Nuove linee guida sui cookie: cosa cambia e come adeguarsi

Pubblicato il: 28 Dicembre 2021Categorie: News0 CommentiTempo di lettura: 8,1 min

Il 9 luglio scorso sono entrate in vigore le nuove linee guida in merito alla regolamentazione dei cookie e dei sistemi di tracciamento installati sui siti web. 

Questi provvedimenti sono stati emanati dal Garante per la Protezione dei Dati Personali e il termine ultimo per adeguarsi alla normativa è fissato per il 10 gennaio 2022.

Questa scadenza rappresenta l’ultima tappa di un percorso iniziato nel 2014 con l’approvazione del provvedimento n. 229 dell’8 maggio in cui il Garante per la protezione dei dati personali aveva individuato le “modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.

L’aggiornamento si è reso necessario non solo per le novità introdotte dal GDPR ma anche per l’evoluzione che questo tema ha avuto negli ultimi anni e per le numerose segnalazioni ricevute dal Garante in merito alle modalità non corrette di gestione cookie.

Con queste nuove linee guida il Garante ha voluto quindi specificare ulteriormente le corrette modalità di utilizzo dei cookie e degli altri sistemi di tracciamento e le modalità di acquisizione del consenso degli interessati sui siti web con l’obiettivo di dare più potere agli utenti in merito all’utilizzo dei propri dati personali.

Vediamo ora cosa comporta questo aggiornamento delle linee guida sulla regolamentazione dei cookie e dei diversi sistemi di tracciamento.

Che cosa sono i cookie e gli altri strumenti di tracciamento online

Prima di vedere cosa è cambiato con l’entrata in vigore delle nuove linee guida, facciamo un piccolo passo indietro e capiamo cosa sono i cookie e gli altri strumenti di tracciamento. 

I cookie

Le linee guida del garante definiscono i cookie “stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè̀ per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità̀ dell’utente medesimo”.

I cookie, quindi, sono piccoli file installati sul device dell’utente (pc, tablet, smartphone, ecc..) da parte di un sito web quando viene visitato (o da parte di terze parti, per il tramite del sito stesso).

Possiamo perciò facilmente capire perché il Garante se ne occupi: i cookie sono le tracce delle nostre attività in rete e il loro tracciamento da parte dei vari siti potrebbe costituire una potenziale violazione della nostra privacy.

I cookie possono servire a diversi scopi e, a seconda della loro funzione, si differenziano in due macro-categorie:

  • cookie tecnici;
  • cookie di profilazione.

I cookie tecnici sono quelli che permettono al sito di funzionare correttamente. Sono, ad esempio, quelli che fanno funzionare le aree riservate dei siti, consentendo di tenere in memoria i nostri dati fino al termine dell’operazione e alla chiusura della sessione. 

I cookie di profilazione, invece, permettono di ricondurre specifiche azioni o comportamenti ad uno specifico utente, al fine di tracciarne un profilo accurato e andargli poi a proporre offerte commerciali ad hoc, col fine ultimo di aumentare il proprio profitto.

Gli altri strumenti di tracciamento online

Lo stesso risultato si può ottenere anche tramite l’utilizzo di altri strumenti di tracciamento definiti come “identificatori passivi”, a differenza dei cookie che sono detti “identificatori attivi”.

Tra gli strumenti passivi è annoverato il fingerprinting, cioè quella tecnica che permette di “identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato”.

Un esempio pratico è quello della scelta della lingua impostata come principale.

Questa tecnica si basa quindi su un’osservazione passiva delle impostazioni che l’utente ha selezionato sul proprio device e che, una volta recepite dal sito, possono essere utilizzate per lo stesso scopo dei cookie.

La tecnica del fingerprinting si basa quindi non su una osservazione e un tracciamento attivi del comportamento dell’utente online, come i cookie, ma su una osservazione appunto passiva: sulla base delle configurazioni l’utente ha impostato sul suo device, il sito può trarre informazioni su di lui da utilizzare per gli stessi scopi dei cookie.

La differenza sostanziale tra identificatori attivi (cookie) e passivi (fingerprinting) consiste nel fatto che i primi possono essere disattivati dall’utente mentre i secondi non possono essere cancellati dall’interessato.

Pertanto, per evitare che vengano utilizzati senza il consenso dell’interessato, è necessario garantire che il Titolare del trattamento non utilizzi questi strumenti di tracciamento passivo.

Le nuove linee guida sui cookie 

Cosa cambia quindi con l’entrata in vigore delle nuove linee guida?

Ecco, in sintesi, i punti principali su cui si concentra la normativa:

  • informativa: l’informativa data agli utenti dovrà indicare, oltre alle tipologie di cookie e di strumenti di tracciamento utilizzati, anche gli altri soggetti destinatari dei dati personali (terze parti) e i tempi di conservazione.
    In questa informativa vanno compresi anche i cookie tecnici.
    All’informativa breve presente nel banner deve essere collegata una più completa, il cui link deve essere contenuto, oltre che nel banner, anche nel footer di ogni pagina o nell’home page o nell’area dove l’utente può indicare le proprie preferenze (che, in accordo col principio generale relativo al consenso espresso al GDPR, potranno sempre essere revocate o modificate dall’utente).
  • Caratteristiche del banner: il banner deve in primis dare all’utente la possibilità di decidere per quali cookies fornire il proprio consenso o, in caso, di proseguire la navigazione senza dare il proprio consenso.

A livello stilistico e di contenuti, quindi, il banner deve:

      • avere una X in alto a destra che permetta di chiuderlo senza dare alcun consenso;
      • contenere una breve informativa e il link alla privacy policy (vedi sopra);
      • un comando mediante il quale l’utente può accettare l’attivazione di tutti i cookie e uno per selezionare in maniera analitica le varie preferenze.
  • La base giuridica del consenso: se per i cookie tecnici è sufficiente l’informativa, per i cookie di profilazione è necessario che l’utente esprima il proprio consenso attraverso un banner ben distinguibile. L’unica base giuridica, quindi, che consente l’utilizzo dei cookie di profilazione, è quella del consenso. Come già detto, all’utente deve essere data la possibilità di continuare la navigazione senza essere minimamente tracciato (ad esempio chiudendo la finestra del banner).
  • Modalità di acquisizione del consenso: il Garante si è espresso più chiaramente riguardo a due presunte modalità di manifestazione del consenso e cioè lo scrolling e il cookie wall. Relativamente allo scrolling, il garante lo ha esplicitamente dichiarato illegittimo come modalità di acquisizione del consenso, a meno che non venga inserito in un processo più articolato. Anche il cosiddetto cookie wall (cioè quel banner che occupa tutta la pagina impedendo l’accesso al sito se non si fornisce il consenso) è stato definito illegittimo in quanto trattasi di un meccanismo vincolante che obbliga l’utente a dare un consenso per poter accedere al sito.
  • Raccolta del consenso: i consensi e le preferenze dell’utente devono essere registrati in un apposito data base nel back-end del sito in modo che il Titolare al trattamento possa sempre dimostrarli.
  • Ripresentazione del banner ad ogni nuovo accesso: il Garante ritiene tale pratica una misura invasiva e non necessaria. È pertanto necessario registrare la prima volta la scelta dell’utente e non richiederla più a meno che non cambino le condizioni di trattamento dei dati, che non sia possibile sapere se un cookie sia già stato memorizzato o che siano trascorsi almeno 6 mesi.

In generale, quello che emerge chiaramente è che queste modifiche vanno ad impattare non solamente sull’aggiornamento del banner e della cookie policy, ma anche lato back-end dei siti, per la gestione e la registrazione dei consensi e delle preferenze degli utenti.

Come mettersi in regola secondo le nuove linee guida cookie

Innanzitutto, una premessa: i consensi ottenuti lecitamente prima del 9 luglio 2021, se documentabili e conformi al GDPR, sono da considerarsi validi.

Per quanto riguarda le nuove linee guida, le aziende che hanno un sito web dovranno adeguarsi entro il 9 gennaio 2022.

Per rendere il tuo sito compliant alla normativa ci sono diversi plug-in che permettono di effettuare questo adeguamento.

Come agenzia i nostri clienti sono già stati tutti avvisati e stiamo provvedendo a risolvere le situazioni caso per caso.

E tu hai già adeguato il tuo sito alle nuove normative? Scrivici a info@lgc-webagency.com per una consulenza gratuita.

Vuoi rimanere aggiornato sulle ultime novità?

Iscriviti alla nostra Newsletter!

Condividi questo post! Scegli la piattaforma:

Lascia un tuo commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.