Immagine proprietà di Renorm Srl. Tutti i diritti riservati ©
Premessa
L’Autorità Garante per la Protezione dei Dati Personali ha recentemente approvato le nuove Linee Guida riguardanti i Cookie (ed ulteriori identificatori utilizzati o strumenti di tracciamento), con l’obiettivo di rafforzare il controllo degli utenti riguardo all’uso dei loro dati personali al momento della navigazione.
Link diretto alla “Scheda sintesi” delle “Linee Guida Cookie e altri strumenti di tracciamento”.
Che cosa sono i Cookie?
I Cookie sono di regola «stringhe di testo» che i siti web (c.d. publisher o “prima parte”) visitati dagli utenti, ovvero siti o web server diversi (c.d. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori “attivi”). Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa (c.d. identificatori “passivi”), consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei Cookie.
Quali tipologie di Cookie esistono?
Esistono diverse tipologie di Cookie. Occorre distinguere innanzitutto le seguenti:
- Cookie tecnici: si tratta dei Cookie indispensabili per la navigazione e possono essere:
- di natura temporanea (conservati unicamente per la durata della navigazione, una volta chiuso il browser questi Cookie verranno cancellati); oppure
- di natura persistente (conservati per un periodo più lungo e non verranno cancellati una volta ultimata la navigazione).
Tali Cookie, proprio perché hanno delle caratteristiche tecniche, non sono soggetti al preventivo consenso da parte degli utenti.
- Cookie di profilazione: vengono utilizzati per individuare le preferenze dell’utente (es. gusti, argomenti di interesse, ecc.) e sulla base di tali preferenze, procedere all’invio di messaggi pubblicitari od offerte commerciali. In virtù di tale ragione, l’utilizzo di tali Cookie necessita di un preventivo consenso da parte dell’utente per la loro installazione.
- Cookie analitici: sono equiparabili ai Cookie e agli altri identificatori tecnici solo se:
- vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
- viene mascherata – per quelli di terze parti – almeno la quarta componente dell’indirizzo IP;
- le terze parti si astengono dal combinare i Cookie analitici, così minimizzati, con altre elaborazioni (es. file dei clienti o statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o App che siano riconducibili al medesimo publisher o gruppo imprenditoriale.
Il considerando 30 del GDPR 2016/679 espressamente afferma che “[l]e persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.
A seguito delle nuove Linee Guida, che cosa cambia rispetto a prima?
Le nuove Linee guida sui Cookie di per sé consolidano ciò che l’Autorità Garante sino ad ora ha sempre considerato una buona prassi. Ciò che sembra essere di vitale importanza sono le caratteristiche del banner che deve essere a comparsa immediata, di adeguate dimensioni e contenere.
a. l’indicazione che il sito utilizza Cookie tecnici e, previo consenso dell’utente, Cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
b. il link alla Privacy Policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
c. l’avvertenza che la chiusura del banner (es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di Cookie o altri strumenti di tracciamento diversi da quelli tecnici.
Quali sono (o dovrebbero) essere le caratteristiche del banner?
- Il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei Cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
- un comando per accettare tutti i Cookie o altre tecniche di tracciamento;
- il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i Cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.
Dulcis in fundo?
In relazione alla Cookie Wall (sistema che vincola gli utenti all’espressione del consenso), l’Autorità Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi di una verifica caso per caso. La scelta dell’utente dovrà essere debitamente registrata e non più sollecitata, a meno che:
- non mutino significativamente le condizioni del trattamento;
- sia impossibile sapere se un Cookie sia già memorizzato nel dispositivo;
- siano trascorsi almeno 6 mesi.
L’EDPB ha, inoltre, chiarito (parere n. 5/2020, del 4 maggio 2020) che il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso “in nessuna circostanza”
E adesso?
I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee Guida. Il tempo lasciato ai Titolari risulta essere di lunghezza apprezzabile per la predisposizione di un’infrastruttura pronta a ricevere gli utenti sui propri sistemi, ma chiaramente le cose da fare devono essere chiare per centrare l’obbiettivo.
Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.