Nuove linee guida del Garante Privacy sui cookie: cosa cambia e come adeguarsi

Con la pubblicazione in Gazzetta Ufficiale del 9 luglio scorso, sono entrate in vigore le nuove linee guida sull’uso dei cookie e degli altri strumenti di tracciamento, che vanno a sostituire in via definitiva la versione “per la consultazione” pubblicata dal Garante Privacy.

Il Garante Privacy, con il provvedimento n. 229 dell'8 maggio 2014, era già intervenuto per fornire indicazioni circa le modalità di acquisizione del consenso dei cookie e di archiviazione degli stessi. Tuttavia, la piena entrata in vigore del GDPR, così come la diffusione delle nuove tecnologie, hanno reso necessaria l’introduzione di alcune modifiche. 

Attualmente il quadro giuridico di riferimento sull'uso dei cookie e degli altri sistemi di tracciamento è costituito sia dalle disposizioni della direttiva ePrivacy (direttiva 2002/58/CE), sia da quanto presente nel GDPR. Tuttavia, se da un lato la direttiva e-Privacy definisce le modalità di raccolta del consenso per procedere all’archiviazione di informazioni sui dispositivi degli utenti e dall'altro il regolamento europeo per la protezione dei dati personali ne precisa la definizione generale e le caratteristiche, specificando anche le condizioni del consenso, oggi l’obiettivo ultimo è rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line, evitando così rischi cyber, di furto d’identità, clonazioni etc.

È per questo motivo che il provvedimento di luglio, da applicare entro il 10 gennaio 2022 – pena pesanti sanzioni - indica quali sono le nuove regole da applicare alle operazioni di lettura e scrittura all’interno del terminale di un utente, specificando le corrette modalità di acquisizione del consenso on-line degli interessati alla luce della piena applicazione del Regolamento in materia di protezione dei dati personali (GDPR).

Vediamole insieme:

- Categorizzazione: rimane la distinzione tra cookie tecnici (che sono utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica) e cookie analitici (utilizzati per valutare l’efficacia di un servizio o contribuire a misurare il “traffico” di un sito internet) per i quali il consenso non è necessario, e cookie di profilazione (utilizzati per ricondurre a soggetti determinati specifiche azioni in modo che sia possibile modulare la fornitura del servizio in maniera sempre più personalizzata) per i quali il consenso è la sola opzione. All’accesso al sito, il gestore deve garantire che di default solo i cookie tecnici siano installati e le cookie wall sono bannate quando obbligano a prestare il consenso.

- Consenso tramite scrolling: di per sé inadatto alla raccolta di un idoneo consenso, lo scrolling diventa valido nella sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento che risulti documentabile dal server del sito.

- Rinnovo della richiesta di consenso: la richiesta di consenso ai cookie non può essere riproposta, a meno che non cambino le condizioni del trattamento significativamente, non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo e non siano decorsi almeno 6 mesi dalla precedente richiesta

- Infomativa multi-layer: perché l’utente sia messo in condizioni di decidere se accettare o meno l’installazione dei cookie, è necessario che sia adeguatamente informato e possa prestare liberamente e in modo consapevole il proprio consenso. Per farlo il sito dovrà presentare, alla prima visita da parte dell’utente, un banner di congrue e adeguate dimensioni che non impedisca la consultazione dello stesso e che, per impostazione predefinita, non installi nessun cookie diverso da quelli necessari, né utilizzi alcuna altra tecnica di tracciamento. Tale banner dovrà contenere un’informativa minima che avvisi l’utente che il sito potrebbe installare cookie di profilazione o altri strumenti di tracciamento previa acquisizione del consenso, un comando che consenta di accettare l’installazione di tutti i cookie (o degli altri strumenti di tracciamento), un link a un’area dedicata dove è possibile selezionare analiticamente solo le funzionalità, le terze parti e i cookie al cui utilizzo l’utente sceglie di acconsentire. Da ultimo, il Garante ha tenuto a chiarire che l’informativa deve essere resa con un linguaggio semplice e chiaro, in modo da rendere fruibili le informazioni contenute nel banner anche a coloro che - a causa di disabilità - necessitano di tecnologie assistive o configurazioni particolari.

- Revisione dei consensi: deve essere data la possibilità all’utente di rivedere le preferenze sui cookie tramite un’apposita area da posizionarsi nel footer del sito dove le preferenze già prestate devono essere chiaramente riconoscibili con un approccio di legal design.

La normativa in tema di cookie ha subito molte variazioni nel corso degli anni, diventando sempre più dettagliata con riguardo alla tutela dei dati personali. La digitalizzazione della società e i nuovi sviluppi tecnici impongono di rivedere costantemente le procedure dei siti web per verificare che siano conformi alla normativa vigente. Le nuove linee guida del Garante privacy forniscono le indicazioni per trasportare le varie novità teoriche sul piano della pratica, in cui gli operatori del settore si devono chiedere periodicamente se siano a norma di legge. I sei mesi di tempo concessi a luglio dall’Autorità per l’adeguamento devono essere visti come un invito a non rimanere inerti di fronte ai cambiamenti e all'evoluzione, ma attivarsi per rivedere le proprie prassi operative e combattere per tutelari dai rischi che la rete web può comportare.