Come adattarsi alle nuove disposizioni del Garante sui cookie

Focus sulle Linee guida cookie e altri strumenti di tracciamento pubblicate dal Garante Italiano

Nel corso del 2021, il Garante per la protezione dei dati personali ha reso noto il testo definitivo per l’Italia delle Linee guida cookie e altri strumenti di tracciamento. A causa delle complessità della messa a norma, c’è tempo per le aziende (non solo quelle aventi sede in Italia ma anche quelle che hanno clienti con sede in Italia) di adeguarsi fino al 10 gennaio 2022; dopo tale data i consensi già raccolti non conformi al regolamento GDPR non potranno essere più utilizzati.
Le nuove Linee Guida del Garante hanno l’obiettivo di specificare le corrette modalità per la redazione dell’informativa e per l’acquisizione del consenso degli interessati. Ecco allora di seguito alcuni passaggi chiave che andranno ad impattare e a modificare quanto finora emerso in materia di cookie policy.

Tipologie degli strumenti di tracciamento

Le Linee Guida definiscono cosa debba intendersi per cookie e differenziano tra cookie installati direttamente dall’editore del sito (le cosiddette “prime parti”) e cookie installati da siti o web server diversi (le cosiddette “terze parti”). Le Linee Guida si applicano all’installazione di tutti i cookie su qualunque dispositivo che fornisce agli utenti servizi di varia natura.

Oltre ai cookie, si prendono in esame altri strumenti di tracciamento che si distinguono in:

  • identificatori attivi (simili ai cookie);
  • identificatori passivi (fingerprinting e altri strumenti di tracciamento) che non prevedono necessariamente la memorizzazione di informazioni all’interno del dispositivo dell’utente ma sono da considerarsi alla pari di quelli attivi ai fini delle linee guida

Le due macro categorie più rilevanti sono senz’altro:

  • cookie o altri strumenti di tracciamento tecnici per i quali continua a non essere prevista la raccolta del consenso. Resta l’obbligo comunque di fornire la specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale;
  • cookie o altri strumenti di tracciamento di profilazione che consentono, tra l’altro, di personalizzare il servizio ed erogare messaggi pubblicitari mirati, ma che ricadono nell’obbligo dell’ottenimento del consenso informato.

No a scrolling e cookie wall

  • Il semplice scrolling della pagina non può essere ritenuto, di per sé, un valido consenso all’installazione e all’utilizzo di cookie,
  • I cookie wall che bloccano la visualizzazione del sito stesso non sono idonei alla raccolta del consenso in accordo alla normativa attuale. Quando invece la dimensione del banner, seppur invasiva, consente all’utente di fruire di un contenuto o servizio senza prestare il proprio consenso all’uso dei cookie è accettato.

Come acquisire il consenso

  • Nessun cookie o altro strumento di tracciamento attivo o passivo diverso da quelli strettamente necessari può essere utilizzato, se non previo rilascio dell’informativa e l’acquisizione del consenso dell’utente.
  • Quando l’utente accede per la prima volta al sito web, appare un banner in primo piano (separato da altre informazioni del sito) che deve consentire all’utente di esprimere la sua scelta; il banner deve presentare al suo interno una “X” in alto a destra, che, se selezionata, comporta il rifiuto di essere tracciato da cookie o altri identificatori diversi da quelli tecnici.
  • Il banner, inoltre, deve contenere:
      1. l’avvertenza che la chiusura comporta la continuazione della navigazione in assenza di cookie o altri identificatori diversi da quelli tecnici;
      2. un’informativa breve che spieghi all’utente che il sito utilizza cookie o altri strumenti tecnici e  – solo previo consenso dell’utente – il sito permetterà il rilascio anche di cookie di profilazione o altri strumenti di tracciamento;
      3. il link alla privacy policy, ovvero ad una informativa estesa che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina;
      4. un comando per poter esprimere il consenso, accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
      5. il link ad un’ulteriore area in cui sia possibile selezionare soltanto le funzionalità, le terze parti – il cui elenco deve essere tenuto costantemente aggiornato – e i cookie anche eventualmente raggruppati per categorie omogenee, a cui l’utente sceglie di acconsentire.

  • Per assicurare che il consenso sia libero e l’utente non influenzato, è raccomandato l’utilizzo di comandi e di caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare ed utilizzare.
  • Il contenuto del banner deve poter essere modificato in base alla necessità di rendere lo stesso accessibile anche a coloro che, a causa di disabilità, necessitano di tecnologie assistive o configurazioni particolari.

Reiterazione del consenso

  • La mancata prestazione del consenso o la scelta dell’utente di richiedere l’installazione esclusivamente di determinati cookie deve essere registrata e il banner di consenso non dovrebbe essere più essere proposto a meno che
      1. una o più condizioni del trattamento mutino significativamente,
      2. quando sia impossibile per l’editore tenere conto delle scelte precedentemente compiute dall’utente
      3. siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Modifica o revoca del consenso

    • Posizionamento in ciascuna pagina di un segno grafico, un’icona o un link che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi dall’utente, così da consentire, in ogni momento, l’eventuale modifica o aggiornamento. Le nuove scelte dovranno sovrascrivere le precedenti ed essere considerate come modifica delle precedenti opzioni.
    • Possono essere utilizzate anche altre modalità di raccolta del consenso, ad esempio nel caso in cui l’utente acceda ad un servizio mediante uso di credenziali di autenticazione o di accesso. In tali casi, fin dal momento della creazione dell’account il titolare potrà procedere all’adempimento degli obblighi di informativa e raccolta del consenso per l’impiego di cookie o altri strumenti di tracciamento
    •  È comunque vietato incrociare i dati degli utenti loggati relativi alla navigazione effettuata tramite l’uso di più dispositivi, se non previo consenso.

 

Cookie analytics di terze parti

I cookie o altri identificatori analytics possono rientrare tra i cookie o identificatori tecnici e, quindi, non essere soggetti all’obbligo di ottenimento del consenso, purché:

  • il potere identificativo dei cookie o identificatori analytics venga minimizzato ed è impedita la diretta individuazione dell’interessato (cd. single out).
  • la struttura del cookie analytics dovrà prevedere la possibilità che lo stesso cookie sia riferibile a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Si potrà procedere così mediante l’anonimizzazione dell’indirizzo IP.
  • il loro uso sia limitato unicamente alla produzione di statistiche aggregate, in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della persona che utilizza applicazioni diverse o naviga in siti web diversi;
  • le terze parti che intervengono in queste attività non combinino i dati raccolti né li trasmettano ad altre terze parti; è invece consentita alle terze parti la produzione di statistiche con dati relativi a più domini, se riconducibili al medesimo editore o gruppo imprenditoriale.
  • Il titolare può, utilizzando anche dati in chiaro, far ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in un’attività di natura commerciale.
  • Per quanto riguarda l’elenco delle terze parti, le Linee Guida confermano la possibilità di indicarle attraverso un link al sito web di un soggetto intermediario che li rappresenti. In ogni caso, l’elenco delle terze parti dev’essere tenuto costantemente aggiornato.

 

Questo articolo è stato scritto da Matteo Puglia, Legal Counsel di Webranking.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *