Categorie
News

Linee guida per Cookies e GDPR: tutto ciò che devi sapere sull’aggiornamento 2021

Scopri tutto ciò che devi sapere sulle nuove linee guida per Cookie e GDPR nel 2021. Troverai info su aggiornamenti e gestione dei cookie.

Articolo aggiornato al 18/07/2022

Il 10 giugno 2021 il Garante per la protezione dei dati personali ha approvato il provvedimento n. 231 recante “Linee guida cookie e altri strumenti di tracciamento” (doc. web n. 9677876), pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021. La normativa precedente risale al 2014, ma non teneva in considerazione gli ultimi aggiornamenti normativi a livello europeo (GDPR).

La buona notizia? Ci sono ancora 6 mesi di tempo per adeguarsi.

Questa moratoria va vista come un invito all’azione da parte del Garante, che sollecita tutti ad attivarsi per rivedere le proprie prassi operative in quanto titolari del trattamento dei dati, assicurandosi che corrispondano alle istruzioni fornite e modificandole affinchè rispettino le nuove linee guida.

Da oggi gli sviluppatori hanno in mano i documenti ufficiali “nero su bianco” per adeguare le loro piattaforme web alle nuove regole, che erano già in discussione nel 2020, e sono state definite a metà giugno 2021.

Quali sono le novità importanti per la gestione dei Cookies 2021

  • Al primo accesso sul sito, nel dispositivo dell’utente si può salvare solo Cookies tecnici. Per tutti gli altri è necessario il consenso espresso.
  • La schermata di richiesta consenso deve essere visualizzata sempre al primo accesso, e deve contenere almeno:
    • un pulsante per accettare in blocco a tutti i Cookies;
    • la possibilità di un controllo più granulare quindi con maggior libertà di scelta;
    • un pulsante di chiusura (‘la X’) in alto a destra che, se cliccato, nega il consenso a tutti i Cookies tranne a quelli tecnici.
  • La durata di default dei Cookies dovrebbe essere di 6 mesi, a meno che non cambino le condizioni o il sito non riesca a salvare i Cookies sul device dell’utente.
  • Il testo deve essere chiaro e semplice e deve contenere un link all’informativa completa.
  • Lo scrolling non può più essere considerato un’espressione del consenso da parte dell’utente. 
  • Niente ‘Cookie Wall’: il sito deve essere navigabile anche se l’utente ha rifiutato il consenso ai Cookiee.

Le norme applicabili e la necessità di aggiornamento delle Linee guida per GDPR e Cookie

Tutta la nuova normativa è stata integrata dal GDPR, per cui oggi la manifestazione di volontà dell’interessato deve non solo essere libera, specifica e informata, ma anche inequivocabile. 

Il Garante precisa che dal momento che vi è stata un’evoluzione comportamentale degli utenti in rete (pensiamo all’Internet of Things), è aumentato il rischio per gli interessati di essere soggetti a profilazioni estremamente specifiche e dettagliate, grazie all’incrocio dei dati raccolti su più terminali.

Per questo è necessario un ripensamento dell’utilizzo dei Cookies e degli strumenti di tracciamento, incentrato sulla tutela dell’utente in una società sempre più digitalizzata e interconnessa.

L’utilizzo dei Cookies e degli altri strumenti di tracciamento era già stato disciplinato dalla Direttiva ePrivacy del 2002, così come recepita in Italia dagli articoli 122 e seguenti del Codice Privacy (d.lgs. n. 196/2003). 

Il rapporto di questa normativa con il GDPR è chiarito dall’articolo 95 del Regolamento, che stabilisce che quest’ultimo “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione dell’Unione, per quanto riguarda le materie per cui sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”.

La Direttiva ePrivacy dunque si pone come lex specialis rispetto al GDPR integrandone e precisandone le disposizioni che fungono da cornice regolatoria di carattere generale.

Tracciamento, consenso e Cookie Wall nel 2021

Come detto in precedenza, per i Cookies tecnici il titolare del sito dovrà fornire l’informativa sul trattamento dei dati personali, inserendola anche in quella generale del sito web. Per i Cookies di profilazione e per tutti gli strumenti di tracciamento non tecnici sarà invece necessario chiedere il consenso all’utente.

Infatti con l’articolo 122, il Garante ha precisato che non è lecito invocare il legittimo interesse del titolare quale condizione di liceità del trattamento, prassi che invece era molto diffusa sul web, come rilevato dall’Autorità nel corso delle sue verifiche.

Bocciato invece il cosiddetto ‘Cookie Wall’, ossia quel meccanismo vincolante per cui l’utente, per accedere al sito, deve necessariamente prestare il proprio consenso al trattamento dei dati personali tramite Cookie.

In questi casi, la manifestazione dell’interessato risulta forzata dalla mancanza di alternative, per cui non si può certo parlare di una scelta libera. Teoricamente il titolare del sito potrà provare di aver offerto all’interessato la possibilità di accedere a un contenuto o a un servizio equivalenti senza prestare il consenso; in realtà tale situazione sembra alquanto improbabile.

Infine, riguardo la possibilità di posticipare la scelta, il Garante individua solo alcuni casi in cui sia possibile reiterare la richiesta, ossia quando vi sia una specifica e necessaria finalità informativa dovuta a mutamenti significativi di una o più condizioni del trattamento, quando sia impossibile per il titolare tenere traccia del fatto che un Cookie sia già stato installato sul terminale dell’utente (ad esempio quando questi abbia cancellato i Cookies memorizzati), oppure quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

I tempi di conservazione suggeriti dal garante, quindi, sono di massimo 6 mesi.

Cookie banner, Privacy by design e Privacy by default

L’articolo 25 del GDPR ha codificato i principi di Privacy by design e Privacy by default, da cui deriva un obbligo per i titolari del trattamento di incorporare la tutela dei dati personali come impostazione predefinita fin dalla progettazione dei trattamenti. 

Nella sostanza, si ha Privacy by default quando al momento del primo accesso non viene utilizzato nessun Cookie o strumento di tracciamento che non abbia natura tecnica. Solo così il titolare potrà assicurare che, per impostazione predefinita, vengano trattati solo i dati strettamente necessari al funzionamento del sito web.

Deve essere poi data all’interessato la possibilità di prestare il consenso all’utilizzo dei Cookies di profilazione o altri strumenti di tracciamento non tecnici, attraverso l’apposito banner con l’informativa breve. 

Il banner deve costituire una “percettibile discontinuità nella fruizione dei contenuti”, e quindi la chiusura dello stesso tramite il click sulla ‘X’ dovrà impedirne la riproposizione per un periodo di almeno 6 mesi. In questo modo si evita di innondare l’utente di eccessive richieste che rischierebbero di minare la percezione del valore del contenuto del banner.

Oltre al banner, dovrà essere presente nel footer delle varie pagine del sito web un link che consenta di accedere a un’area tramite cui l’utente potrà modificare, in qualsiasi momento, le scelte compiute in relazione ai Cookies e agli altri strumenti di tracciamento.

Cookies e altri strumenti di tracciamento nel 2021

Il nuovo regolamento riguarda il trattamento dei dati personali effettuato tramite i Cookies e gli altri strumenti di tracciamento. 

Il Garante evidenzia che, mentre nel caso dei Cookies o degli strumenti di tracciamento ‘attivi’ l’interessato ha comunque la possibilità pratica di rimuovere direttamente i Cookies dai propri terminali, tale opzione non esiste quando vengono utilizzati strumenti di tracciamento ‘passivi’. In quest’ultimo caso quindi, gli utenti hanno un minore controllo sul trattamento dei propri dati e spesso, anche una minore consapevolezza.

Il Garante precisa che non esiste ancora un sistema universalmente accettato di codifica semantica dei Cookies e degli altri strumenti di tracciamento, per cui la distinzione tra le varie categorie resta, di fatto, affidata alla determinazione dei singoli titolari del trattamento, nonostante le conseguenze fondamentali che l’inclusione in una categoria o in un’altra comporta dal punto di vista della disciplina a tutela degli utenti. 

Cookies Analytics

Il Garante dedica un apposito paragrafo delle Linee guida ai Cookies Analytics, ossia quelli utilizzati per finalità valutative della performance del sito e per la sua progettazione, attraverso analisi di tipo statistico del traffico degli utenti.

La moltiplicazione delle identità digitali ha reso più semplice l’identificazione di un dato utente, vista la possibilità di incrociare diversi dati tracciandone di fatto il comportamento sulla stessa piattaforma. Bisogna quindi rivedere le politiche riguardanti i Cookies Analytics di terze parti che, combinati con informazioni raccolte da altri siti o dispositivi, se usati dallo stesso utente, possono consentirne l’identificazione.

Nelle vecchie indicazioni del Garante era necessario distinguere tra Cookies di prima parte (assimilabili a quelli tecnici e quindi utilizzabili senza consenso) e Cookies di terze parti (equiparabili ai Cookies tecnici solo laddove i dati fossero anonimizzati). Anche nelle nuove Linee guida viene ribadita la stessa regola, fatta eccezione l’eventuale aggregazione di dati che potrebbe quindi inficiare l’anonimizzazione.

Vuoi leggere il provvedimento 231/2021 del Garante della Privacy per intero?

Clicca qui per leggere il testo integrale pubblicato sulla Gazzetta Ufficiale.

Hai bisogno di maggiori informazioni?