LE NUOVE LINEE GUIDA IN MATERIA DI COOKIE E PRIVACY 26/01/2022

I titolari di tutti i siti web dovranno conformarsi alle nuove Linee guida sui cookie emanate dal Garante privacy in data 10 giugno 2021.

Con questo provvedimento si indicano le nuove regole per le operazioni di lettura e scrittura relativamente al terminale di un utente, con riferimento ai cookie e a tutti gli strumenti di tracciamento.

Il nuovo documento specifica anche le corrette modalità di acquisizione del consenso on-line degli interessati rispettando il nuovo Regolamento in materia di protezione dei dati personali (GDPR).

Le nuove linee guida hanno l’obiettivo principale di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.

Cookie e altri strumenti di tracciamento

Quando parliamo di cookie facciamo riferimento a stringhe di testo che i siti web visitati dall’utente (o siti web server di terze parti) posizionano e archiviano all’interno del suo dispositivo durante la navigazione, allo scopo di identificare chi ha già visitato il sito in precedenza (cookie tecnici).

Ciò permette anche di ottenere informazioni più o meno approfondite sull’utente circa le attività svolte da questo online (cookie analitici e di profilazione).

Questi strumenti possono essere gestiti attivamente dall’utente (es. rifiuto del consenso, rimozione dei cookie dal dispositivo). Ci sono poi gli “identificatori passivi”. Anche questi consentono di effettuare trattamenti analoghi ai cookie con la differenza che non possono essere gestiti autonomamente dagli utenti se non tramite l’intervento del titolare del sito.

Tipologie di cookie

In base alla tipologia è possibile svolgere diverse funzioni tra cui il monitoraggio di sessioni o l’archiviazione di informazioni riguardo specifiche configurazioni dell’utente.

In base a ciò possiamo dividere i cookie in due categorie: tecnici e di profilazione.

Tecnici

I cookie tecnici, come recita l’art. 122 comma 1 del Codice privacy, hanno lo scopo di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.

Non richiedono consenso, ma devono comunque essere indicati dell’informativa.

Profilazione

Sono quelli che permettono di identificare un individuo in base a schemi di comportamento, che possono essere anche ricorrenti, a specifiche azioni o operazione svolte online.

Raggruppando queste informazioni sotto diversi macro-profili, il titolare del trattamento dei dati ha la possibilità di fornire servizi mirati e il più possibile personalizzati così come ha la possibilità di inviare messaggi pubblicitari in linea con le preferenze dell’utente stesso.

Non vanno dimenticati i cookie analytics (ad esempio Google Analytics). Si tratta di cookie utilizzati al fine di valutare l’efficacia di un servizio della società dell’informazione fornito da un titolare di un sito, per progettare un sito web o contribuire a misurare il “traffico” di un sito web, ovvero il numero di visitatori ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.

Cosa cambia con le nuove Linee Guida?

La principale variazione riguarda il meccanismo di acquisizione del consenso tramite banner.

L’utente potrà decidere se accettare o meno l’installazione dei cookie a seguita dell’esposizione di un’adeguata informativa che permetta all’utente di scegliere in modo libero e consapevole se prestare o meno il proprio consenso.

Unica eccezione viene fatta per quei siti web che utilizzano esclusivamente cookie tecnici. In questo caso non sarà necessario predisporre un banner informativo poiché, come anticipato, l’installazione di questi cookie non necessita di consenso alcuno. Basterà quindi indicare semplicemente nell’home page del sito o all’interno dell’informativa privacy che lo stesso utilizza esclusivamente cookie tecnici.

Il meccanismo previsto dal garante prevede, accedendo per la prima volta alla home page (o ad altra pagina) del sito web, la visualizzazione immediata di un’area o banner le cui dimensioni siano tali da far percepire che si tratta di un contenuto discontinuo dal contenuto generale del sito; tutto questo per evitare il rischio che l’utente compia azioni riguardante inconsapevoli l’accettazione della privacy policy.

Come deve essere il banner:
Per assicurare che gli utenti non siano influenzati da una configurazione dei pulsanti e dei colori che possano indurli a preferire inconsapevolmente un’opzione anziché l’altra, il Garante sottolinea l’esigenza di utilizzare comandi facili da visionare e utilizzare.

  • L’avvertenza che la chiusura del banner mediante la selezione dell’apposita X in alto a destra comporta il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
  • L’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve).
  • Il link alla privacy policy contenente l’informativa completa, ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del GDPR.
  • Un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento.
  • Un link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cosiddetti terze parti (il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti) ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Dopo che l’utente ha espresso le proprie preferenze, il banner non dovrebbe essergli riproposto nei successivi accessi per un periodo di almeno 6 mesi. Questo a meno che non siano cambiate in modo significativo le condizioni del trattamento dei dati, oppure nel caso in cui per il gestore del sito web sia impossibile tenere traccia della scelta dell’utente (ad esempio nel caso in cui quest’ultimo abbia cancellato i cookie).

Acquisizione del consenso all’uso dei cookie

In linea generale e anche ai sensi del considerando 32 del GDPR, il consenso deve essere espresso mediante un’azione inequivocabile come potrebbe essere la selezione di un’apposita casella.

Entro quando bisogna adeguarsi?

La data ultima di adeguamento alle nuove normative è stata il 10 Gennaio 2022, ovvero decorsi i 6 mesi dalla data di pubblicazione in Gazzetta Ufficiale avvenuta il 10 Luglio 2021.

Il Garante ha stabilito che i consensi ottenuti prima del 20 luglio 2021 saranno validi a patto che siano conformi alle caratteristiche richieste dal GDPR e che al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

Tutti i titolari di siti web che non si adegueranno alle nuove linee guida già in vigore, incorreranno a nuove sanzioni amministrative che vanno ad aggiungersi a quelle penali già previste dal Codice della Privacy introdotte dal regolamento UE. Queste sanzioni possono arrivare fino a 20 milioni di euro e fino al 4% del fatturato del titolare.

Ing. Valerio Terenzi - Resp. reparto tecnico Yuma comunicazione