Dal 9 gennaio 2022, i titolari di tutti i siti web dovranno conformarsi alle nuove Linee guida sui cookie emanate dal
Garante privacy in data 10 giugno 2021.
Il documento specifica, inoltre, le corrette modalità di acquisizione del consenso on-line degli interessati, ove necessario, alla luce della piena applicazione del Regolamento in materia di protezione dei dati personali (GDPR).
In particolare, in linea con il principio di privacy by design, l’acquisizione del consenso dovrà garantire che sul dispositivo dell’utente non vengano installati cookie diversi da quelli tecnici (es. di terze parti) né altri mezzi di tracciamento (vedi il fingerprinting).
Cookie e altri strumenti di tracciamento
Quando parliamo di cookie facciamo riferimento a stringhe di testo che i siti web visitati dall’utente (o siti web server di terze parti) posizionano e archiviano all’interno del suo dispositivo durante la navigazione, allo scopo di identificare chi ha già visitato il sito in precedenza (cookie tecnici).
Ciò permette anche di ottenere informazioni più o meno approfondite sull’utente circa le attività svolte da questo online (cookie analitici e di profilazione).
Questi strumenti possono essere gestiti attivamente dall’utente (es. rifiuto del consenso, rimozione dei cookie dal dispositivo) e per tale motivo vengono definiti anche “identificatori attivi”.
Tipologie di cookie
A seconda della tipologia di cookie è possibile svolgere diverse funzioni, tra cui il monitoraggio di sessioni così come la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server.
Cookie tecnici
Cookie di profilazione
I cookie di profilazione, invece, sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte.
Il raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, consente al titolare di fornire servizi sempre più personalizzati, nonché inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete (nuove linee guida, par. 4).
Attuale quadro normativo di riferimento
Il Garante Privacy, con il provvedimento n. 229 dell’8 maggio 2014, era già intervenuto per fornire indicazioni circa le modalità di acquisizione del consenso dei cookie e di archiviazione degli stessi.
Tuttavia, la piena entrata in vigore del GDPR così come la diffusione delle nuove tecnologie, hanno reso necessaria l’introduzione di alcune modifiche.
Ad oggi possiamo dire che il quadro giuridico di riferimento sull’uso dei cookie e degli altri sistemi di tracciamento è costituito sia dalle disposizioni della direttiva ePrivacy (direttiva 2002/58/CE) – recepita in Italia dal Codice Privacy – sia da quanto presente nel GDPR.
Cosa cambia con le nuove Linee Guida?
Tra gli aspetti affrontati nelle nuove linee guida, a trovare rilevanza è il meccanismo di acquisizione del consenso online tramite banner.
Per consentire all’utente di decidere se accettare o meno l’installazione dei cookie, è necessario che il titolare del sito fornisca un’adeguata informativa che permetta all’interessato di scegliere in modo libero e consapevole se prestare o meno il proprio consenso.
Cosa fare se sono presenti cookie diversi da quelli tecnici
Il rispetto di tali regole impone pertanto che, laddove un sito utilizzi cookie diversi da quelli tecnici, al momento del primo accesso dell’utente e per impostazione predefinita, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né tanto meno che venga utilizzata altra tecnica attiva o passiva di tracciamento.
Se da un lato il titolare può adottare le modalità ritenute più idonee per assicurare il rispetto di questo obbligo, dall’altro è importante anche garantire la libertà di scelta dell’utente.
Per fare questo il Garante ha previsto l’adozione di un meccanismo in base al quale l’utente, accedendo per la prima volta alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area o banner (contenente una X selezionabile in alto a destra) le cui dimensioni siano tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma anche tali da evitare il rischio che l’utente possa far ricorso a comandi e dunque compiere scelte indesiderate o inconsapevoli.
Quali caratteristiche deve avere il banner
- L’avvertenza che la chiusura del banner mediante la selezione dell’apposita X in alto a destra comporta il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
- L’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve).
- Il link alla privacy policy contenente l’informativa completa, ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del GDPR.
- Un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento.
- Un link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cosiddetti terze parti (il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti) ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
Per assicurare che gli utenti non siano influenzati da una configurazione dei pulsanti e dei colori che possano indurli a preferire inconsapevolmente un’opzione anziché l’altra, il Garante sottolinea l’esigenza di utilizzare comandi e caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare.
Acquisizione del consenso all’uso dei cookie
In linea generale e anche ai sensi del considerando 32 del GDPR, il consenso deve essere espresso mediante un atto positivo ed inequivocabile come, ad esempio, potrebbe essere la selezione di un’apposita casella.
Modalità di raccolta del consenso: scrolling e cookie wall
- Lo scrolling, dichiarato di per sé inadatto alla raccolta di un idoneo consenso, diventa valido nella sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento che risulti documentabile dal server del sito.
- Il cookie wall, tendenzialmente illecito, risulta idoneo alla raccolta del consenso in ipotesi (da valutare caso per caso) nella quale il titolare offra all’interessato la possibilità di accedere ad un contenuto o un servizio equivalenti, senza prestare il consenso all’installazione dei cookie.
Periodo di adeguamento alle nuove linee guida
Il periodo di adeguamento alle disposizioni delle nuove Linee guida del Garante per la protezione dei dati personali deve avvenire entro il 10 Gennaio 2022, ovvero decorsi i 6 mesi dalla data di pubblicazione in Gazzetta Ufficiale avvenuta il 10 Luglio 2021.
Ma cosa succede con i consensi acquisiti prima della pubblicazione delle nuove Linee guida?