Nell’ambito delle generali attività di adempimento - entro il 25 Maggio 2018 - ai numerosi obblighi documentali, tecnici, di processo ed organizzativi che il Regolamento Generale sulla protezione dei dati personali n. 679/2016 di seguito GDPR” ha introdotto circa i trattamenti di dati personali, particolare rilievo assume la tematica dei cookies o delle similari tecnologie di tracciatura e monitoraggio degli utenti online.
Il GDPR menziona i cookies – direttamente - solo una volta al Considerando n. 30 Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei cookies o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle . D’altro canto, il precedente Considerando 24 si riferisce - indirettamente - ai cookies e in generale ad ogni tecnologia di tracciatura e monitoraggio quando introduce una delle principali novità del GDPR quello della sua diretta applicabilità a titolari del trattamento ovunque ubicati nel mondo se questi monitorano, tracciano, profilano interessati che si trovano nella UE quindi indipendentemente dalla cittadinanza, domicilio, residenza, etc. anche un non europeo che in via di mero fatto si trovi” nella UE È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell'Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all'interno dell'Unione. Per stabilire se un'attività di trattamento sia assimilabile al controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali . E difatti l’art. 3, comma 2, GDPR espressamente prescrive che Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano a l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendente-mente dall'obbligatorietà di un pagamento dell'interessato oppure b il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione . 25 maggio 2018 diretta applicabilità del GDPR. Con la diretta applicabilità del GDPR a partire dal prossimo 25 Maggio 2018, cosa cambia da un punto di vista delle impostazioni tecniche e di documentabilità degli adempimenti legali verso gli utenti per i titolari di siti web ove sono operativi cookies , o similari tecnologie di tracciatura e monitoraggio? È difatti ovvio che l'impatto della nuova normativa europea sulla protezione dei dati personali riguarda anche tale tipologia di trattamento, per il quale esistono già a livello europeo normative e provvedimenti di vario livello dalla c.d. Cookie Law , al Documento di Lavoro 2/2013 WP 208 dei Garanti UE recante le Linee Guida sull’ottenimento del consenso alla operatività dei cookies , fino al Provvedimento Generale del Garante dell'8 Maggio 2014 Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie tutti provvedimenti che resteranno in vigore anche sotto il GDPR, e che avranno – anzi - l'effetto - ove scrupolosamente rispettati - di rendere non necessario, come sarebbe invece ai sensi dell’art. 35 GDPR, lo svolgimento di una Valutazione di Impatto Preventiva sulla Protezione dei Dati Personali – DPIA le relative Linee Guida dei Garanti UE sulla DPIA WP 248, al Par. III.B. b stabiliscono difatti – tra le altre ipotesi - che non è obbligatorio condurre una DPIA se – anche prima del 25 Maggio 2018 – i trattamenti che andrebbero sottoposti a DPIA in quanto comportanti un rischio elevato per i diritti e le libertà degli interessati risultano conformi alle condizioni specificate dalla singola autorità, in particolare attraverso linee-guida, decisioni o autorizzazioni specifiche, norme di conformità, ecc In casi del genere, salvo riesame da parte della competente autorità di controllo, la DPIA non è necessaria – ma solo a condizione che il trattamento continui a risultare pienamente conforme ai relativi requisiti del regolamento . Quello che cambia, a livello di impostazione tecnica della operatività dei cookies online, è quanto segue. Con riferimento ai cookies non tecnici, di profilazione, identificativi, analytics non anonimizzati o non depotenziati quanto a capacità di identificare l'interessato non essendo questi ultimi assimilabili ai cookies tecnici se non del tutto anonimizzati, etc. cambiano le modalità di acquisizione del consenso libero e specifico. Il consenso, difatti, non può più essere implicito, anche nella forma del soft opt-in , cioè acquisito mediante opzioni del tipo continuando la navigazione esprimi il consenso . Ciò appare abbastanza chiaro dal combinato disposto dell'art. 7, comma 1, GDPR Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali - che richiede la documentabilità del consenso espresso - e del Considerando n. 32 Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso . Ai sensi del GDPR, l’unico comportamento positivo equivalente inequivocabilmente al consenso o al diniego del consenso appare essere quello della specifica impostazione tecnica selezionata dall’utente circa le opzioni del browser sulla accettazione o sul diniego dei cookies . Sembra che la mera navigazione del sito non possa più – come accade ora – essere equiparata ad un qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto . Scelta libera, genuina e informata. Frasi del tipo, Utilizzando il presente sito accetti i cookies ” non saranno dunque più valide se non è possibile documentare una scelta libera, genuina e informata, il consenso come base giuridica ex art. 6.1 lett. a del GDPR non sarà validamente acquisito e non potrà fondare una lecita operatività di cookies non tecnici. Specifica casella/checkbox. Dunque, tecnicamente, per avere certezza di piena conformità al GDPR, andrebbe sempre prevista una specifica casella/checkbox sia per accettare che per rifiutare i cookies per la documentabilità ex art. 7.1 GDPR , ricordando anche che il Provvedimento del Garante in materia impone il consenso granulare per ogni singolo cookie cfr. il Paragrafo 4, in cui si richiede ai gestori di siti web di descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie i siti web dovrebbero implementare un pannello di controllo per l'utente che consenta a questi di selezionare/deselezionare ogni singolo cookie [in conformità alle relative finalità del trattamento, per le quali va ricordato che l’art. 6.1 a GDPR prescrive la prestazione di singolo consenso per una o più specifiche finalità”] e ciò anche nel corso del tempo. Difatti, un altro obbligo/novità del GDPR che impatta sulle cookie policies tecniche è la previsione di meccanismi di opt-out per la revoca del consenso prestato, meccanismi che devono essere ugualmente trasparenti e di efficacia pari alle modalità di acquisizione del consenso. Quindi tecnicamente i titolari del trattamento dovrebbero prevedere per tempo entro il 25 Maggio 2018 le necessarie modifiche tecniche ai loro siti web ed alla attuale operatività dei cookies non tecnici si ricordi che per i cookies tecnici – non essendo obbligatorio acquisire alcun consenso - va comunque resa una idonea informativa sul trattamento e questa deve essere conforme ai nuovi contenuti e alle nuove prescrizioni ora dettate dall’art. 13 GDPR .