Il Garante Privacy ha approvato le nuove linee guida sull’utilizzo dei cookie e degli altri strumenti di tracciamento che cambiano le regole in merito all’utilizzo e alla gestione dei cookie sui siti web in Italia. Tutte le aziende e le attività – in quanto titolari del trattamento dei dati – che possiedono un sito web in Italia o che hanno utenti italiani, dovranno adeguarsi alle nuove disposizioni, che diventeranno obbligatorie a partire dal 10 gennaio 2022.
In sostanza, occorre adeguare il proprio sito web da un punto di vista tecnico per mettere l’utente in condizione di scegliere se essere tracciato quando naviga il sito web, per cosa – e quindi informandolo – e raccogliere il suo consenso secondo quanto predisposto dalle nuove disposizioni.
Ciò si traduce nell’installazione di un software nel sito web che consente di fare tutto ciò.
Il tema centrale sono i cookie. Per questo è importante comprenderne le diverse tipologie in quanto oggetto delle nuove linee guida. Dal momento che a seconda del tipo di cookie, la normativa prevede requisiti differenti.
Cosa sono i cookie?
I cookie sono dei piccoli file di testo che vengono memorizzati sul dispositivo dell’utente ogni volta che quest’ultimo visita un sito web da smartphone, tablet o computer. La funzione dei cookie è quella di identificare l’utente alle visite successive al sito web. Un cookie può contenere varie informazioni e facilita la navigazione dell’utente. Un classico esempio, è il nostro sito web preferito che ci ricorda le nostre credenziali di accesso e non chiede la password ad ogni nuovo accesso.
La prima importante distinzione ai fini è tra cookie di prima e cookie di terza parte.
I cookie di prima parte sono installati direttamente dal sito web e vengono gestiti dal proprietario del sito. I cookie di terza parte sono gestiti da terzi e sono presenti quando nel sito web vengono utilizzati servizi di terzi, per incorporare video, plug-in dei social media o altri servizi, come ad esempio il booking engine per le prenotazioni nel caso delle strutture ricettive.
Un’ulteriore distinzione che introduciamo per comprendere il funzionamento dei cookie e come questi ultimi devono essere gestiti secondo le nuove linee guida del Garante Privacy, vede la separazione tra cookie tecnici, cookie di profilazione e cookie analitici.
I cookie tecnici
Sono i cookie necessari per la navigazione e per facilitare la fruizione del sito web da parte dell’utente, permettendogli ad esempio di fare un acquisto sul booking engine. Senza di essi non sarebbe possibile scorrere le pagine e garantire il funzionamento del sito web. Tra i cookie tecnici rientrano anche i cookie che favoriscono un utilizzo efficace del sito da parte dell’utente. Tali cookie vengono utilizzati, per esempio, per ricordare all’utente la lingua scelta per navigare il sito.
Possiamo già anticipare che con i cookie tecnici non è necessario il consenso dell’utente.
Il “consenso” viene definito dall’art. 4 del GDPR come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
Inoltre, il “Considerando” 32 specifica che: il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.
I cookie analitici
I cookie analitici vengono utilizzati per monitorare l’utilizzo del sito da parte dell’utente. Nel caso dei cookie analitici è utile la distinzione tra cookie di prima e terza parte.
I cookie analitici sono equiparabili ai cookie tecnici, e non richiedono quindi il consenso, se utilizzati dal titolare del trattamento unicamente per produrre statistiche aggregate per misurare ad esempio il numero di visitatori, i visitatori per area geografica o altre variabili, e in relazione a un solo sito o una sola applicazione mobile.
Tuttavia, nel caso di cookie analitici di terze parti, questi possono essere installati senza il consenso dell’utente esclusivamente nel caso in cui:
- l’utente non può essere identificato attraverso l’IP (anonimizzazione degli IP),
- le terze parti non associano i cookie analytics con altri dati o li trasmettono a ulteriori terzi.
I cookie di profilazione
I cookie di profilazione vengono utilizzati per creare un profilo dell’utente in base ai comportamenti.
La finalità di tali cookie è quella di raggruppare gli utenti all’interno di gruppi omogenei, ad esempio per comportamenti sul sito o per pagine visitate, per arrivare a fornire loro un servizio sempre più personalizzato. Inoltre, i cookie di profilazione vengono utilizzati per inviare messaggi pubblicitari mirati, ossia in linea con le preferenze espresse durante la navigazione di un sito web. Un classico esempio sono le campagne di remarketing.
Per l’installazione dei cookie di profilazione è necessario chiedere il consenso dell’utente.
Le nuove linee guida del Garante Privacy: requisiti principali
Le nuove linee guida emanate dal Garante Privacy prevedono una serie di requisiti che riguardano l’utilizzo dei cookie e come deve essere informato l’utente in merito al loro utilizzo, la raccolta del consenso e la prova dello stesso.
Informativa e consenso – Cookie banner
L’informativa all’utente sull’utilizzo dei cookie va resa in un linguaggio chiaro, semplice e accessibile.
Se il sito web utilizza solamente cookie tecnici, non è necessario predisporre alcun banner. È possibile inserire tale informazione nella homepage o nell’informativa della privacy policy generale, dove si dichiara che il sito utilizza esclusivamente cookie tecnici necessari al funzionamento del sito web stesso.
Al contrario, nel caso in cui il sito web utilizzi cookie diversi da quelli tecnici, ossia cookie di profilazione e analitici, occorre – alla prima visita di un utente – far comparire un banner che informi l’utente, e che possa farlo scegliere liberamente se installare tali cookie. No quindi a cookie banner con preferenze già selezionate, ecc…
In particolare, l’utente deve poter scegliere tra le funzionalità, le terze parti e le categorie di cookie da installare sul proprio dispositivo.
Inoltre, ogni utente deve poter aggiornare le preferenze espresse in ogni momento potendole modificare facilmente.
Il cookie banner a comparsa immediata e di adeguate dimensioni, deve inoltre contenere:
#1. L’informativa breve
L’indicazione che il sito web utilizza cookie tecnici, e che ottenuto il consenso dell’utente procede all’installazione di cookie di profilazione e altri strumenti di tracciamento indicando le relative finalità.
#2. Link alla privacy policy
Nel banner cookie deve essere presente un link alla privacy policy che contiene l’informativa completa, compresi gli altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e i diritti dell’utente.
Ai fini della raccolta del consenso il banner deve prevedere:
#3. Il pulsante accetta
Il banner deve contenere un comando che permette di accettare tutti i cookie o le altre tecniche di tracciamento.
#4. Il pulsante rifiuta
Il banner deve contenere un comando per chiudere il banner senza prestare il consenso all’utilizzo dei cookie o altri strumenti di tracciamento.
#5. Link per le preferenze
Link ad un’area del sito web per selezionare in modo dettagliato funzionalità, terze parti e cookie, consultare lo stato, aggiornare o revocare il consenso. Tale area deve essere raggiungibile mediante un’icona nel sito web.
#6. Link nel footer
L’area dedicata alle preferenze relative al consenso dei cookie e altri strumenti di tracciamento deve essere raggiungibile mediante un ulteriore link posto nel footer e in ogni pagina del sito web.
Il consenso che ogni utente presta per l’utilizzo dei cookie resta valido 6 mesi. Tuttavia, se un utente ha negato il proprio consenso in una precedente visita al sito web, allora non è possibile mostrare nuovamente il banner nei 6 mesi successivi tranne nei casi in cui:
- le condizioni del trattamento dei dati sono cambiate,
- non è possibile sapere se vi sono dei cookie presenti nel dispositivo,
- sono trascorsi 6 mesi dall’ultima volta in cui è stato proposto il banner.
Modalità di raccolta del consenso
Per quanto riguarda la raccolta del consenso, le nuove linee guida ne specificano ulteriormente le modalità.
Il consenso ottenuto con lo scrolling del sito web, ossia scorrendo la pagina del sito web, non è più valido e di per sé inadatto a raccogliere il consenso.
Il cookie wall, modalità che veniva utilizzata in passato, è considerato illecito, tranne in alcune ipotesi che vanno verificate caso per caso. Il cookie wall è una tecnica utilizzata da alcuni siti web che consiste nel creare un “muro” un grande pop-up o banner che di fatto impedisce la navigazione del sito finché non vengono accettati dall’utente tutti i cookie presenti nel sito web.
Prova del consenso
L’ultimo punto concerne l’obbligo in capo al titolare del trattamento di fornire la prova del consenso secondo quanto previsto dal GDPR. Il Garante Privacy non fornisce indicazioni su come raccogliere le preferenze degli utenti, le disposizioni indicano che è onere del titolare dimostrare, in caso di necessità, di aver ottenuto il consenso secondo il principio sancito dal GDPR.
Tuttavia, la via più facile consiste nella predisposizione di un registro dove possono essere salvate le preferenze espresse dagli utenti, raccolte e con i cookie divisi per categoria.
Gestire il consenso ai cookie secondo quanto previsto dalle nuove linee guida può essere complicato, ed è importante ottemperare a quanto previsto dalla normativa per non incorrere in pesanti sanzioni e spiacevoli inconvenienti con i propri utenti.
Rispettare le disposizioni è quindi fondamentale e per farlo la via più semplice è affidarsi al giusto partner e scegliere soluzioni software affidabili.
