Cookie, deadline in arrivo per l’adeguamento alle nuove linee guida del Garante
Mancano ormai poche settimane al termine concesso per l’adeguamento dei sistemi e dei trattamenti ai principi espressi dalle nuove Linee Guida sui cookie del Garante per la Privacy.
Risale infatti al 10 giugno 2021 la delibera intitolata “Linee guida cookie e altri strumenti di tracciamento” (Provvedimento n. 231) pubblicata in Gazzetta Ufficiale il 9 Luglio 2021. Il tempo per l’adeguamento risulta infatti essere a 6 mesi dalla pubblicazione delle Linee Guida nella Gazzetta Ufficiale.
Il Garante ha ritenuto necessario esprimere queste linee guida per rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.
Cosa comportano le nuove linee guida del Garante per chi ha un sito web?
Quali adeguamenti vanno apportati? Un grande aiuto per rispondere a questa domanda è dato dalla Scheda di sintesi pubblicata come Allegato 1 alle linee guida.
Nel seguito di questo articolo vengono presentati alcuni punti da tenere in considerazione durante le procedure per l’adeguamento, ma vista l’importanza e la delicatezza del tema, invitiamo chiunque sia in procinto ad effettuare un intervento sui propri siti a far riferimento alla documentazione ufficiale presente sul sito del Garante.
Iniziamo con un pò di teoria.
Cosa sono i cookie?
I cookie sono di regola stringhe di testo che i siti web visitati dall'utente ovvero siti o web server diversi (cd. "terze parti") posizionano e archiviano all'interno di un dispositivo
terminale nella disponibilità dell'utente.
Cosa sono i cookie tecnici
Si definiscono “Cookie tecnici” quei cookie utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio".
È richiesta l’acquisizione del consenso per i cookie tecnici?
La Scheda di sintesi afferma che i cookie tecnici non richiedono l'acquisizione del consenso, ma vanno indicati nell'informativa.
I cookie analytics prime e terze parti sono equiparabili ai cookie tecnici?
I cookie analytics prime e terze parti sono equiparabili ai cookie tecnici solo se:
- vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
- viene mascherata, per quelli di terze parti, almeno la quarta componente dell'indirizzo IP.
- le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (ad esempio statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terzi.
È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale.
In caso di dubbi sul fatto che tutti i requisiti per poter considerare i cookie analytics alla stregua dei cookie tecnici siano verificati, suggeriamo di trattarli separatamente dai primi, e di chiedere al visitatore il consenso esplicito.
Cosa sono quindi i cookie e gli identificatori di tracciamento non tecnici?
I cookie e gli identificatori di tracciamento non tecnici sono quelli utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte dal sito o da un’app per vari fini: raggruppamento dei diversi profili all'interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete.
Quali caratteristiche dovrà avere l’informativa
L’informativa deve essere scritta in un linguaggio semplice ed accessibile, e deve essere fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari;
Se si utilizzano solo cookie tecnici, come va mostrata l’informativa?
In questo caso l’informativa può essere collocata nella home page del sito o nell'informativa generale.
E se si utilizzano anche cookie non tecnici, invece?
Se si utilizzano anche altri cookie e identificatori "non tecnici", si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:
- l'indicazione che il sito utilizza cookie tecnici e, previo consenso dell'utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
- il link alla privacy policy contenente l'informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l'esercizio dei diritti di cui al Regolamento;
- l'avvertenza che la chiusura del banner (ad es. mediante selezione dell'apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
Cosa dovrà contenere il banner a comparsa immediata nel caso in cui siano presenti anche cookie non tecnici?
Ai fini dell'acquisizione del consenso, nel caso in cui siano presenti anche cookie non tecnici, il banner dovrà contenere:
- il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all'uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
- un comando per accettare tutti i cookie o altre tecniche di tracciamento;
- il link ad un'altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all'impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l'impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall'utente consentendone l'eventuale modifica modifica o aggiornamento. Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio;
Ogni quanto tempo va reiterata la richiesta di consenso?
La richiesta del consenso non va reiterata in presenza di una precedente mancata prestazione dello stesso, tranne:
- se mutano significativamente le condizioni del trattamento;
- se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo;
- se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.
È permesso lo scrolling come richiesta di consenso?
No, a meno che questo venga inserito in un processo più articolato in cui l’utente sia in grado di generare un evento registrabile e documentabile.
Se non sei sicuro che il tuo sito web sia conforme alle ultime linee guida del Garante, siamo a tua disposizione per supportarti nell’operazione di adeguamento, contattaci!