Nel mese di Giugno il Garante ha adottato nuove Linee guida sul tema cookie e, in generale, tracciamento degli utenti sul web. Tali linee guida si sono sono rese necessarie per aggiornare quelle precedentemente in uso (risalenti al 2014), che non tenevano conto delle novità introdotte dal GDPR e dalle nuove Linee guida dell’EDPB nonché della consultazione pubblica che è stata promossa l’anno scorso. Obiettivo delle modifiche? Rafforzare il potere decisionale degli utenti riguardo alle modalità e utilizzo dei propri dati personali durante la navigazione sul web. Adesso c’è una specifica pagina sul sito web istituzionale del Garante che riporta queste novità, consultabile all’indirizzo https://www.gpdp.it/temi/cookie

Punto focale delle nuove Linee guida è il fatto che senza consenso nessun dato può e deve essere trattato: per impostazione predefinita quindi ogni sito web dovrà avere disabilitati cookie e qualsiasi altro strumento di tracking, eccezion fatta per quelli tecnici necessari al funzionamento del sito web stesso. No quindi anche ai cookie di terze parti e altre forme di tracciamento passivo come il fingerprinting.

Una volta acceduto al sito web, l’utente dovrà visualizzare una informativa che renda chiari sia quali sono i tempi di conservazione delle informazioni sia se tali dati possano essere trattati anche da terze parti. Nell’ottica di rendere più chiare e comprensibili le (spesso mastodontiche e incomprensibili) informative, le nuove Linee guida prevedono che queste potranno essere rese anche con più mezzi e modalità come pop up, video, ma anche interazioni vocali, animazioni ecc… Resta la conferma dell’obbligo della sola informativa sui cookie tecnici, anche entro l’informativa generale. Per quanto riguarda i cookie analytics il Grante ha ribadito che essi dovvranno essere usati solo a scopi statistici e per valutare l’efficacia di un servizio.

I cookie per la profilazione degli utenti invece devono essere strettamente correlati al consenso dell’utente: senza l’espressione libera e informata del consenso dell’utente tali cookie non potranno essere attivati. Il consenso deve essere richiesto tramite um banner chiaramente distinguibile che non potrà comunque impedire all’utente la navigazione: in sunto, il banner dovrà essere chiudibile e dovrà comunque garantire la navigazione sul sito senza che l’utente venga in alcun modo tracciato nel caso in cui abbia negato il consenso. Insomma, il cookie wall è apertamente vietato anche dalle linee guida del Garante italiano.

Viene precisato anche che lo scrolling, ovvero lo spostamento del cursore del mouse entro la pagina web, non può essere ritenuto come una manifestazione valida del consenso dell’utente: i publisher potranno considerare lo scroll down come una manifestazione del consenso solo se inserito in un processo più ampio che consenta all’utente di generare un evento, registrabile e documentabile sul server che ospita il sito, che possa conformarsi come una manifestazione positiva e inequivoca della volontà di consentire il trattamento dati.

Viene indicata come “misura ridondante e invasiva” l’usanza, purtroppo ancora molto diffusa, di riproporre in maniera insistente ad ogni visita il banner cookie a coloro che, nel corso di precedenti visite, abbiano già negato il consenso. La scelta degli utenti deve essere registrata ed archiviata senza ulteriori tentativi, a meno che

  1. non si verifichino cambiamenti significativi alle modalità di trattamento dei dati;
  2. siano trascorsi 6 mesi dall’ultima visualizzazione del banner cookie;
  3. sia impossibile sapere se un cookie sia già memorizzato o meno sul dispositivo dell’utente.

Gli utenti devono comunque vedersi garantito il diritto a modificare in qualsiasi momento un consenso prestato in precedenza.

La nota del Garante si conclude con una chiara specifica: i titolari dei siti web hanno 6 mesi per conformarsi alle indicazioni delle Linee Guida per non incorrere in sanzioni. In ultimo, il Garante “auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno“.

Linkografia utile:

  1. Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021
  2. EDPB: Guidelines 05/2020 on consent under Regulation 2016/679

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *