Il 9 luglio 2021 sono state pubblicate le nuove linee guida per l’utilizzo dei cookie e altri strumenti di tracciamento che vanno a sostituire le precedenti normative del Garante Privacy.

A partire da quella data, sono stati dati sei mesi di tempo per l’adeguamento dei siti web alla nuova normativa.
Una soluzione che risultava ormai necessaria perché in Italia l’ultimo provvedimento risaliva all’8 maggio 2014. Precedente quindi al GDPR, il regolamento generale per la protezione dei dati personali, pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016.

COSA SONO I COOKIE

Quando navighiamo online lasciamo traccia della nostra attività. Questa viene immagazzinata dai cookie, piccole stringhe di testo che vengono installati sul terminale dell’utente e ne contengono i dati di navigazione.

Attraverso i cookie vengono memorizzate le informazioni relative alle abitudini dell’utente: quando accettiamo i cookie di un determinato sito, ogni volta che ci ricolleghiamo dallo stesso dispositivo veniamo riconosciuti e la nostra attività diventa così tracciabile nel tempo.

È chiaro che questo strumento permette quindi di capire come cambiano le nostre abitudini e le necessità nel tempo.

Avete mai provato a ricercare su qualche piattaforma di prenotazione viaggio una destinazione e farvi poi ritorno dopo qualche giorno? Se sì, avrete notato come, una volta ritornati, il sito vi abbia poi mostrato dei suggerimenti sulla base delle ultime ricerche effettuate. Ecco, questo è possibile grazie ai cookie.

Questi sono utili alle aziende per poter personalizzare la navigazione sulla base degli interessi del singolo utente e migliorare il servizio offerto.

TIPOLIGIE DI COOKIE E ALTRI STRUMENTI

Esistono diverse classificazioni dei cookie. Possiamo suddividerli in base alla durata: possono essere “di sessione” e quindi verranno cancellati al termine, oppure “permanenti” che riconoscono l’utente quando si riconnette al sito.

Un altro modo di classificare i cookie è quello basato sul loro scopo, che permette di suddividerli in due categorie: cookie tecnici e di profilazione.
I cookie tecnici sono quelli che servono al sito per consentire all’utente di effettuare una specifica operazione, pertanto non necessitano di consenso.

I cookie di profilazione, invece, sono quelli che vengono utilizzati per scopi di marketing. Sono quelli che permettono di raccogliere informazioni comportamentali e di personalizzare sulla base di questi il servizio offerto. Consentono di segmentare gli utenti e ricondurli a cluster omogenei in base alle loro abitudini comportamentali online. A differenza dei cookie tecnici, in questo caso è richiesto il consenso da parte dell’utente.

Abbiamo poi i cookie analytics che, salvo eccezioni, necessitano di consenso. Questi raccolgono informazioni per la produzione di statistiche aggregate e per analisi dell’andamento di un sito.

I cookie sono identificati come strumenti di tracciamento “attivi” perché sono stringhe di testo che l’utente può cancellare dal suo terminale. Ma esistono anche sistemi di tracciamento di natura “passiva” attraverso cui vengono archiviate informazioni che rimangono nella sola disponibilità del titolare.

LE NUOVE LINEE GUIDA SUI COOKIE

1. CARATTERISTICHE DEL BANNER

Il Garante ha fornito nella nuova guida le indicazioni precise per la struttura del banner, in modo da chiarire i dubbi degli operatori che devono adeguare i loro siti alla normativa.

Gli operatori devono, innanzitutto, rispettare i principi di privacy by design e by default. Questi si assicurano che la tutela della libertà e dei diritti siano la condizione fondamentale per la progettazione delle misure tecniche adottate per il trattamento.

I siti che vogliono utilizzare cookie dovranno necessariamente predisporre un banner per permettere all’utente di decidere se accettare o meno l’installazione di questi. Il banner dovrà inoltre essere configurato in modo che sia leggibile e consultabile.

L’unica esclusione è prevista qualora il sito web utilizzi solamente cookie tecnici, per i quali non è obbligatoria la predisposizione del banner. Anche se sarà obbligatorio informare l’utente dell’utilizzo esclusivo dei cookie tecnici.

Nelle linee guida del garante privacy vengono indicate le caratteristiche minime per la progettazione del banner:

• Dovrà avere un tasto “X” che permetta all’utente di chiuderlo rifiutando in questo modo tutti i cookie diversi da quelli tecnici.
• Bisognerà predisporre un’informativa minima che specifichi che il sito utilizza cookie tecnici o di altre tipologie.
• Dovrà essere presente il link all’informativa estesa che sia reperibile dal footer di ogni pagina del sito web. Qui deve essere illustrata la cookie policy, quindi un dettaglio sulla politica del sito web sull’utilizzo dei cookie, scritta in maniera semplice e comprensibile anche dall’utente.
• Un comando che permetta all’utente di accettare tutti i cookie.
• Un link ad un’area dedicata che dia all’utente la possibilità di selezionare le categorie di cookie e le terze parti a cui fornire il consenso e revisionare quali sono stati quelli accettati e in caso deselezionarli.

2. OTTENERE IL CONSENSO

Il consenso deve essere obbligatoriamente espresso tramite un’azione consapevole come la spunta di una casella apposita. Non è quindi accettato il semplice scrolling e generalmente non viene considerato lecito il cookie wall (il banner che non permette all’utente con la navigazione sul sito senza prima aver accettato i cookie).

Gli utenti autenticati devono essere informati del fatto che i dati raccolti sulla loro attività online possano essere incrociati tra i vari device utilizzati.

Inoltre, una volta che l’utente ha negato il suo consenso o l’ha fornito solo in maniera parziale, il banner non può essere riproposto prima di 6 mesi. Questo perché riproporre il banner ogni volta che un utente entra nel sito potrebbe essere invasivo e andare a ledere la sua libertà decisionale inducendolo alla fine a fornire il suo consenso.

Fanno eccezione alcune particolari situazioni in cui mutano le condizioni di trattamento oppure nel caso in cui il gestore non possa memorizzare il consenso, ad esempio se l’utente decida di cancellare i cookie installati sul proprio dispositivo.

3. MODIFICARE IL CONSENSO

Deve essere prevista una modalità di modifica e aggiornamento delle impostazioni qualora l’utente volesse modificare le scelte sottoscritte in precedenza.

Tutti i consensi ottenuti prima del 10 luglio rimangono validi a patto che rispettino le linee guida del Regolamento e che siano documentabili.

4. ACCOUNTABILITY E INFORMATIVA SULLA PRIVACY

Per raccogliere i consensi, il Garante Privacy, lascia libertà al gestore, applicando il principio di accountability, di pensare ad una soluzione appropriata che permetta di registrare il consenso dell’utente, a patto che questo sia “inequivocabile”.

Il Garante specifica che l’informativa privacy dovrà essere esaustiva e quindi essere completa di tutte le indicazioni fornite agli articoli 12 e 13, scaricabili e consultabili sul sito Garante Privacy.

È necessario indicare il tempo di conservazione dei dati e chi sono i soggetti destinatari. È importante, inoltre, specificare come possono essere esercitati i diritti previsti dal Regolamento.

CONCLUSIONI

Il rapido processo di digitalizzazione ci porta in un contesto di cambiamenti ed evoluzione continua. Questo comporta delle conseguenze anche sul mondo legale e delle normative. Per questo sono necessarie continue variazioni per adeguarsi e rimanere in linea con queste trasformazioni del mondo circostante.

Le nuove linee guida del Garante Privacy danno quindi delle indicazioni generali per allinearsi alle novità e i sei mesi dalla pubblicazione sulla Gazzetta Ufficiale per l’adeguamento sono un modo per fornire alle aziende il tempo di effettuare le varie modifiche e mettere in atto tutte le procedure necessarie.