DELIBERA 10 giugno 2021 - Linee guida cookie e altri strumenti di tracciamento. (Provvedimento n. 231). (21A04089)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale

Vista la direttiva 2002/21/CE del 7 marzo 2002, del Parlamento europeo e del Consiglio, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (c.d. direttiva quadro), come successivamente modificata e integrata

Vista la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva ePrivacy), come modificata dalla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio

Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

Visto il Codice in materia di protezione dei dati personali

(decreto legislativo 30 giugno 2003, n. 196), come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato regolamento

Visto il decreto legislativo 28 maggio 2012, n. 69 recante

Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori

Visti il parere del Gruppo di lavoro «art. 29» (di seguito WP29) n. 04/2012 in materia di Cookie Consent Exemption, adottato il 7 giugno 2012, ed il Working Document del medesimo WP29 n. 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013, nonche' le linee guida del WP29 sul consenso ai sensi del regolamento (UE) 2016/679 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020

Visto il parere dell'EDPB n. 05/2019 del 12 marzo 2019 sulle interrelazioni tra la direttiva e-Privacy ed il regolamento, con particolare riguardo alle competenze, ai compiti ed ai poteri delle autorita' di protezione dati

Visto il provvedimento del Garante n. 229, dell'8 maggio 2014, relativo alla «Individuazione delle modalita' semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie», pubblicato nella Gazzetta Ufficiale della Repubblica italiana - Serie generale del 3 giugno 2014, n. 126, del 3 giugno 2014

Viste le FAQ in materia di informativa e consenso per l'uso dei cookie del 3 dicembre 2014 ed i «Chiarimenti in merito all'attuazione della normativa in materia di cookie» del 5 giugno 2015, pubblicati dall'autorita' nel proprio sito web www.Garanteprivacy.it

Visto il provvedimento del Garante n. 161, del 19 marzo 2015, recante le «linee guida in materia di trattamento di dati personali per profilazione on-line», pubblicato nella Gazzetta Ufficiale della Repubblica italiana - Serie generale, n. 103 del 6 maggio 2015

Vista la deliberazione del Garante n. 255 del 26 novembre 2020

(doc.web n. 9498472) con la quale e' stato adottato uno schema di

linee guida sull'utilizzo di cookie e altri strumenti di tracciamento

(allegato 1, doc. web 9501061) nonche' l'unita scheda di sintesi (allegato 2, doc. web 9501097), con contestuale avvio, mediante pubblicazione del relativo avviso nella Gazzetta Ufficiale della Repubblica italiana - Serie generale, n. 307 dell'11 dicembre 2020, di una consultazione pubblica sulle misure ivi indicate

Visti gli esiti di tale consultazione pubblica, tesa ad «acquisire osservazioni e proposte riguardo alle predette linee guida»

Considerati, in particolare, i contributi pervenuti, nel previsto termine di trenta giorni, da diverse associazioni di categoria, dagli operatori e da soggetti appartenenti al mondo imprenditoriale, da associazioni di consumatori, rappresentanti dell'accademia e singoli interessati

Vista la documentazione in atti

Viste le osservazioni dell'ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000

Relatore l'avv. Guido Scorza

Premesso

1. Considerazioni preliminari

   Le presenti linee guida hanno innanzitutto una funzione ricognitiva in relazione al diritto applicabile alle operazioni di lettura e di scrittura all'interno del terminale di un utente, con specifico riferimento all'utilizzo di cookie e di altri strumenti di tracciamento, nonche' l'obiettivo di specificare, al riguardo, le corrette modalita' per la fornitura dell'informativa e per l'acquisizione del consenso on-line degli interessati, ove necessario, alla luce della piena applicazione del regolamento (UE) 2016/679 (di seguito, regolamento).

   Il quadro giuridico di riferimento e' infatti, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell'ordinamento nazionale all'art. 122 del decreto legislativo 30 giugno 2003, n. 196

   (di seguito codice), quanto dal regolamento, per cio' che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle linee guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.

   In proposito il Garante, come e' noto, ha gia' adottato un provvedimento (n. 229, dell'8 maggio 2014), volto ad «individuare le modalita' semplificate per rendere l'informativa online agli utenti sull'archiviazione dei c.d. cookie sui loro terminali da parte dei siti internet visitati», come pure a «fornire idonee indicazioni sulle modalita' con le quali procedere all'acquisizione del consenso degli stessi, laddove richiesto dalla legge», le cui indicazioni necessitano ora di essere integrate e precisate, in particolare con riferimento a taluni, specifici aspetti (al fine di agevolare i titolari del trattamento nella corretta applicazione del citato quadro regolamentare come specificato dal richiamato provvedimento del maggio 2014 e dalle presenti linee guida, si allega a queste ultime una tabella riassuntiva delle indicazioni contenute in entrambi i provvedimenti).

   Da un lato deve essere infatti considerato che il regolamento, come precisato all'art. 95, «non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell'Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE», la quale espressamente prevede, all'art. 1, paragrafo 2, che «le disposizioni della presente direttiva precisano e integrano

   [il regolamento (EU) 2016/679] ...».

   D'altro canto, non puo' essere sottovalutato come il regolamento abbia inteso ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali, in particolar modo integrando la definizione di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo che la manifestazione di volonta' dell'interessato al trattamento dei suoi dati personali deve essere, oltre che - come appunto gia' nel vigore della direttiva - libera, specifica ed informata, anche

   inequivocabile

   , (1) ma pure esigendo che l'obiettivo della concreta ed efficace attuazione dei principi di protezione dati venga conseguito sin dalla progettazione e attraverso impostazioni predefinite (cd. privacy by design e by default).

   L'esigenza di un nuovo intervento del Garante e' dovuta al lungo intervallo di tempo trascorso, alle novita' normative frattanto intervenute e al monitoraggio che, anche per il tramite dei numerosi reclami, segnalazioni e richieste di pareri, l'autorita' ha effettuato sulla concreta e talvolta non corretta implementazione delle regole menzionate - in particolare considerando gli effetti riscontrabili sull'esperienza di navigazione, sui diritti e sulle tutele degli interessati, come pure sulla operativita' delle imprese e dei fornitori di servizi di comunicazione elettronica - nonche' alla sempre crescente diffusione di nuove tecnologie caratterizzate da crescenti livelli di potenziali pervasivita'.

   Infine, deve essere tenuta in considerazione l'evoluzione comportamentale degli stessi utenti della rete, sempre piu' orientati alla moltiplicazione delle proprie identita' digitali come risultanti dall'accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network. Tale fenomeno comporta infatti il rischio che le informazioni personali oggetto di trattamento siano raccolte proprio incrociando i dati anche relativi all'utilizzo di funzionalita' e servizi diversi, ai quali e' possibile accedere utilizzando molteplici terminali (cd. enrichment), con l'effetto della creazione di profili sempre piu' specifici e dettagliati. Si impone, di conseguenza, la necessita' di un quadro rafforzato di tutele maggiormente orientate a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva...