Cookie: dal 10 gennaio sono entrate in vigore le nuove linee guida del Garante

Le nuove linee guida del Garante privacy sui cookie sono entrate in vigore il 10 gennaio 2022 aggiornando quanto richiesto in tema di tracciamento e di possibilità di scelta da dare all’utente che visita il nostro sito.
L’obiettivo di queste linee guida è proprio quello di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy.

Il Garante ha voluto porre l’attenzione su due questioni:
• classificazione dei cookie ed altri strumenti di tracciamento;
• lo “scrolling e la cookie wall”;
• la reiterazione nella richiesta di consenso;
• la privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento;
• le novità in materia d’informativa.

I Cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.
I cookie possono dunque svolgere importanti funzioni tra le più disparate, compresi l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico. I cookie cd. “di autenticazione” sono di particolare importanza ogni qualvolta sia necessaria una verifica in ordine al soggetto che accede a
determinati servizi, come ad esempio quelli bancari.
Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete – in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.

Cosa fare in pratica

Si raccomanda pertanto l’adozione di un sistema di installazione dei cookie da parte del proprio sito web che soddisfi le indicazioni dell’EDPB e del Garante che preveda:
• i cookie dovranno identificarsi tendenzialmente in due tipi: tecnici (1) (che possono ricomprendere gli analitici anonimi che non permettano in nessun modo l’identificazione dell’interessato c.d. single out) e di profilazione (2) [se sono presente quelli analitici anonimi possono uscire da questa barra]. Dovrà ovviamente essere implementato un meccanismo che permetta all’utente granularmente di selezionare solo i cookie tecnici o entrambe le soluzioni.
• libero, per cui dovranno evitarsi banner che prevedano il c.d. “cookie-wall necessary” ossia il meccanismo per cui l’utente debba accettare l’installazione di tutti i cookie per poter accedere ai servizi del sito;
• i cookie andranno quindi acconsenti singolarmente, evitando meccanismi di accettazione multipla nella forma del “bundle”;
• informato, per cui il banner dovrà rendere un’informazione concisa, seppure completa e rimandare mediante link all’informativa estesa ove dovranno essere rese tutte le informazioni pertinenti, quali i tipi di cookie utilizzati, la loro natura e durata laddove prevista, oltre ad ogni altra informazione circa le modalità di accettazione, modifica e revoca;
• inequivocabile, per cui il banner dovrà chiaramente indicare all’utente che è prevista l’installazione di cookie necessari per il funzionamento del sito e che, previo consenso, potranno essere installati anche altri cookie eventualmente non anonimizzati e soprattutto cookie di profilazione.
• Il consenso dovrà essere sempre modificabile ed anche revocabile con la stessa facilità con cui esso è stato prestato: a tale fine è opportuno che l’informativa estesa preveda un comando “MODIFICA” ed un comando “REVOCA”.
• Infine, dovranno evitarsi meccanismi di installazione dei cookie prima che l’utente abbia svolto la propria azione positiva all’ingresso nel sito (per cui dovranno essere previsti strumenti di blocco automatico dei cookie fino alla scelta dell’interessato) oppure che prevedano una forma di opt-out: sono quindi sconsigliate forme di pre-selezione dei checkbox come anche il pre-posizionamento dei pulsanti “on-off” sulla modalità “on” e simili.

La guida non è esaustiva e dovrà essere calata in ogni singola realtà in base alle esigenze ed ai trattamenti svolti. Meraki può supportare l’azienda nell’implementazione di queste nuove linee guida!