Cookies And Other Tracking Tools: The Italian Data Protection Authority’s Guidelines

The Italian Data Protection Authority, with provision no. 255 of 26 November 2020, has resolved to launch the public consultation procedure relating to the “Guidelines on the use of cookies and other tracking tools“. The relevant notice was published in the Official Journal of the Italian Republic on 11 December 2020 and will expire thirty days after publication.

The objective pursued by the Authority with the adoption of the Guidelines in question is to integrate and clarify specific aspects relating to the use of cookies and other tracking tools, as well as to specify the correct procedures for the preparation of the information and acquisition of consent of users online, where necessary, in compliance with the regulatory framework of reference, consisting of Directive 2002/58/EC (ePrivacy Directive) and subsequent amendments, as implemented in national law under Article 122 of Legislative Decree no. 196/2003 (hereinafter the “Code”), and the EU Regulation 2016/679 (hereinafter the “Regulation”). ePrivacy Directive) and subsequent amendments, as transposed into national law by article 122 of Legislative Decree 196/2003 (hereinafter the “Code”), and by Regulation (EU) 2016/679 (hereinafter the “Regulation”).

In view of the increasing use of new technologies, which make possible increasingly specific and detailed profiling of users, it is necessary to strengthen the protection of the rights of data subjects, encouraging their effective control over the personal information processed and their ability to self-determine.

In particular, with the Guidelines in question, the Authority has focused on the following issues:

  • the definition and operation of cookies;
  • the functioning of other tracking tools (so-called ‘active’ and ‘passive’ identifiers) and, in particular, among the passive tools, fingerprinting;
  • the classification of cookies (technical and profiling) and other tracking tools (technical or commercial);
  • the rules applicable to the use of technical cookies, in respect of which the data controller is exempt from the obligation to request the consent of the data subject since it is sufficient to provide the user with the information, even if this is part of the general information notice;
  • the need for the prior informed consent of the person concerned for the use of profiling cookies and other tracking tools, pursuant to Article 122 of the Code;
  • the unlawfulness, in the absence of the conditions indicated by the Authority, of the use of so-called scrolling and cookie walls in the online acquisition of the user’s consent;
  • the redundant and invasive nature of the repeated request for consent through banners every time the user accesses the same site unless one or more of the conditions under which consent was collected have changed;
  • the opportunity for updates and improvements in the way consent is obtained online via a banner, in accordance with the principles of privacy by design and privacy by default;
  • the use of data minimization measures in order to reduce the identification power of analytics cookies, when used by “third parties”, avoiding that their use leads to the direct identification of the person concerned (so-called single out);
  • further information to be provided in the information notice in compliance with the transparency requirements imposed by Articles 12 and 13 of the Regulation, including the indication of other possible recipients of the personal data and the retention periods of the information acquired, and the possibility of providing the information notice not only through several levels (multilayer) but also through several channels and methods (so-called multichannel);
  • in relation to the semantic coding of cookies and other tracking tools, the indication, by the data controllers, of the criteria for coding the identifiers adopted, such as to make it possible to distinguish between the different types of cookies, thus supplementing the information provided to users.

For further details on the above, please refer to the Guidelines and the relevant Summary Sheet adopted by the Italian Data Protection Authority. Please note that any comments may be forwarded within the above-mentioned deadline to the e-mail address lineeguidacookie@gpdp.it.

****

COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO: LE LINEE GUIDA DEL GARANTE

Il Garante per la protezione dei dati personali, con provvedimento n. 255 del 26 novembre 2020, ha deliberato di avviare la procedura di pubblica consultazione relativa alle “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”. Il relativo avviso è stato pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana in data di 11 dicembre 2020 e scadrà decorsi trenta giorni dalla pubblicazione.

L’obiettivo perseguito dal Garante con l’adozione delle Linee Guida in esame è quello di integrare e precisare specifici aspetti relativi all’utilizzo di cookie e di altri strumenti di tracciamento, nonché di specificare le corrette modalità per la predisposizione dell’informativa e per l’acquisizione del consenso online degli utenti, ove necessario, nel rispetto del quadro normativo di riferimento, costituito dalla direttiva 2002/58/Ce (cd. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del D.Lgs. 196/2003 (di seguito il “Codice”), e dal Regolamento (UE) 2016/679 (di seguito il “Regolamento”).

In considerazione della crescente diffusione di nuove tecnologie, che rendono possibile una profilazione degli utenti sempre più specifica e dettagliata, occorre rafforzare la tutela dei diritti degli interessati, favorendo l’effettivo controllo da parte di questi ultimi sulle informazioni personali trattate e la capacità di autodeterminazione del singolo utente.

In particolare, con le Linee Guida in parola il Garante si è soffermato sui seguenti temi:

  • la definizione e le modalità di funzionamento dei cookie;
  • le modalità di funzionamento di altri strumenti di tracciamento (cd. “identificativi attivi” e “passivi”) e, in particolare, tra gli strumenti passivi, del fingerprinting;
  • la classificazione dei cookie (tecnici e di profilazione) e degli altri strumenti di tracciamento (tecnici o di natura commerciale);
  • la normativa applicabile per l’utilizzo dei cookie tecnici, rispetto ai quali il titolare del trattamento è esentato dall’obbligo di richiedere il consenso dell’interessato, risultando sufficiente fornire all’utente l’informativa, anche eventualmente nell’ambito dell’informativa di carattere generale;
  • la necessità del preventivo consenso informato dell’interessato per l’impiego dei cookie di profilazione e degli altri strumenti di tracciamento, ai sensi dell’art. 122 del Codice;
  • l’illiceità, in assenza delle condizioni indicate dal Garante, del ricorso ai cc.dd. scrolling e cookie wall nell’acquisizione online del consenso dell’utente;
  • il carattere ridondante ed invasivo della reiterata richiesta del consenso attraverso i banner ad ogni nuovo accesso dell’utente al medesimo sito, a meno che non siano mutate una o più condizioni alle quali questo è stato raccolto;
  • l’opportunità di aggiornamenti e migliorie nelle modalità di acquisizione del consenso online tramite un banner, nel rispetto dei principi di privacy by design e privacy by default;
  • il ricorso a misure di minimizzazione del dato al fine di ridurre il potere identificativo dei cookie analytics, qualora utilizzati ad opera di “terze parti”, evitando che attraverso il loro utilizzo si pervenga all’individuazione diretta dell’interessato (cd. single out);
  • le ulteriori informazioni da fornire nell’informativa in conformità ai requisiti di trasparenza imposti dagli articoli 12 e 13 del Regolamento, tra cui l’indicazione di altri eventuali soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni acquisite, e la possibilità di rendere l’informativa, oltre che attraverso più livelli (multilayer), anche per il tramite di più canali e modalità (cd. multichannel);
  • in relazione alla codifica semantica dei cookie e degli altri strumenti di tracciamento, l’indicazione, da parte dei titolari del trattamento, dei criteri di codifica degli identificatori adottati, tali da rendere possibile la distinzione tra le diverse tipologie di cookie, integrando di conseguenza l’informativa fornita agli utenti.

Per approfondimenti in merito a quanto sopra illustrato, si rinvia alle Linee Guida ed alla relativa Scheda di Sintesi adottate dal Garante per la protezione dei dati personali. Si precisa che eventuali osservazioni possono essere inoltrate entro la scadenza sopra indicata all’indirizzo di posta elettronica lineeguidacookie@gpdp.it.

Leave a Reply