COOKIES: quello che devi sapere per mettere in regola il tuo sito entro gennaio

Nel mese di luglio il Garante ha pubblicato le “nuove” Linea Guida cookie e altri strumenti di tracciamentoannunciando che da gennaio inizierà ufficialmente i controlli sui siti web.

Il monitoraggio effettuato a partire da numerosi reclami, le segnalazioni e richieste di pareri, la crescente diffusione delle nuove tecnologie sempre più pervasive, nonché l’evoluzione del comportamento degli utenti del web, che moltiplicano i profili digitali anche attraverso i social network, hanno spinto il Garante a richiamare l’attenzione sulle corrette modalità per il rilascio dell’informativa e per l’acquisizione del consenso on-line da parte degli interessati nonché sulla necessità di rafforzare le tutele degli utenti, favorendo un effettivo controllo sulle informazioni personali oggetto del trattamento.

È necessario affrettarsi, per verificare quali cookie sono installati sui propri siti web, valutare la conformità delle cookie policy e, soprattutto, decidere cosa fare del “banner cookie”.

Il tema cookie resta un tema non facile perché richiede di interpretare aspetti altamente tecnici alla luce dei dettati della normativa.

Rispondiamo di seguito alle domande che più spesso ci vengono sottoposte utilizzando i contenuti delle recenti Linee Guida.

1.     Serve il consenso per i Cookie o altri identificatori tecnici?

No, cookie tecnici (ed equiparati) non richiedono l’acquisizione del consenso, ma vanno sempre indicati nell’informativa.

L’utilizzo di questi marcatori temporanei, infatti, rientra in uno dei casi di esenzione dall’obbligo di acquisizione del consenso codificato dal legislatore nell’art. 122 del Codice Privacy, secondo il quale tali strumenti sono necessari al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.

In sostanza questi identificatori sono utilizzati per garantire un corretto funzionamento del sito web e pertanto il Garante richiede soltanto che il Titolare fornisca all’interessato una specifica informativa sul loro impiego.

Se in un sito web sono presenti esclusivamente i cookie tecnici o altri strumenti analoghi, è sufficiente indicarli nella homepage o nell’informativa generale, senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.

2.     Come fare per usare Cookie analytics senza acquisire il consenso?

Gli analytics sono equiparati ai cookie tecnici se il dato:

  • è usato solo per statistiche aggregate ed in relazione ad un singolo sito o una sola applicazione mobile
  • è anonimizzato (mascheramento IP)
  • non viene combinato dalle terze parti con elaborazioni ulteriori finalizzate ad altri scopi diversi dalla sola analisi statistica.

I cookie analitici possono essere utilizzati al fine di valutare l’efficacia di un servizio della società dell’informazione fornito dal titolare di un sito, per progettare un sito web o contribuire a misurarne il “traffico”.

Tali identificativi possono essere equiparati a quelli tecnici e di conseguenza essere utilizzati anche senza la previa acquisizione del consenso degli utenti ma, affinché ciò sia possibile, è indispensabile che siano rispettate le condizioni elencate sopra.

3.     Come gestire tutti gli altri casi di utilizzo di Cookie non tecnici?

I cookie e gli altri strumenti di tracciamento adoperati per finalità diverse da quelle tecniche, come ad esempio profilazione, analisi e monitoraggio dei comportamenti dei visitatori di siti web o per inviare messaggi pubblicitari, possono essere utilizzati esclusivamente previa acquisizione di un consenso da parte dell’utente. Il Garante precisa che in nessun caso sarà possibile giustificare l’uso di suddetti identificatori invocando la base giuridica del legittimo interessedel titolare.

Al fine di acquisire in modo corretto il consenso è necessario che nel sito sia predisposto un banner contenente una informativa c.d. breve, nella quale deve essere illustrato che la pagina web utilizza i cookie di profilazione e gli altri strumenti di tracciamento, indicando le relative finalità. Il banner inoltre dovrà contenere un link alla privacy policy ovvero ad una informativa estesa posizionata in un second layer ove vengono fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento UE 679/2016.

Nel rispetto del principio di privacy by default si dovrà garantire quindi che al momento del primo accesso dell’interessato al sito non venga utilizzato nessun cookie o altro strumento di tracciamento di natura diversa da quella tecnica e che, per impostazione predefinita, il titolare tratti soli i dati strettamente necessari al funzionamento del sito.

4.     Che caratteristiche deve avere il banner? Come dev’essere configurato?

Sul banner, può essere utile qualche riflessione più articolata, visto che spesso si trova al centro dei maggiori problemi per la conformità dei siti web. Ma non si consideri il banner come il problema in sé: il banner rappresenta “la cortesia del sito”, è il modo che ha il sito per raccontarci cosa deve sapere per poter continuare a dialogare con noi utenti e cos’altro vorrebbe sapere di noi anche se può farne a meno, e chiederci il permesso di farsi gli affari nostri. È la soluzione migliore di cui disponiamo al momento per consentirci di esprimere i nostri diritti alla riservatezza.

Per questo va curato anche dal punto di vista del design grafico, vanno evitate soluzioni che spingano l’utente nella direzione del pulsante “Accetta tutto” (ad es. mostrandolo più grande, più colorato, più raggiungibile… più attraente). Quando si ha a che fare col consenso, la scelta deve essere sempre libera, informata e non influenzata.

Il banner deve essere visivamente adeguato, di una dimensione tale da costituire una percettibile discontinuità rispetto ai contenuti della pagina web ma anche da evitare il rischio che l’utente possa utilizzare dei comandi in modo inconsapevole. Le proporzioni dovranno essere parametrate anche in base ai diversi dispositivi con cui l’interessato potrebbe accedere al sito.

Al fine dell’acquisizione del consenso, nel banner dovrà essere presente

  • l’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici ed un comando per chiudere il banner – ad esempio la classica X – senza prestare il consenso all’uso di cookie ulteriori rispetto a quelli tecnici impostati di default;
  • un comando per accettare tutti i cookie presenti;
  • il link ad un’altra area dedicata alle scelte di dettaglio, da cui l’utente potrà selezionare in modo analitico le funzionalità, le terze parti e i cookie cui intende prestare il consenso all’installazione.

Il banner dovrà inoltre contenere

  • una informativa minima circa l’utilizzo dei cookie o di altri strumenti tecnici e, previa acquisizione del consenso dell’utente da prestarsi con modalità da indicare nella medesima informativa, anche dei cookie di profilazione o strumenti di tracciamento diversi;
  • il link alla privacy policy ovvero ad una informativa estesa ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del GDPR;

5.     Posso impedirti l’accesso ai contenuti del sito se non accetti i cookie?

Assolutamente no!

Il consenso dev’essere prestato liberamente, il meccanismo del c.d. “cookie wall” in base al quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito, è illecito.

Il consenso ottenuto mediante l’utilizzo di questa tecnica non è liberamente prestato e quindi non è conforme ai requisiti stabiliti dal Regolamento, secondo il quale invece la manifestazione di volontà dell’interessato deve essere libera, specifica, informata e inequivocabile (art. 4 del GDPR).

6.     È possibile ritenere prestato il consenso con un semplice scroll down?

Il semplice scroll down non è idoneo a manifestare il consenso all’installazione e all’utilizzo dei cookie e altri strumenti di tracciamento. In linea con quanto specificato anche nel Considerando 32 del GDPR, il consenso non si dovrebbe ritenere configurato nel caso di silenzio, inattività o preselezione di caselle.

Non si esclude che lo scrolling possa essere uno dei componenti all’interno del processo che dimostra l’assenso dell’utente purché non sia solo inequivoco e consapevole ma anche registrabile e documentabile da parte del Titolare; qualora all’azione dell’utente non corrisponda un evento informatico dotato delle menzionate caratteristiche, allora non sarà possibile considerare valido il consenso.

7.     Dopo quanto tempo, posso/devo mostrare nuovamente il banner?

Le scelte dell’utente vanno memorizzate per 6 mesi.

La reiterata riproposizione del banner è considerata una tecnica invasiva che può incidere sulla libera formazione del consenso dell’utente inducendolo ad accettare condizioni presenti nella richiesta pur di proseguire nella navigazione. La scelta dell’utente sull’utilizzo dei cookie e altri strumenti di tracciamento dovrà essere debitamente registrata da parte del Titolare e la prestazione del consenso non può essere nuovamente sollecitata, se non al verificarsi di alcune circostanze:

  • quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner;
  • quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute (come nel caso in cui mutino le terze parti);
  • quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia già stato in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio: l’utente ha cancellato i cookie legittimamente installati).

8.     Attenzione alla correttezza dell’informativa!

Che si tratti di cookie tecnici, analitici o di profilazione, l’informativa da fornire all’interessato deve essere personalizzata sui singoli cookie effettivamente installati dal sito: in altre parole, l’informativa che va bene per un sito, non va bene per un altro. Come già indicato, per essere conforme alla normativa sui cookie l’informativa estesa deve contenere almeno tutte le indicazioni previste dagli artt. 12 e 13 del GDPR. Ad esempio, prima di redigerla, tra gli altri aspetti deve essere, quindi, identificata la base giuridica del trattamento in funzione della tipologia di cookie e della sua finalità così come deve essere verificata la legittimità dei trasferimenti di dati.

È poi necessario spiegare all’utente quali sono i suoi diritti e come potrà esercitarli.

Il tutto dovrà essere illustrato con un linguaggio semplice e accessibile.

Oltre a questo, sul piano tecnico, sarà obbligatorio rendere l’informativa fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari.

Facebook
Twitter
LinkedIn
WhatsApp
L’Avvocato Alessandra Delli Ponti si occupa di tematiche privacy e nuove tecnologie da quasi vent’anni supportando aziende e strutture sanitarie private nei necessari passaggi
L’avvocato Eleonora Lenzi si occupa principalmente di diritto delle imprese ed ha maturato una significativa esperienza in materia di contrattualistica nazionale ed internazionale, tutela

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?