Cosa dice il GDPR sui cookie?

Cookie, indirizzi IP e identificatori online simili sono trattati esplicitamente nel Considerando 30 del Regolamento Generale sulla Protezione dei Dati (GDPR), che afferma: “Le persone fisiche possono essere associate a identificatori online [...] come indirizzi di protocollo internet, identificatori di cookie o altri identificatori come i tag di identificazione a radiofrequenza.” Questa classificazione sottolinea che i cookie, quando utilizzati per identificare individui — direttamente o indirettamente — costituiscono dati personali (GDPR Recital 30).

I principali risultati dell'analisi legale e normativa includono:

• Cookie come dati personali: Il GDPR riconosce i cookie come dati personali quando possono identificare un utente, anche in combinazione con altri dati.
• Requisito del consenso: L'articolo 6 e il Considerando 32 richiedono un consenso valido prima dell'installazione di cookie non essenziali. Il consenso deve essere liberamente prestato, specifico, informato e inequivocabile. Le caselle pre-spuntate o l'inattività non costituiscono consenso (EDPB Guidelines 05/2020).
• Trasparenza: I siti web devono informare chiaramente gli utenti sui tipi e le finalità dei cookie prima di ottenere il consenso. Ciò include:
  • L'identità del titolare del trattamento
  • Le finalità esatte per cui i cookie vengono utilizzati
  • Le terze parti coinvolte
• Diritto di revocare il consenso: Gli utenti devono poter revocare il consenso con la stessa facilità con cui è stato prestato (GDPR Article 7(3)).
• Responsabilizzazione: Le organizzazioni devono essere in grado di dimostrare di aver ottenuto un consenso valido per tutti i cookie non essenziali.

Studi empirici indicano divari di conformità significativi tra i siti web, con molti che non implementano meccanismi per il consenso granulare, o che ricorrono a modelli di opt-out non conformi (Degeling et al., 2019). Le azioni normative hanno rafforzato la necessità di meccanismi di opt-in espliciti, in particolare per i cookie di tracciamento e pubblicitari.

In sintesi, ai sensi del GDPR, i cookie che possono identificare un individuo sono dati personali; pertanto, il loro utilizzo è strettamente regolamentato attraverso requisiti di consenso informato ed esplicito e di trasparenza. La mancata conformità può comportare sanzioni significative, come dimostrato dalle recenti azioni di applicazione nell'UE.