Telefono: +39 0125 1899500 | E-mail: info@isimply.it

Il Garante Privacy ha emanato, il 10 giugno 2021, le nuove linee guida sui cookie con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on-line e quindi dal 9 gennaio 2022, i titolari di tutti i siti web dovranno conformarsi a tali disposizioni.

 Il provvedimento indica:

  • quali regole applicare alle operazioni di lettura e scrittura all’interno del terminale di un utente, con riferimento all’utilizzo di cookie e di altri strumenti di tracciamento;
  • le corrette modalità di acquisizione del consenso on-line degli interessati. 

 L’acquisizione del consenso deve garantire che sul dispositivo dell’utente non vengano installati cookie diversi da quelli tecnici né altri mezzi di tracciamento.

 

Cosa sono i cookie (e gli altri strumenti di tracciamento)?

Sono stringhe di testo che i siti web visitati dall’utente (o siti web server di terze parti) posizionano e archiviano all'interno del proprio dispositivo durante la navigazione, allo scopo di identificare chi ha già visitato il sito in precedenza (cookie tecnici).

Questa tecnica permette anche di ottenere informazioni più o meno approfondite sull’utente circa le attività che ha svolto online (cookie analitici e di profilazione). 

Questi strumenti possono essere gestiti attivamente dall’utente (es. rifiuto del consenso, rimozione dei cookie dal dispositivo) e per tale motivo vengono definiti anche “identificatori attivi".

Oltre ai cookie, esistono altri oggetti di tracciamento, definiti “identificatori passivi”, che consentono di effettuare trattamenti analoghi ai cookie – come il fingerprinting - con la differenza che non possono essere gestiti autonomamente dagli utenti se non tramite l’intervento del titolare del sito.

 

Quali sono le tipologie di cookie?

A seconda della tipologia di cookie utilizzato è possibile svolgere diverse funzioni, tra cui il monitoraggio di sessioni così come la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server.

I cookie possono essere suddivisi in due macrocategorie: i cookie tecnici e i cookie di profilazione

 

  • I cookie tecnici sono necessari al fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice privacy).  Non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa.

 

  • I cookie di profilazione, invece, sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte. Il raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, consente al titolare di fornire servizi sempre più personalizzati, nonché inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete (nuove linee guida, par. 4).

 

Non vanno inoltre dimenticati i cosiddetti cookie analytics (tra cui rientra, per esempio, il famoso Google Analytics).

Si tratta di cookie utilizzati al fine di valutare l’efficacia di un servizio della società dell’informazione fornito da un titolare di un sito, per progettare un sito web o contribuire a misurare il “traffico” di un sito web, ovvero il numero di visitatori ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.

 

Qual è l’attuale quadro normativo di riferimento?

Il Garante Privacy, con il provvedimento n. 229 dell'8 maggio 2014, era già intervenuto per fornire indicazioni circa le modalità di acquisizione del consenso dei cookie e di archiviazione degli stessi. Tuttavia, la piena entrata in vigore del GDPR così come la diffusione delle nuove tecnologie, hanno reso necessaria l’introduzione di alcune modifiche.

Ad oggi possiamo dire che il quadro giuridico di riferimento sull'uso dei cookie e degli altri sistemi di tracciamento è costituito sia dalle disposizioni della direttiva ePrivacy (direttiva 2002/58/CE) – recepita in Italia dal Codice Privacy – sia da quanto presente nel GDPR.

Se da un lato la direttiva ePrivacy all’articolo 122 definisce le modalità di raccolta del consenso per procedere all’archiviazione di informazioni sui dispositivi degli utenti, dall’altro lato il regolamento europeo per la protezione dei dati personali, all’art. 4, punto 11) ne precisa la definizione generale e le caratteristiche, specificando anche le condizioni del consenso con l’art. 7.

 

Cosa cambia con le nuove Linee Guida?

Tra gli aspetti affrontati nelle nuove linee guida, a trovare rilevanza è il meccanismo di acquisizione del consenso online tramite banner.

Per consentire all’utente di decidere se accettare o meno l’installazione dei cookie, è necessario che il titolare del sito fornisca un’adeguata informativa che permetta all’interessato di scegliere in modo libero e consapevole se prestare o meno il proprio consenso.

Unica eccezione viene fatta per quei siti web che utilizzano esclusivamente cookie tecnici.

In questo caso non sarà necessario predisporre un banner informativo poiché, come anticipato, l’installazione di questi cookie non necessita di consenso alcuno. Sarà quindi sufficiente indicare semplicemente nell’home page del sito o all’interno dell’informativa privacy che lo stesso utilizza esclusivamente cookie tecnici.

 

Cosa fare se sono presenti cookie diversi da quelli tecnici?

Il rispetto di tali regole impone pertanto che, laddove un sito utilizzi cookie diversi da quelli tecnici, al momento del primo accesso dell’utente e per impostazione predefinita, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né tanto meno che venga utilizzata altra tecnica attiva o passiva di tracciamento.

Se da un lato il titolare può adottare le modalità ritenute più idonee per assicurare il rispetto di questo obbligo, dall'altro è importante anche garantire la libertà di scelta dell'utente.

Per fare questo il Garante ha previsto l'adozione di un meccanismo in base al quale l’utente, accedendo per la prima volta alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area o banner (contenente una X selezionabile in alto a destra) le cui dimensioni siano tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma anche tali da evitare il rischio che l’utente possa far ricorso a comandi e dunque compiere scelte indesiderate o inconsapevoli. 

L’adeguatezza e la congruità delle dimensioni del banner dovranno essere valutate anche in relazione ai diversi dispositivi di possibile utilizzo da parte dell’interessato.

 

Quali caratteristiche deve avere il banner?

Il banner deve avere queste caratteristiche:

  • l’avvertenza che la chiusura del banner mediante la selezione dell’apposita X in alto a destra comporta il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
  • il link alla privacy policy contenente l’informativa completa, ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del GDPR;
  • un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
  • un link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cosiddetti terze parti (il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti) ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Per assicurare che gli utenti non siano influenzati da una configurazione dei pulsanti e dei colori che possano indurli a preferire inconsapevolmente un’opzione anziché l’altra, il Garante sottolinea l’esigenza di utilizzare comandi e caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare.

 Dopo che l'utente ha espresso le proprie preferenze, il banner non dovrebbe essergli riproposto nei successivi accessi per un periodo di almeno 6 mesi. Questo a meno che non siano cambiate in modo significativo le condizioni del trattamento dei dati, oppure nel caso in cui per il gestore del sito web sia impossibile tenere traccia della scelta dell'utente (ad esempio nel caso in cui quest’ultimo abbia cancellato i cookie).

 

Come deve essere acquisto il consenso all’uso dei cookie?

In linea generale e anche ai sensi del considerando 32 del GDPR, il consenso deve essere espresso mediante un atto positivo ed inequivocabile come, ad esempio, potrebbe essere la selezione di un’apposita casella. 

Partendo da questo principio, quindi, l’azione dell’utente deve essere attiva, di opt-in e mai di opt-out, e il silenzio così come la preselezione di caselle non può mai essere idonea a configurare una valida prestazione di consenso. 

 

È possibile utilizzare "scrolling" e "cookie wall" per la raccolta del consenso ?

Le Linee guida, sulla scia del provvedimento dell’EDPB, citano fra le modalità di raccolta del consenso lo scrolling e il cookie wall:

  • lo scrolling, dichiarato di per sé inadatto alla raccolta di un idoneo consenso, diventa valido nella sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento che risulti documentabile dal server del sito;
  • il cookie wall, tendenzialmente illecito, risulta idoneo alla raccolta del consenso in ipotesi (da valutare caso per caso) nella quale il titolare offra all’interessato la possibilità di accedere ad un contenuto o un servizio equivalenti, senza prestare il consenso all’installazione dei cookie.

 Nel primo caso, quindi, pur non rifiutando completamente l'utilizzo dello scrolling come procedura di acquisizione, il Garante ritiene che tale modalità non debba essere la sola, ma debba inserirsi in una delle componenti di un processo più articolato. In modo, dunque, che l'utente possa prendere una scelta inequivocabile e consapevole.

 

Entro quando bisogna adeguarsi alle nuove linee guida?

Il periodo di adeguamento alle disposizioni delle nuove Linee guida del Garante per la protezione dei dati personali deve avvenire entro il 10 gennaio 2022, ovvero decorsi i 6 mesi dalla data di pubblicazione in Gazzetta Ufficiale avvenuta il 10 luglio 2021.  

 

Cosa succede con i consensi acquisiti prima della pubblicazione delle nuove Linee guida?

Il Garante in merito ha stabilito che i consensi ottenuti prima del 20 luglio 2021 saranno validi a patto che siano conformi alle caratteristiche richieste dal GDPR e che al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

 

Come fare per adeguarsi?

iSimply, partner qualificato di PrivacyLab, è a vostra disposizione per accompagnarvi in questo complesso adeguamento normativo sia attraverso un supporto consulenziale sia attraverso la fornitura del nuovo prodotto di PrivacyLab denominato ELMO che nasce per poter verificare, catalogare e gestire la compliance GDPR quando vengono utilizzati i cookie sui siti web attraverso le seguenti funzionalità:

  • cookie scanner;
  • gestione del consenso;
  • conformità al GDPR per il tuo sito web;
  • creazione delle informative corrette e aggiornamento automatico del Registro dei Trattamenti;
  • identificazione Registro e verifica conformità dei responsabili esterni;
  • tag per eseguire i servizi di Google sulla base del consenso degli utenti finali;
  • dati aggregati e non identificativi, se gli utenti non danno il loro consenso ai Cookie Statistici;
  • pubblicità contestuale anziché annunci mirati e personalizzati, se gli utenti non acconsentono ai Cookie di Marketing.

 

Per ricevere maggiori informazioni in merito alla nostra proposta di supporto contattaci telefonicamente allo 0125 1899500 o tramite mail all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., saremo lieti di aiutarti nella scelta della soluzione più adatta per le tue necessità.

 

Per approfondimenti:

https://www.privacylab.it/IT/1216/linee-guida-del-garante-per-l-utilizzo-dei-cookie/

https://www.privacylab.it/IT/402/Qual-%C3%A8-la-differenza-tra-cookie-tecnici-e-di-profilazione%3F/

 

 

 

... ... ...