Cookie 2021: nuove linee guida a tutela degli utenti

Alla luce delle innovazioni tecnologiche e dell’introduzione del GDPR, il Garante per la protezione dei dati ha approvato una nuova regolamentazione sull’utilizzo dei cookie e di altri strumenti di tracciamento, dando 6 mesi di tempo ai titolari di siti web per adeguarsi alle nuove direttive.

Le nuove linee guida nascono, dunque, con l’obiettivo di adattare il precedente provvedimento del 2014 all’evoluzione della normativa in materia di privacy determinata dall’avvento del GDPR, specificando le corrette modalità per fornire la Cookie Policy e per acquisire il consenso.

Scopriamo più nel dettaglio cosa prevedono le nuove linee guida Cookie 2021 e soprattutto cosa bisogna fare per essere a norma con i propri siti web.

I cookie e gli altri strumenti di tracciamento

Le nuove regole si applicano principalmente ai cookie ed agli altri strumenti di tracciamento.

Ricordiamo che:

• I cookie sono pacchetti di dati che i siti memorizzano all’interno del browser web dell’utente per tenere traccia delle visite e delle attività dei visitatori; se ne distinguono di diverso tipo: tecnici, analitici e di profilazione.
• altri strumenti di tracciamento, diversi dai cookie, conosciuti anche come fingerprinting sono strumenti passivi di tracciamento, che consentono di identificare il dispositivo utilizzato dall’utente tramite la raccolta delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.

Il Garante ha emanato diversi provvedimenti per adeguare l’utilizzo dei cookie tecnici, analitici e di profilazione. Vediamo quali sono.

I Cookie tecnici

I cookie tecnici riguardano dati non personali, come le impostazioni sulla lingua o sulla tipologia di dispositivo utilizzato, che vengono archiviati per consentire una determinata azione sul sito.

Cosa bisogna fare per essere a norma con i cookie tecnici?

Per l’impiego di questi cookie, sarà imprescindibile aver fornito l’informativa sul loro utilizzo, anche all’interno della generale informativa privacy. Non sarà necessario, invece, raccogliere il consenso.

I Cookie analitici

I cookie analitici sono i cookie destinati a fornire al gestore del sito web dati meramente statistici, come ad esempio il numero totale di visitatori approdati sul sito o su una singola pagina.

Per i cookie analitici, secondo il Garante, non sarà necessario richiedere il consenso solo se:

• i dati raccolti vengono utilizzati solo ai fini statistici;
• per i cookie di terze parti, viene oscurata almeno la quarta componente dell’indirizzo IP;
• le terze parti non divulgano i dati a terzi;

I cookie di profilazione: acquisizione del consenso

I cookie di profilazione, invece, consentono di profilare l’utente, in base alle azioni e ai comportamenti manifestati in fase di navigazione sul sito. Tali dati vengono poi utilizzati a scopi commerciali per l’invio di messaggi, email pubblicitarie create su misura in base ai gusti e alle preferenze rivelate in rete dall’utente profilato.

Stando a quanto riporta l’Autorità per la Privacy, per essere a norma con i cookie di profilazione, è strettamente necessario acquisire il valido consenso dell’utente, prima che i cookie vengano installati.

Per considerarsi valido, il consenso deve essere in linea con i principi di libertà, informazione, inequivocabilità e specificità richiesti dal GDPR, e rispondente ai principi di privacy by design e privacy by default.

L’approvazione, dunque, da parte dell’utente deve essere:

• liberamente prestata: non deve essere vincolate alla navigazione;
• specifica: nel form del consenso deve essere riportata la finalità del trattamento e i form devono essere distinti in relazione alle diverse finalità perseguite;
• espressa in modo chiara e inequivocabile: all’utente deve essere richiesta l’accettazione della profilazione attraverso un comando (non pre-flaggato) e contestualmente deve essere presente un link in cui l’utente potrà selezionare ciascuna funzionalità e scegliere le terze parti a cui scegliere di prestare o meno l’autorizzazione.

Da queste caratteristiche del consenso, deriva che non possono essere ritenuti legittimi i cookie wall (grandi banner che impediscono la navigazione se non si dà il consenso ai cookie) e lo scrolling del sito come segno di accettazione.

Vediamo dunque come deve essere l’informativa nella Cookie Policy e come adeguare il Cookie Banner.

La Cookie Policy: nuove linee guida

L’Autorità per la Privacy cita alcune caratteristiche che non devono assolutamente mancare nell’informativa sui cookie:

• deve essere scritta in un linguaggio semplice e comprensibile;
• consultabile anche da parte di coloro che hanno disabilità;
• può essere trasmessa su più canali e con diverse modalità (ad esempio, con pop-up, video, interazioni vocali, chatbot ecc.);
• deve indicare gli eventuali altri soggetti destinatari dei dati e i tempi di conservazione delle informazioni;
• deve indicare i diritti degli interessati riconosciuti dal Regolamento GDPR.

Il Cookie Banner: nuove linee guida

Anche il Cookie Banner deve adeguarsi ad alcune nuove regole.

Prima di tutto, è necessario utilizzarlo in presenza di cookie per raccogliere il consenso prima dell’installazione e tracciamento di quest’ultimi.

Anche il banner deve osservare alcune indicazioni:

• deve immediatamente comparire in primo piano e deve essere di dimensioni sufficienti in modo da garantire una certa discontinuità nella fruizione dei contenuti della pagina web che l’utente sta navigando;
• deve indicare che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento specificando le relative finalità;
• il link alla Privacy Policy contenente l’informativa estesa con le informazioni sopra riportate, che deve essere reperibile anche nel footer di qualsiasi pagina del dominio cui l’utente accede;
• l’avvertenza che la chiusura del banner (ad esempio la x sul pop-up) implica il rifiuto di cookie di profilazione o di altre tecniche di tracciamento, al contrario di quelli tecnici.

Alla luce di queste indicazioni, il banner deve necessariamente contenere:

• il pulsante per chiudere il banner (esempio una X in alto a destra) senza prestare il consenso all’utilizzo dei cookie di profilazione o di altri strumenti di tracciamento;
• un comando per l’accettazione di tutti i cookie di tracciamento;
• il link che riporta in modo chiaro e analitico le funzionalità, le terze parti e i cookie che si vogliono installare e scegliere di prestare il consenso all’impiego di tutti i cookie se non rilasciato in precedenza o revocarlo, se già espresso.

Il Garante sottolinea, inoltre, che è ridondante ed invasivo riproporre il banner agli utenti che in precedenza hanno negato il consenso volontariamente.

La scelta dell’utente, dunque, deve essere registrata e non più sollecitata, a meno che non cambino significativamente le condizioni del trattamento dei dati, siano trascorsi almeno 6 mesi dalla precedente presentazione del banner o sia impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel sito.

Infine, il Garante suggerisce l’adozione di un segno grafico, un’icona o altro accorgimento tecnico nel footer di pagina che indichi lo stato dei consensi in precedenza rilasciati dall’utente consentendone, dunque, in qualsiasi momento l’eventuale modifica o aggiornamento.

---

Scopri di più sulla: “Creazione di siti web“

Quanto tempo hanno i siti web per adeguarsi alle nuove direttive?

Il Garante richiama i titolari dei siti web a conformarsi alle nuove regole ENTRO 6 MESI dalla pubblicazione in Gazzetta Ufficiale del provvedimento.

Adeguarsi in modo corretto e nei tempi giusti è molto importante per evitare sanzioni da parte del Garante della Privacy e problemi legali.

Non sai come procedere? Non preoccuparti, Contattaci!

---