Novità sui Cookie

Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021

 

Il Garante per la protezione dei dati personali ha approvato il 10 giugno 2021 le nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.

I titolari dei siti avranno sei mesi di tempo per conformarsi ai principi contenuti nelle Linee guida, la data di applicazione è il 10 gennaio 2022.

Le nuove linee guida modificano alcune importanti caratteristiche della gestione dei cookie come l’integrazione dell’informativa, il rafforzamento del consenso e le modalità di raccolta del consenso.

Nel documento viene fornita una definizione e classificazione dei cookie.

“I cookie sono stringhe di testo che i siti web visitati dall’utente ovvero siti o web server posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo. I software per la navigazione in internet e il funzionamento di questi dispositivi possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.”

Le informazioni codificate nei cookie possono comprendere dati personali, come un indirizzo IP, un nome utente, un indirizzo e-mail, ma possono anche contenere dati non personali.

I cookie possono svolgere importanti funzioni per facilitare la navigazione dell’utente, possono monitorare le sessioni, memorizzare informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, agevolare la fruizione dei contenuti, personalizzare i contenuti pubblicitari e altro ancora.

 

Le macro-categorie dei cookie previste dal Garante: 

 

  • Cookie tecnici – necessari per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice privacy).  Sono cookie tecnici ad esempio i cookie necessari a ricordare la scelta dell’utente con riferimento alla chiusura del banner oppure i cookie che permettono di gestire l’autenticazione di un utente nella sua area riservata.  Per questa tipologia di cookie non deve essere richiesto il consenso dell’utente, è sufficiente la Cookie Policy.

 

  • Cookie di profilazione – usati per “ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete” (nuove linee guida, par. 4).  Questi sono ad esempio i cookie di Facebook e altre piattaforme social.

 

  • Cookie analytics – sono cookie utilizzati per valutare l’efficacia di un servizio della società dell’informazione fornito da un titolare di un sito; per la progettazione di un sito web;  per contribuire a misurare il “traffico” di un sito web, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.

 

Principali novità – Rafforzamento del consenso e integrazione dell’informativa

 

Fondamentale per l’installazione dei cookie è il consenso, con la presenza di alcune deroghe (come ad esempio per i cookie tecnici).

Per i cookie di profilazione rimane la necessità di richiedere il consenso attraverso un banner.  Di norma anche per i cookie analytics occorre richiedere il consenso, salvo alcune condizioni  stabilite dal Garante.

I cookie analytics possono essere considerati tecnici solo se non è possibile identificare in modo diretto o indiretto l’utente.

Il consenso deve essere espresso mediante un atto positivo, cioè un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consente di qualificarlo in possesso dei requisiti richiesti dal Regolamento. 

Il consenso deve essere libero, informato, inequivoco, specifico in relazione alle diverse finalità del trattamento.

Un’importante novità è infatti la registrazione del consenso, non prevista in precedenza. I titolari dei siti dovranno conservare un registro dei consensi degli utenti ed offrire la possibilità agli stessi di revocarlo in qualsiasi momento.

Il Garante precisa che l’informativa nel rispetto dei principi del GDPR deve essere resa con un linguaggio semplice, accessibile e comprensibile a tutti.

Il banner informativo deve contenere:

  • l’indicazione delle tipologie di cookie utilizzate dal sito, la richiesta di consenso quando necessario e le relative finalità (informativa breve);
  •  il link alla privacy policy e cookie policy contenente l’informativa completa, gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
  • l’avvertenza che in caso di chiusura del banner di decide di mantenere le impostazioni di default e di continuare a navigare in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

In virtù dei principi di privacy by design e privacy by default ogni attività di trattamento dovrà prevedere al proprio interno già di default elementi per la protezione dei dati personali e il rispetto di tutti i requisiti sanciti dal GDPR.

Nelle nuove linee guida è previsto che il consenso sia raccolto in modo conforme alla normative, pertanto il banner deve contenere: 

  • un comando (es. una “X” in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default; 
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento; 
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.

Il Garante prevede l’utilizzo di comandi e caratteri di uguali dimensioni, colori, facili da visionare, assicurando che gli utenti non siano influenzati da scelte di design del sito tali da indirizzare l’utente verso il consenso.

Inoltre, gli utenti dovranno avere la possibilità di modificare le proprie scelte in ogni momento ed in maniera semplice, immediata ed intuitiva. Come? Attraverso un’apposita area da rendere accessibile nel footer del sito e facilmente comprensibili come “rivedi le tue scelte sui cookie”.

Viene anche specificato che le modalità di raccolta del consenso come lo scrolling e i cookie wall non sono leciti.

Lo scrolling è una modalità di raccolta del consenso che consiste nello spostamento in basso del cursore, o scorrimento della pagina senza il compimento di un atto positivo dell’utente.

Il cookie wall è un meccanismo vincolante per cui l’utente, per accedere al sito, deve necessariamente prestare il proprio consenso al trattamento dei dati personali tramite cookie.

Entrambe le modalità sopra citate sono considerate illegittime salvo ipotesi verificate caso per caso.

Infine un’ultima novità di impatto è l’impossibilità per il titolare del sito di reiterare la richiesta del consenso in presenza di un rifiuto dello stesso, per esempio, riproponendo il banner ad ogni visita del sito.

La scelta dell’utente dovrà essere registrata e non più sollecitata per un periodo di almeno sei mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

I consensi raccolti prima della pubblicazione delle linee guida mantengono la loro validità condizione che siano conformi alle caratteristiche richieste dal GDPR, registrati e documentabili.

 

Per maggiori informazioni partecipa al nostro Webinar e seguici sulle nostre pagine social.

Contattaci a privacy@deeperformance.com

 

Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Condividi questo articolo sui tuoi canali social!