Cookie: il Garante della Privacy pubblica le nuove linee guida
Continua ad evolversi la disciplina del trattamento dei dati personali vigente in Europa e in Italia, segnando un ulteriore passo in avanti con la pubblicazione in Gazzetta Ufficiale delle nuove Linee guida del Garante della Privacy sull’uso dei cookie sul web.
Cresciuta anno dopo anno a tutela dei dati personali, la normativa in tema di cookie è sempre più delineata grazie anche all’intervento del Garante per la protezione dei dati personali. L’incredibile sviluppo della digitalizzazione globale e il progresso tecnologico costringono il legislatore ad aggiornarsi costantemente, orientando i titolari e i responsabili del trattamento dati verso l’adozione di misure che rispettino la normativa di volta in volta vigente. In quest’ottica si inseriscono le nuove Linee guida del Garante, che mirano a concretizzare le ultime novità normative introdotte in materia di protezione di tali personali dal Regolamento europeo 679/2016 (GDPR).
Sei mesi sono quelli concessi dall’Autorità ai titolari di siti web per adeguarsi alle disposizioni delle linee guide appena pubblicate, soglia oltre la quale l’ormai famoso banner di richiesta del consenso per i cookie dovrà essere a norma di legge.
Cosa sono le linee guida cookie del Garante della Privacy
Con le “Linee guida cookie e altri strumenti di tracciamento”, provvedimento n.231 del 10 giugno 2021 pubblicato in Gazzetta Ufficiale n. 163 del 9 luglio 2021, il Garante per la protezione dei dati personali mira ad aggiornare le indicazioni contenute nel provvedimento n. 229/2014secondo le novità introdotte nel 2016 dal GDPR alla luce delle Linee guida dell’European Data Protection Board (EDPB) del 2020.
Le nuove linee guida, che si applicano al trattamento dei dati personali effettuato tramite cookie e gli altri strumenti di tracciamento, forniscono ai titolari del trattamento delle indicazioni aggiornate per l’applicazione pratica della normativa vigente.
Di cosa parlano le nuove linee guida del Garante sui cookie?
Il Garante tramite le nuove linee guida ha ribadito le ormai note regole relative all’utilizzo di cookie e di altri strumenti di tracciamento sui siti web, specificando le modalità di applicazione di detta normativa. In particolar modo, l’Autorità si è concentrata sulle modalità di richiesta e raccolta dei dati personali tramite cookie di profilazione sui siti web.
RICHIESTA DEL CONSENSO
Il Garante ricorda che l’art. 122 del Codice Privacy (D.lgs. n. 196/2003), che ha recepito il Regolamento proveniente dall Unione Europea del GDPR, impone al titolare del trattamento dati di chiedere agli utenti il consenso al trattamento solo per finalità diverse da quelle tecniche.
I cookie tecnici, cioè quelli necessari per l’erogazione del servizio da parte del fornitore del sito, non richiedono dunque un consenso espresso, essendo necessaria la sola comunicazione dell’informativa sul trattamento dei dati personali, anche inserita in quella generale del sito web.
Per i cookie di profilazione e per tutti gli strumenti di tracciamento non tecnici, cioè quelli volti ad attribuire specifici schemi comportamentali agli utenti ai fini della personalizzazione del servizio, è invece necessario richiedere il consenso all’utente.
Rispetto ai cosiddetti cookie analytics, ossia quelli utilizzati per valutare le performance del sito attraverso analisi di tipo statistico del traffico degli utenti, il Garante distingue tra cookie di prima parte e cookie di terze parti. I primi sono assimilabili a quelli tecnici, dunque utilizzabili senza consenso. I secondi, sono equiparabili ai cookie tecnici solo in caso di dati anonimizzati.
MODALITÀ DI ACQUISIZIONE DEL CONSENSO
Le linee guida si soffermano poi sulle modalità di acquisizione del consenso, esprimendo pareri su:
- l’acquisizione del consenso tramite scrolling, ritenendo tale attività inadatta ad esprimere un consenso valido (con alcune rare eccezioni) ai sensi del GDPR;
- il cosiddetto “cookie wall”, ossia la costrizione alla cessione del consenso ai fini della completa fruizione del contenuto di un sito web, che non garantirebbe alternative all’utente;
- la reiterazione delle richieste di consenso tramite la ripetuta comparsa del banner contenente l’informativa breve, che potrebbe risultare tanto invasiva da spingere l’utente a cedere il proprio consenso pur di far scomparire il banner;
- l’installazione di strumenti di tracciamento non tecnici al momento del primo accesso sul sito, senza attendere la ricezione del consenso, ritenendola non consona alla normativa sul GDPR.
BANNER DEI COOKIE
Un altro argomento affrontato dal Garante per la protezione dei dati personali con le Linee guida riguarda il discusso banner del consensodei cookie.
Aggiornando i precedenti requisiti, l’Autorità ha stabilito che le dimensioni del banner devono garantire una “percettibile discontinuità nella fruizione dei contenuti” ed adattarsi ai diversi dispositivi, per evitare il rischio che l’utente possa interagire col suddetto banner casualmente.
I banner devono essere tali da consentire sia la facile accettazione del consenso all’utilizzo di cookie di profilazione o strumenti di tracciamento non tecnici, sia la prosecuzione della navigazione senza consenso. Per garantire quest’ultima possibilità il Garante richiede la presenza di una “X” all’interno del banner, in alto a destra. Il click di questo pulsante dovrà avere come conseguenza la mancata ricomparsa del banner del consenso per un periodo di almeno sei mesi (salvo eccezioni).
Vi sono poi degli elementi del banner che le Linee guida dispongono come indispensabili:
- una frase che avverta il mantenimento del solo tracciamento tecnico in caso di chiusura del banner;
- una informativa minima che dichiari gli strumenti di tracciamento tecnici e la possibilità di accettare cookie di profilazione tramite comandi appositamente forniti;
- un link che porti all’informativa estesa, presente anche nel footer di ogni pagina;
- una casella da spuntare che consenta l’espressione del consenso per tutti gli strumenti di tracciamento;
- il link che porti ad un’altra finestra che consenta di selezionare i singoli cookie di profilazione o gli strumenti di tracciamento non tecnici.
- la necessità di avere le caselle da selezionare impostate di default per la negazione del consenso, per consentire all’utente di esprimerlo con un’azione positiva non fraintendibile.
ALTRI ELEMENTI NECESSARI
Il provvedimento n.231 del 10 giugno 2021, oltre alle specifiche sul banner del consenso, richiede ulteriori elementi ai fini della tutela dei dati personali degli utenti dei siti web:
- la presenza, nel footer di tutte le pagine del sito web, di un link ad una finestra o pagina tramite cui l’utente possa modificare le scelte sull’accettazione al tracciamento;
- una indicazione (testuale o icona) che ricordi all’utente lo stato dei consensi prestati;
- la presenza di documentazione che attesti le scelte degli utenti, ai sensi dell’art. 24 del GDPR.
Ora che hai letto le nuove Linee guida del Garante della Privacy sui cookie, è ora di creare il tuo sito web a norma di legge.