Linee guida Cookie e altri strumenti di tracciamento da parte del Garante della Privacy

Linee guida cookie GDPR del Garante della Privacy

Sono state rilasciate dal Garante della Privacy in data 10 Giugno 2021 le linee guida cookie e altri strumenti di tracciamento. Tali disposizioni diventeranno operative ad inizio 2022 e ci sembra opportuno riepilogare i punti fondamentali del provvedimento che tra pochi giorni diventerà effettivo per permettere ai lettori di comprendere gli adeguamenti che saranno richiesti a breve. La pagina del Garante della Privacy dedicata a tale argomento è consultabile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876 dove possiamo trovare le linee guida, il comunicato stampa e la scheda di sintesi.

La normativa è inerente all’Artt. 122 del Codice e 4, punto 11), 7, 12, 13 e 25 del Regolamento.

I cookie vengono definiti come stringhe di testo che i siti web visitati dall’utente posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (definiti “identificatori attivi”). Sono di prime parti se vengono gestiti solo all’interno del sito, di terze parti se la gestione è esterna. Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa, consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei cookie: vengono chiamati “identificatori passivi” e includono il “fingerprinting”, ovvero la tecnica che permette di identificare il dispositivo dell’utente grazie alle informazioni raccolte dalla configurazione del dispositivo stesso).

I cookie tecnici non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa cookie (o cookie policy) in quanto sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice). Ossia i cookie tecnici hanno finalità di funzionamento del sito internet e per la sua corretta operatività. Un esempio può essere un cookie che tiene traccia del fuso orario dell’utente per mostrare le notizie all’orario previsto.

Sul nostro sito preferiamo dividere i cookie in funzionali (sopra indicati come tecnici nelle linee guida del Garante della Privacy), di marketing e statistici (o analytics) in quanto c’è una casistica rilevante di siti web in cui si usa in maniera impropria il termine cookie tecnico specialmente per quelli statistici causando confusione all’utente e possibilmente creando problemi anche ai gestori del sito che non prendono in esame gli aspetti critici da rispettare affinché un cookie analytics sia equiparabile ai cookie e altri identificatori tecnici (il che comunque anche in tal caso non li rende uguali, solo trattabili nella stessa maniera per quanto le finalità rimangano diverse).

I cookie analytics, utilizzati per ottenere informazioni sulla navigazione e interazione del sito da parte dell’utente, richiedono il consenso dell’utente a meno che non vengano rispettati 3 criteri:

  • vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
  • viene mascherata almeno la quarta componente dell’indirizzo IP in modo da anonimizzarlo, tale procedura deve avvenire sin dalla fase di raccolta;
  • le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale purché non producano profilazione che richiede sempre il consenso espresso (per esempio collegare Google Analytics con Google Ads, AdSense, Ad Exchange e/o altri servizi simili anche in forma anonima consiste in una forma di profilazione).

Un punto importante da aggiungere per chi utilizzasse Google Analytics è che deve essere stata accettata l’informativa del servizio di Google Analytics nel caso se ne facesse uso: se Google comunicasse cambiamenti sulla loro informativa diventa necessario accedere al loro portale per accettarla nuovamente.

I cookie e gli altri identificatori di tracciamento con funzione non tecnica vengono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete. Si tratta dunque di cookie con finalità statistiche in forma non anonimizzata e di cookie con finalità di marketing profilato.

Le principali novità introdotte dal GDPR aventi effetti sull’uso dei cookie e altri strumenti di tracciamento sono le seguenti:

  • accountability, ossia il rendere atto delle proprie azioni;
  • integrazione dell’informativa (specificare anche i tempi di conservazione dei dati);
  • rafforzamento del consenso (deve essere “inequivocabile”);
  • rispetto dei principi di privacy by design e by default.

L’informativa e il consenso devo avere un linguaggio semplice ed accessibile, essere fruibile, senza discriminazioni, da chiunque.

Se si utilizzano solo cookie tecnici (cookie funzionali e i cookie analitici che rispettano i 3 principi sopra descritti), la relativa informazione può essere collocata nella home page del sito o nell’informativa generale: deve essere presente un banner che indichi che vengono utilizzati cookie funzionali e/o statistici anonimizzati.

Se si trattano anche altri cookie e altri identificatori “non tecnici” (cookie statistici non anonimizzati o che non rispettano i 3 principi e cookie di marketing profilato), si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:

  1. l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
  2. il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
  3. l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Ai fini dell’acquisizione del consenso, il banner dovrà pertanto contenere:

  1. il menzionato comando (es. una X in alto a destra o un pulsante per rifiutare tutto) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
  2. un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  3. il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio del sito web.

No alla reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso a parte quando mutano significativamente le condizioni del trattamento.

Tra le informazioni ulteriori da rendere agli utenti compaiono i criteri di codifica dei cookie e degli altri strumenti di tracciamento adottati, da comunicare, su richiesta, all’Autorità e la possibilità, per gli utenti autenticati, di acconsentire al tracciamento effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device.

Tra le modalità di consenso lo scrolling, definito inadatto alla raccolta di un idoneo consenso, e il cookie wall, giudicato illecito, sono vietati a parte in situazioni da valutare caso per caso.

Se conformi alle caratteristiche richieste dal Regolamento, i consensi raccolti in precedenza mantengono la loro validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

Ricordiamo infine che abbiamo già avuto modo di parlare in maniera approfondita (partendo dalle basi per offrire l’opportunità a chiunque di comprendere l’argomento) dei cookie, del cookie banner, della cookie policy e dell’informativa privacy dei siti web e della loro corretta implementazione: per chi fosse interessato ad un’analisi dettagliata l’articolo è Webinar “La Privacy nel Mondo Web”.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su