Il Garante ha approvato le nuove Linee guida sui cookie con lo scopo di tutelare gli utenti e di rafforzarne il potere decisionale circa l’uso dei loro dati personali durante la navigazione su Internet: tra le disposizioni previste, il divieto di scrolling e di cookie wall se non in casi particolari e limiti alla reiterazione della richiesta di consenso.
I cookie: facciamo un po’ di chiarezza
I cookie sono stringhe di testo utilizzate dalle applicazioni e dai siti web per recuperare e archiviare informazioni di navigazione degli utenti; in particolare, le attività per cui vengono utilizzati i cookie sono quelle di autenticazione, di tracciatura delle sessioni di navigazione e di memorizzazione di informazioni relative agli utenti come, ad esempio, i siti preferiti e visitati con maggior frequenza, il contenuto dei carrelli nei siti di acquisti on-line, etc.
Esistono diverse tipologie di cookie in base alla funzione che rivestono:
- cookie tecnici: si tratta di cookie utili al corretto funzionamento del sito, rendono più facile e veloce la navigazione;
- cookie analitici: vengono impiegati dai gestori dei siti per raccogliere e analizzare informazioni in forma aggregata relativamente al numero di utenti che visitano il sito, elaborando statistiche utili alla gestione del sito;
- cookie di profilazione: vengono utilizzati per monitorare gli utenti durante la navigazione, analizzandone i comportamenti e le abitudini.
I cookie, inoltre, possono essere di prima o di terza parte. I cookie di prima parte sono quelli che vengono gestiti direttamente dal sito visitato dall’utente; i cookie di terza parte vengono trasmessi a siti diversi rispetto a quello visitato ed è qui che si annidano i principali rischi per la privacy degli utenti.
Il GPDP si esprime sui cookie
Considerati i rilevanti rischi per la privacy in relazione alla tipologia di informazioni acquisite, i cookie sono oggetto di particolare attenzione da parte del Garante della Protezione dei Dati Personali.
Con il provvedimento dell’8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, il Garante aveva già individuato obblighi e direttive da parte dei gestori dei siti sull’utilizzo dei cookie; in particolare, il provvedimento rendeva obbligatorio, in caso di presenza di cookie con finalità di profilazione e marketing, la presenza di un banner, al primo accesso al sito, con lo scopo di informare l’utente in merito alla presenza di cookie di profilazione.
Con le nuove linee guida del 10 giugno 2021, lo scopo del Garante è quello di tutelare maggiormente la privacy degli utenti rafforzandone il potere decisionale. Vediamo come.
I contenuti delle Linee Guida
Innanzitutto, l’impostazione del sito dovrà essere tale per cui al momento del primo accesso al sito da parte dell’utente nessun cookie di tipo diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente stesso.
Per i cookie tecnici rimane confermato l’obbligo della sola informativa (non è necessario, quindi, richiedere il consenso); si raccomanda, inoltre, che i cookie analitici vengano utilizzati solamente a scopi statistici.
In caso di cookie di terze parti, l’informativa dovrà riportare anche gli eventuali soggetti terzi destinatari dei dati e i relativi tempi di conservazione. L’informativa potrà essere fornita tramite diversi canali e modalità.
In merito ai cookie di profilazione, rimane l’obbligo di richiesta di consenso al trattamento dei dati; il sito dovrà inoltre fornire la possibilità agli utenti di proseguire la navigazione anche in caso di mancato consenso senza essere tracciati.
Lo scrolling, ovvero lo spostamento in basso del cursore o scroll-down, non potrà più essere considerato un’idonea manifestazione di consenso da parte dell’utente; il gestore del sito dovrà prevedere un meccanismo più articolato attraverso il quale lo scrolling possa essere registrato e documentato come azione evidente di consenso.
Il cookie wall, ovvero il sistema che vincola gli utenti al consenso per poter avere accesso al sito, è da considerarsi illegittimo, a meno che il titolare del sito permetta l’accesso a contenuti equivalenti in assenza di richiesta di ulteriore consenso al trattamento.
Una volta che l’utente, al primo accesso al sito, avrà fornito le sue preferenze in merito alla gestione dei cookie, non sarà più possibile richiedere ulteriore consenso (ad esempio, attraverso la reiterata comparsa del banner); la scelta dell’utente dovrà essere registrata e non potrà più essere sollecitata a meno che:
- non varino le condizioni del trattamento;
- non sia possibile in alcun modo sapere se un cookie sia già memorizzato nel dispositivo;
- siano trascorsi almeno sei mesi dalla scelta dell’utente.
Rimane comunque il diritto dell’utente di revocare il consenso precedentemente fornito.
Infine, il GPDP richiede ai publisher di dichiarare nell’informativa i criteri di codifica dei tracciatori adottati da ognuno.
I titolari dei siti hanno sei mesi di tempo per adeguarsi alle disposizioni delle nuove linee guida.
Fonte: Comunicato stampa Garante della Protezione dei Dati Personali “Cookie: dal Garante privacy nuove Linee guida a tutela degli utenti”.