Nel mese di Giugno il Garante ha adottato nuove Linee guida sul tema cookie e, in generale, tracciamento degli utenti sul web. Tutti gli obblighi in una pagina a tema sul sito istituzionale.

Nel mese di Giugno il Garante ha adottato nuove Linee guida sul tema cookie e, in generale, tracciamento degli utenti sul web. Queste si sono sono rese necessarie per aggiornare quelle precedenit (risalenti al 2014), che non tenevano conto delle novità introdotte dal GDPR e dalle nuove Linee guida dell’EDPB nonché della consultazione pubblica che è stata promossa l’anno scorso. Obiettivo delle modifiche? Rafforzare il potere decisionale degli utenti riguardo alle modalità e utilizzo dei dati personali nella navigazione sul web. Adesso c’è una specifica pagina sul sito web istituzionale del Garante che riporta queste novità, consultabile all’indirizzo https://www.gpdp.it/temi/cookie

Senza consenso non si trattano dati!

Punto focale delle nuove Linee Guida cookie è il fatto che senza consenso nessun dato può e deve essere trattato. Quindi per impostazione predefinita ogni sito web dovrà avere disabilitati cookie e tutti gli strumento di tracking. Fanno eccezione, ovviamente, i cookie tecnici necessari al funzionamento del sito web stesso. No quindi anche ai cookie di terze parti e altre forme di tracciamento passivo come il fingerprinting.

Una volta acceduto al sito web, l’utente dovrà visualizzare una informativa che renda chiari:

  • quali sono i tempi di conservazione delle informazioni;
  • se i dati possano essere trattati anche da terze parti.

Nell’ottica di rendere più chiare e comprensibili le informative, le Linee guida cookie prevedono che queste potranno essere rese anche con più mezzi e modalità. Il Garante suggerisce pop up, video, ma anche interazioni vocali, animazioni ecc…

Resta la conferma dell’obbligo della sola informativa sui cookie tecnici, anche entro l’informativa generale.

Per quanto riguarda i cookie analytics il Garante ha ribadito che dovranno essere usati solo a scopi statistici e per valutare l’efficacia di un servizio.

I cookie per la profilazione invece devono essere strettamente correlati al consenso dell’utente. Senza l’espressione libera e informata del consenso dell’utente tali cookie non potranno essere attivati. Il consenso deve essere richiesto tramite un banner chiaramente distinguibile che non potrà comunque impedire all’utente la navigazione. Il banner dovrà essere chiudibile e dovrà garantire la navigazione sul sito senza che l’utente venga in alcun modo tracciato nel caso in cui abbia negato il consenso. Insomma, il cookie wall è apertamente vietato anche dalle linee guida del Garante italiano. Viene precisato anche che lo scrolling, ovvero lo spostamento del cursore del mouse su una pagina, non è una manifestazione del consenso dell’utente.

I publisher potranno considerare lo scroll down come una manifestazione del consenso solo se inserito in un processo più ampio che consenta all’utente di generare un evento, registrabile e documentabile sul server che ospita il sito. Tale evento dovrà poter conformarsi come una manifestazione positiva e inequivoca della volontà di consentire il trattamento dati.

Viene indicata come “misura ridondante e invasiva” l’usanza, purtroppo molto diffusa, di riproporre in maniera insistente ad ogni visita il banner cookie a coloro che, nel corso di precedenti visite, abbiano già negato il consenso. La scelta degli utenti deve essere registrata ed archiviata senza ulteriori tentativi, a meno che

  1. non si verifichino cambiamenti significativi alle modalità di trattamento dei dati;
  2. siano trascorsi 6 mesi dall’ultima visualizzazione del banner cookie;
  3. sia impossibile sapere se un cookie sia già memorizzato o meno sul dispositivo dell’utente.

Gli utenti devono comunque vedersi garantito il diritto a modificare in qualsiasi momento un consenso prestato in precedenza.

La nota del Garante si conclude con una chiara specifica: i titolari dei siti web hanno 6 mesi per conformarsi alle indicazioni delle Linee Guida. Dal 10 Gennaio 2022 chi non si sarà messo in conformità potrà incorrere in sanzioni. In ultimo, il Garante

auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno“.

Linkografia utile:

  1. Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021
  2. EDPB: Guidelines 05/2020 on consent under Regulation 2016/679

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.