Sono da poco entrate in vigore (pubblicazione in Gazzetta Ufficiale del 9 luglio 2021) le nuove linee guida emanate dal Garante per la Protezione dei Dati Personali riguardanti la regolamentazione dei cookie e degli altri sistemi di tracciamento sui siti web.
Prima di scendere nel dettaglio sulle novità più rilevanti apportate da questo provvedimento, che dovrà essere applicato dai siti entro sei mesi, facciamo un piccolo passo indietro e definiamo in primo luogo che cosa sono i cookie.
Il termine “cookie” che in inglese significa letteralmente “biscotto” indica un piccolo file che viene depositato sul computer o tablet o smartphone di un utente quando visita un determinato sito web.
Nella categoria cookie, possiamo identificare tre diverse sottocategorie:
- cookie tecnici
- cookie analitici
- cookie di profilazione
I cookie tecnici hanno lo scopo di memorizzare le preferenze dell’utente con lo scopo di migliorarne la navigazione, per esempio rendendo più agevole l’autenticazione ad un’area riservata o memorizzando i dati relativi al carrello di un e-commerce.
Parliamo invece di cookie analitici quando questi file servono a misurare per esempio il numero di sessioni, la durata, il numero di visitatori unici approdati su un determinato sito allo scopo di fornire in forma aggregata delle statistiche quantitative e qualitative di utilizzo.
Diversa questione, molto più delicata, riguarda invece i cookie di profilazione.
Si tratta sempre di piccoli file di testo sfruttati per profilare gli utenti, memorizzandone le attività, le preferenze e i comportamenti online con lo scopo finale di offrire annunci pubblicitari sempre più in linea con i loro interessi.
In questo quadro dobbiamo infine dare nota anche dei cookie di terze parti che consentono ad aziende esterne ed estranee al proprietario del sito di definire i profili degli utenti a scopo pubblicitario tramite i dati acquisiti con i cookie.
Temi che il tuo sito non rispetti tutte le nuove regole emanate dal Garante per la Privacy? Contattaci per una consulenza!
Incominciamo subito con il dire che le nuove linee guida emanate dal Garante per la Protezione dei Dati Personali, in vigore dal 9 luglio 2021, dovranno essere rese operative dai titolari dei siti web entro sei mesi da questa data.
Per quanto riguarda i cookie tecnici, l’unico obbligo sarà quello di informare l’utente, tramite specifico avviso che potrà anche essere contenuto nella Privacy policy generale del sito.
Tutti gli altri cookie (analitici, di profilazione e di terze parti), nonché gli altri strumenti di tracciamento online (anche detti “passivi” e idonei alla semplice identificazione del dispositivo utilizzato dall’utente, in base alla configurazione del dispositivo stesso) potranno essere sfruttati solamente previo consenso informato – con formula opt-in – da parte dell’utente, salvo alcune eccezioni che vedremo tra poco.
Qui si configura quindi un’importante novità: non potrà più essere invocato da parte del titolare del sito web un interesse legittimo per poter utilizzare liberamente i dati ottenuti tramite cookie, cosa che invece prima dell’emanazione delle nuove linee guida era concesso.
L’unico modo per poter sfruttare questi strumenti sarà quello di aver avuto il consenso espresso da parte dell’utente.
Nello specifico, come detto, per i cookie tecnici non vi è necessità di acquisizione del consenso.
I cookie di profilazione richiedono invece sempre il consenso dell’utente.
I cookie analitici infine necessitano di consenso, salvo che esistano le seguenti condizioni:
- vengano utilizzati solo per generare statistiche aggregate, con riferimento ad un singolo sito o app mobile;
- per i cookie di terze parti venga oscurata almeno la quarta parte dell’indirizzo IP;
- le terze parti non combinino i cookie analitici, così minimizzati, con altre elaborazioni (per esempio analisi statistiche di visite ad altri domini) o non li trasmettano ad ulteriori terzi evitando così di aumentare i rischio di identificazione degli utenti. Queste considerazioni restano valide a meno che l’elaborazione di analisi statistiche effettuate dalle terze parti con i dati minimizzati non riguardi più domini, app o siti web riconducibili allo stesso publisher o gruppo imprenditoriale: in tal caso il consenso sarà necessario.
Vi è infine un’eccezione alla regola della minimizzazione dei dati: diventa lecito il ricorso a statistiche riguardanti più domini, app o siti web riconducibili allo stesso titolare purché costui elabori autonomamente le statistiche e senza che l’analisi assuma una finalità di tipo commerciale.
Passiamo ora in rassegna alcune delle modifiche richieste dal Garante con riferimento alle modalità con le quali l’utente può esprimere il suo consenso al tracciamento mediante cookie.
Le nuove linee guida affermano che il banner informativo debba essere presente nella prima pagina del sito con dimensioni adeguate, non tali da oscurare completamente la pagina.
Inoltre, il sito per impostazione predefinita (privacy by default) non deve installare alcun cookie diverso da quelli necessari prima che l’utente abbia fatto la sua scelta relativa al tracciamento.
Come dev’esser il banner?
Il banner deve contenere:
- un riassunto dell’informativa completa
- un link alla suddetta informativa (la quale deve sempre essere raggiungibile tramite collegamento sul footer di ogni pagina)
- un comando per l’accettazione di tutti i cookie
- un link dove poter esprimere le proprie preferenze riguardo la scelta dei cookie
I tipi di cookie possono essere raccolti in categorie omogenee, senza specificare nel dettaglio tutti i cookie presenti mentre le terze parti debbono essere esplicitate e raggiungibili tramite link specifici.
Deve essere presente e graficamente evidente un comando di chiusura del banner che permette di proseguire con la navigazione, senza installare altri cookie.
Il garante è poi intervenuto su un tema importante: qualora l’utente abbia negato il suo consenso ai cookie e dovesse ritornare sul sito, il banner non dovrebbe più essere riproposto se non dopo 6 mesi dalla prima scelta, salvo cambiamenti significativi delle condizioni di trattamento oppure qualora non sia possibile per il gestore del sito web capire se un cookie sia già stato precedentemente salvato sul device per esser poi trasmesso, in occasione di una successiva visita da parte dell’utente, di nuovo al sito che lo ha generato.
Chiaramente l’utente potrà sempre di sua spontanea volontà decidere di cambiare le proprie preferenze già espresse. A questo fine, il responsabile del sito dovrà inserire nel footer un link che permetta all’utente la revisione delle proprie scelte.
In relazione a ciò è chiaro che i consensi e le eventuali modifiche degli stessi debbano essere memorizzati in un apposito database del sito. In questo modo il titolare potrà sempre rendere evidenti le scelte fatte dall’utente, secondo il principio di accountability.
Inoltre con rifermento a questi utenti il titolare dovrà dare la possibilità di scegliere se il tracciamento che li riguarda possa essere messo in azione anche tramite diversi device.
Nelle linee guida sui cookie pubblicate dal Garante per la Protezione dei Dati Personali vengono chiariti anche due importanti questioni sull’acquisizione del consenso:
- la semplice attività di scrolling che si configura quando l’utente scorre i contenuti della pagina, bypassando il banner informativo per andare a leggere ciò che cercava, non può in alcun modo essere considerato equivalente all’accettazione espressa dell’utilizzo dei cookie.
- non può essere considerato libero il consenso che il responsabile del sito “estorce” all’utente tramite il cosiddetto “cookie wall” ovvero quella pratica che costringe ad accettare l’utilizzo dei cookie per poter accedere al sito.
I consensi ottenuti prima dell’entrate in vigore delle nuove regole restano validi purché conformi ai requisiti previste dal GDPR e documentabili.
