasi tipologia di cookie (cioè senza che occorra valutare preliminarmente se essi siano qualificabili come “dati personali”)
  • anche se il dispositivo sia di pertinenza di una persona giuridica.

Al riguardo si rinvia ai precedenti interventi di commento sul tema evidenziati in calce a questa puntata.