Cookie: dal 10 gennaio sono entrate in vigore le nuove linee guida del Garante

Le nuove linee guida del Garante privacy sui cookie sono entrate in vigore il 10 gennaio 2022 aggiornando quanto richiesto in tema di tracciamento e di possibilità di scelta da dare all’utente che visita il nostro sito.
L’obiettivo di queste linee guida è proprio quello di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy.

Il Garante ha voluto porre l’attenzione su due questioni:
• classificazione dei cookie ed altri strumenti di tracciamento;
• lo “scrolling e la cookie wall”;
• la reiterazione nella richiesta di consenso;
• la privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento;
• le novità in materia d’informativa.

I Cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.
I cookie possono dunque svolgere importanti funzioni tra le più disparate, compresi l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico. I cookie cd. “di autenticazione” sono di particolare importanza ogni qualvolta sia necessaria una verifica in ordine al soggetto che accede a
determinati servizi, come ad esempio quelli bancari.
Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete – in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.

Cosa fare in pratica

Si raccomanda pertanto l’adozione di un sistema di installazione dei cookie da parte del proprio sito web che soddisfi le indicazioni dell’EDPB e del Garante che preveda:
• i cookie dovranno identificarsi tendenzialmente in due tipi: tecnici (1) (che possono ricomprendere gli analitici anonimi che non permettano in nessun modo l’identificazione dell’interessato c.d. single out) e di profilazione (2) [se sono presente quelli analitici anonimi possono uscire da questa barra]. Dovrà ovviamente essere implementato un meccanismo che permetta all’utente granularmente di selezionare solo i cookie tecnici o entrambe le soluzioni.
• libero, per cui dovranno evitarsi banner che prevedano il c.d. “cookie-wall necessary” ossia il meccanismo per cui l’utente debba accettare l’installazione di tutti i cookie per poter accedere ai servizi del sito;
• i cookie andranno quindi acconsenti singolarmente, evitando meccanismi di accettazione multipla nella forma del “bundle”;
• informato, per cui il banner dovrà rendere un’informazione concisa, seppure completa e rimandare mediante link all’informativa estesa ove dovranno essere rese tutte le informazioni pertinenti, quali i tipi di cookie utilizzati, la loro natura e durata laddove prevista, oltre ad ogni altra informazione circa le modalità di accettazione, modifica e revoca;
• inequivocabile, per cui il banner dovrà chiaramente indicare all’utente che è prevista l’installazione di cookie necessari per il funzionamento del sito e che, previo consenso, potranno essere installati anche altri cookie eventualmente non anonimizzati e soprattutto cookie di profilazione.
• Il consenso dovrà essere sempre modificabile ed anche revocabile con la stessa facilità con cui esso è stato prestato: a tale fine è opportuno che l’informativa estesa preveda un comando “MODIFICA” ed un comando “REVOCA”.
• Infine, dovranno evitarsi meccanismi di installazione dei cookie prima che l’utente abbia svolto la propria azione positiva all’ingresso nel sito (per cui dovranno essere previsti strumenti di blocco automatico dei cookie fino alla scelta dell’interessato) oppure che prevedano una forma di opt-out: sono quindi sconsigliate forme di pre-selezione dei checkbox come anche il pre-posizionamento dei pulsanti “on-off” sulla modalità “on” e simili.

La guida non è esaustiva e dovrà essere calata in ogni singola realtà in base alle esigenze ed ai trattamenti svolti. Meraki può supportare l’azienda nell’implementazione di queste nuove linee guida!

Cookie: dal 1° aprile entrano in vigore le nuove linee guida francesi

Il 1 ° aprile 2021 (e non si tratta di un pesciolino), diverranno applicabili le nuove linee guida “sui cookie e tecnologie similari” emanate dall’Autorità francese per la protezione dei dati (CNIL), contenti anche acune raccomandazioni finali sulle modalità pratiche per ottenere il consenso degli utenti alla memorizzazione oppure all’utilizzo di cookie non essenziali e tecnologie simili sui propri dispositivi, nonché una serie di Faq sull’argomento.

Volendo sintetizzare ciò che il documento contiene, riassumiamo di seguito per punti ciò che riteniamo più importate del provvedimento.

A chi si applica il provvedimento

Le linee guida si applicano alle aziende francesi o ad aziende che hanno utenti francesi tra la propria utenza.

Pulsante “accetta” e “rifiuta”

Sia le linee guida che le raccomandazioni sottolineano che deve essere altrettanto facile accettare o rifiutare l’uso dei cookie. Le interfacce di consenso che includono solo i pulsanti “accetta tutto” e “personalizza impostazioni”, in base ai quali gli utenti possono accettare tutti i cookie con un click ma possono rifiutarli con più click, non sono lecite. Se è presente un pulsante “accetta tutto”, deve esserci un pulsante “rifiuta tutto” della stessa dimensione e allo stesso livello sull’interfaccia. In alternativa, l’interfaccia per il consenso potrebbe includere un link “continua senza accettare”. Deve essere chiaro agli utenti come possono rifiutare i cookie.

Viene precisato che il “silenzio” da parte dell’utente, la mancanza di azione diretta dell’utente o altre azioni non direttamente riconducibili ad un chiaro atto positivo di espressione del consenso, debbano essere considerate come rifiuto.

Cookie di Analytics (anonimi) presentano alcune semplificazioni

Qualora vengano utilizzati soltanto cookie di Analytics anonimi per rendicontazioni ed analisi aggregate e qualora questi cookie non vengano relazionati con altri dati allo scopo di produrre analisi approfondite sugli utenti (non più anonime), si potrà procedere senza acquisire uno specifico consenso da parte degli utenti. A tal proposito, da quanto si legge nelle linee guida, la CNIL dovrebbe anche pubblicare un elenco di “strumenti” (cookie) che possano essere espressamente esentati dal consenso alle condizioni appena descritte.

Preferenze espresse dall’utente

Gli utenti, secondo quanto si legge dal provvedimento e dalle FAQ della CNIL, non dovrebbero essere invitati troppo spesso ad esprimere le proprie preferenze riguardanti i cookie.

La CNIL indica come “buona norma” la conservazione delle scelte dell’utente per 6 mesi (indicando che tale presupposto può e deve essere valutato caso per caso in base alle specifiche esigenze dell’azienda e del suo pubblico online).

Costruzione del banner relativo ai cookie

Si rende necessario, nel banner dei cookie, indicare a che tipologie di strumenti l’utente dia il proprio consenso. La CNIL indica tra le possibili categorie da poter utilizzare i cookie: “strettamente necessari, interazione e funzionalità semplici, miglioramento dell’esperienza, misurazione e/o targeting e pubblicità” alle quali, sempre secondo la CNIL, l’utente potrà prestare un consenso anche granulare (ovvero singolarmente, ad una o più delle citate categorie).

Terze parti

Nella Policy Privacy devono essere inseriti i link alle Policy Privacy delle singole aziende che forniscono cookie per cui sia necessario esprimere un consenso.

Consenso degli utenti prestato per ciascun sito

La CNIL in precedenza riteneva che fosse accettabile richiedere il consenso degli utenti per un gruppo di siti se gli utenti fossero stati informati della portata esatta del loro consenso. Quando i cookie non essenziali sono impostati da entità diverse dall’editore web e tali cookie consentono il monitoraggio delle attività degli utenti attraverso altri siti, ora la CNIL consiglia vivamente di richiedere il consenso degli utenti individualmente per ciascun sito.

Merakisas.it può aiutarti a sistemare la cookie policy, il cookie banner e quanto necessario per il rispetto della normativa. Contattaci senza impegno!