Il Garante per la protezione dei dati personali ha approvato a luglio 2021 le nuove “Linee guida sull’utilizzo dei cookie per i siti web” con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano su Internet.
I cookie sono stringhe di testo che i siti web o i servizi digitali utilizzati dall’utente posizionano all’interno di un dispositivo terminale (per esempio un computer o uno smartphone) in uso all’utente stesso. Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa, consentono di effettuare trattamenti analoghi a quelli svolti tramite i cookie.
L’aggiornamento delle precedenti Linee guida, che risalgono al 2014, si è rivelato necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy (Gdpr) in vigore dal 2018. Tengono inoltre conto dell’esperienza maturata in questi anni in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici del Garante, e si prefiggono lo scopo di gestire il crescente uso di sistemi di tracciamento sul web particolarmente invasivi vista la moltiplicazione delle identità digitali degli utenti che porta a profilazioni sempre più dettagliate.
Quali novità?
In occasione del primo accesso a un sito web, ogni sistema di acquisizione del consenso online dovrà innanzitutto garantire che, per impostazione di default (predefinita), nessun cookie o altro strumento diverso da quelli “tecnici” venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento. Inoltre, è importante sottolineare come, nel rispetto del Gdpr, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni, come del resto già avviene analogamente per il trattamento dei dati personali per mezzo dell’informativa Gdpr.
Ricordiamo che esistono tre tipologie di cookie: cercando di semplificare, quelli “tecnici” che permettono di erogare un servizio, quelli della categoria “analytics” per la raccolta di dati statistici e quelli cosiddetti di “profilazione” o “non tecnici”, che permettono di ricondurre le azioni svolte sulla rete o sul sito web a soggetti identificabili (gli utenti).
Di conseguenza, come previsto dal Gdpr, a differenza dei cookie “tecnici” e “statistici” se anonimizzati, in tutti gli altri casi l’utilizzo è subordinato a un consenso esplicito e inequivocabile che le nuove Linee guida rafforzano.
Un aspetto importante, che in qualche modo riduce il lavoro degli sviluppatori, è la conferma dell’obbligo dell’aggiornamento della sola informativa, senza l’utilizzo di banner per intenderci, nel caso di utilizzo dei soli cookie “tecnici” e dei cookie di tipo “analytics” nel caso, come detto, siano usati anonimizzati solo per valutare l’efficacia di un servizio o per scopi statistici aggregati.
L’informativa deve essere redatta con un linguaggio semplice, accessibile e fruibile anche da parte di coloro che hanno delle disabilità. Nel caso di utilizzo di soli cookie “tecnici”, l’informativa deve essere accessibile dalla home page del sito web o inserita nell’informativa generale aziendale. Nel caso di presenza di altri cookie e altri identificatori “non tecnici”, è possibile utilizzare un banner a comparsa immediata, di adeguate dimensioni, che deve contenere:
a. l’indicazione dei cookie utilizzati e di altri strumenti di tracciamento indicando le relative finalità (informativa breve);
b. il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
c. l’avvertenza che la chiusura del banner (ad esempio mediante un comando o bottone posto al suo interno) comporta il permanere delle impostazioni di “default” e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
Ai fini dell’acquisizione del consenso, il banner dovrà contenere, oltre al sistema di chiusura come riportato al punto c), un comando per accettare i cookie (o eventuali altre tecniche di tracciamento), un link a una specifica area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie per poter prestare il consenso singolarmente se non dato in precedenza e la possibilità, nel caso, di revoca anche in unica soluzione. È importante, pertanto, che da ogni pagina del sito web, magari a fondo pagina, sia possibile accedere alla pagina dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento.
È, però, rilevante sottolineare come non siano accettabili le reiterazioni della richiesta del consenso, tranne nel caso siano significativamente mutate le condizioni del trattamento, nel caso di impossibilità di sapere se un cookie sia stato già memorizzato nel dispositivo dell’utente oppure dopo almeno sei mesi dalla precedente presentazione del banner. Inoltre, nel caso di utenti provvisti di account (utenti autenticati), è fatto divieto incrociare i dati relativi alla navigazione, effettuata tramite uso di più dispositivi, se non dopo aver raccolto uno specifico consenso e integrato nell’informativa tale possibilità.
La data entro la quale è necessario adeguare i siti web è stata fissata al 9 gennaio 2022, quindi è attualmente in vigore. Ovviamente questo articolo non vuole risultare risolutivo e per questo si consiglia, sempre e comunque, di rivolgersi a professionisti in materia capaci di valutare ogni specifica esigenza, caratteristiche e finalità dei dati raccolti e di conseguenza consigliare come procedere con gli adeguamenti del caso.
Articolo pubblicato su Ottica Italiana 747-2021