Nuove Linee Guida Cookie e altri strumenti di tracciamento

Sono state pubblicate sulla Gazzetta Ufficiale n.163 del 9 luglio 2021 le nuove “Linee guida cookie e altri strumenti di tracciamento” (approvate il 10 giugno 2021).

L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal GDPR.

Che cosa sono i cookie?
I cookie sono piccoli file creati dai siti web visitati al fine di memorizzare le informazioni di navigazione, ad esempio le preferenze per i siti o i dati del profilo.

Linee guida cookie: tempi per l’adeguamento

I siti dovranno essere adeguati alle nuove linee guida entro il 10 Gennaio 2022 (ovvero entro 6 mesi a partire dalla data di pubblicazione nella Gazzetta Ufficiale).

Vediamo, a seguire, un veloce riepilogo delle novità introdotte dalle linee guida:

1) Basi giuridiche del trattamento dei cookie

Il Garante stabilisce la non idoneità del legittimo interesse a fungere da condizione di liceità del trattamento.
Il trattamento non può ritenersi legittimo se non in presenza del consenso dell’interessato.

Il meccanismo di acquisizione del consenso online tramite l’utilizzo di un banner (come da precedenti linee guida) rimane sostanzialmente valido.

2) Banner e Footer del sito

Il sito che intenda utilizzare dei cookie diversi da quelli tecnici deve far comparire, alla prima visita da parte dell’utente, un banner informativo ben visibile che non impedisca la consultazione dello stesso e che, per impostazione di default, non installi alcun cookie diverso da quelli necessari, né utilizzi alcuna altra tecnica di tracciamento (nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente).
Sul banner deve essere presente un pulsante (ad esempio una “x” in alto a destra) che consenta di chiudere l’avviso mantenendo le impostazioni di default e quindi il diniego all’installazione di cookie che non siano tecnici.
Tale pulsante deve avere una rilevanza grafica pari a quella degli altri comandi (consenso all’installazione di tutti i cookie e link ad un’area dove selezionare le diverse tipologie di cookie).

Per evitare che i visitatori possano essere influenzati da scelte di design che inducano a preferire una scelta piuttosto che un’altra, i comandi e i caratteri dovrebbero avere tutti uguali dimensioni, enfasi e colori e dovrebbero essere ugualmente facili da individuare ed utilizzare.
All’interno del banner deve essere presente un’informativa minima che informi l’utente che il sito potrebbe installare cookie di profilazione o altri strumenti di tracciamento previa acquisizione del consenso.
Il link all’informativa estesa deve essere raggiungibile anche dal footer di qualsiasi pagina del sito.

Poi avremo:
Un comando che consenta di accettare l’installazione di tutti i cookie (o degli altri strumenti di tracciamento).
Un link ad un’area specifica dove l’utente possa selezionare analiticamente solo le funzionalità, le terze parti e i cookie al cui utilizzo voglia acconsentire.
I cookie possono essere raggruppati per categorie omogenee mentre le terze parti devono essere elencate una per una e devono essere raggiungibili attraverso specifici link che possono indirizzare anche al sito web di un soggetto che le rappresenti.

Gli utenti dovranno sempre avere la percezione dello stato dei consensi e la possibilità di modificare le scelte fatte in precedenza attraverso due strumenti da inserire nel footer del sito:

Il primo strumento corrisponde semplicemente ad una buona prassi e può essere attuato mediante l’impego di un segno grafico o un’icona mentre il secondo – previsto come obbligo – si attua attraverso l’inserimento di un link che consenta la modifica dei cookie installati. Ad es. tramite la dicitura “Rivedi le tue scelte sui cookie”.

3) Consenso

Il consenso può dirsi validamente prestato solo se è conseguenza di un’azione positiva e consapevole che sia riscontrabile e dimostrabile.
Inoltre, deve essere specifico, ovvero nel caso in cui il trattamento dati abbia più finalità, il consenso deve essere prestato specificatamente per ognuna di tali finalità.
A fronte di quanto appena indicato, non configurano un valido consenso il silenzio dell’utente oppure la sua inattività oppure la preselezione di caselle da parte del sito web.

Per quanto riguarda l’uso del cookie wall (sistema per cui l’utente è obbligato a esprimere il proprio consenso a ricevere i cookie per poter procedere con la navigazione sul sito web, altrimenti si trova impossibilitato alla navigazione), il Garante ha precisato che tale sistema è illecito, salva l’ipotesi da verificare caso per caso nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.

Come già indicato in precedenza, l’utente deve sempre essere in grado di modificare le scelte precedentemente fatte e il sistema deve essere in grado di memorizzare e sovrascrivere e le decisioni prese dall’utente così che il titolare del trattamento sia sempre in grado di dimostrare di aver ottenuto il consenso.

Nel caso di utenti “autenticati” è fatto obbligo al titolare di mettere gli utenti in condizione di scegliere consapevolmente – menzionando dunque tale possibilità pure nell’informativa resa – se accettare la possibilità che il tracciamento che li riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device o di rifiutarla.

Il Garante consente che i titolari del trattamento possano valutare ogni possibile soluzione, anche da un punto di vista tecnico, che sia idonea ad essere interpretata e registrata come consenso espresso dall’utente all’impiego dei cookie o degli altri strumenti di tracciamento.

Per realizzare la memorizzazione delle azioni e delle scelte dell’interessato, il gestore del sito web può avvalersi o di appositi cookie tecnici o anche di ulteriori modalità che la tecnologia dovesse rendere disponibili, la cui individuazione rientra nell’autonomia imprenditoriale e nell’accountability del titolare, in modo da tenere comunque costantemente aggiornata la documentazione delle scelte compiute dall’interessato.

Una volta fatta la propria scelta il banner non dovrebbe essere riproposto prima di 6 mesi.

Questo a meno che:

  • mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”;
  • sia impossibile, per il gestore del sito web, sapere se un cookie sia stato già in precedenza memorizzato sul dispositivo (ad esempio nel caso in cui l’utente abbia cancellato i cookie legittimamente installati nel proprio dispositivo).

4) L’Informativa privacy sull’uso dei cookie

Per quanto riguarda nello specifico i cookie, all’interno dell’informativa devono essere indicati i criteri di codifica utilizzati da ciascun titolare per la classificazione dei cookie e degli altri strumenti di tracciamento che consenta di distinguere quelli tecnici dagli analytics o da quelli di profilazione.