Cookie 2022: nuove norme dal 10 gennaio

normativa cookie

Il 10 gennaio 2022 entrano in vigore nuove norme per i cookie a cui i siti web dovranno adeguarsi.

Il Garante Privacy, infatti, con le nuove “Linee guida sui cookie ed altri strumenti del tracciamento” , ha specificato le corrette modalità per fornire la Cookie Policy e impostare il Cookie Banner.

Cosa prevedono le nuove norme cookie 2022? Cosa fare per essere a norma?

Andiamolo a vedere!

| Cookie: le novità dal 10 gennaio 2022

Dopo un periodo di consultazione pubblica, il 10 luglio 2021 il Garante Privacy ha pubblicato le nuove Linee Guida sui cookie, a cui i siti web dovranno adeguarsi entro il 10 gennaio 2022.

Con questo provvedimento sono state fornite nuove indicazioni su come utilizzare i cookie a norma di GDPR ed è stata apertamente dichiarata l’illegittimità di alcune prassi in voga tra i siti web.

Ma quali sono le novità per i cookie dal 10 gennaio 2022?

I cookie e gli altri strumenti di tracciamento

Innanzitutto, le nuove norme valide per i cookie dal 10 gennaio 2022, si applicano ai cookie e agli altri strumenti di tracciamento.

E per tali, si definiscono:

  • cookie: le stringhe di testo che i siti archiviano all’interno del dispositivo dell’utente (cd. identificatori “attivi”). 
  • altri strumenti di tracciamento: quelli che pur usando tecnologie diverse (c.d. identificatori “passivi”), consentono di effettuare trattamenti analoghi a quelli svolti con i cookie.

Cookie 2022: Cosa fare per ogni tipologia di cookie

Come avevamo già approfondito in questo articolo in tema di cookie e cookie policy, i cookie si distinguono a seconda del sito web che li installa, della loro funzione e delle informazioni acquisite.

In base a questi, seguono regole diverse. Ciò significa che, a seconda delle loro ‘caratteristiche’, vengono richiesti diversi adempimenti e regole da rispettare

> I cookie di prima parte e di terza parte 

I cookie si distinguono innanzitutto in:

  • cookie di prima parte: impostati dal sito web che l’utente sta visitando
  • cookie di terza parte. impostati da un sito web esterno: per es. i social network. 

Sono però la funzione dei cookie e le informazioni acquisite da questi strumenti a fare la differenza in termini di adempimenti da rispettare.

Andiamo a vedere perchè.

I cookie tecnici (o necessari)

Riguardano dati non personali, come le impostazioni sulla lingua o sul tipo di dispositivo utilizzato o che vengono installati per permettere una determinata azione sul sito.

“i cookie tecnici, utilizzati  al  solo  fine  di  «effettuare  la trasmissione di  una  comunicazione  su  una  rete  di  comunicazione elettronica, o nella misura strettamente necessaria al  fornitore  di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio» (cfr. art. 122, comma 1 del Codice). 

Cosa fare per essere a norma con i cookie tecnici da gennaio 2022?

Per l’utilizzo di questi cookie, dice il Garante, sarà necessario aver fornito l’informativa sul loro utilizzo, anche all’interno della generale informativa privacy. Non sarà necessario, invece, raccogliere il consenso

> I cookie analitici

I cookie analitici sono quelli usati per l’analisi del traffico sul sito web e possono essere equiparati ai cookie tecnici, cioè possono essere utilizzati senza dover richiedere il consenso, solo se:

  • vengono utilizzati solo a fini statistici;
  • viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
  • le terze parti non combinano i dati o li trasmettono a terzi.

Cosa fare per essere a norma con i cookie analitici da gennaio 2022?

Se non rispettano le caratteristiche di cui sopra, sarà necessario richiedere il consenso prima del loro utilizzo.

> I cookie di profilazione

I cookie di profilazione sono utilizzati per attribuire azioni o schemi comportamentali a determinati soggetti, per raggrupparli in cluster omogenei, e offrire prodotti/servizi in modo personalizzato

Permettono quindi di effettuare pubblicità comportamentale  («behavioural  advertising») per inviare messaggi pubblicitari mirati, in linea con le preferenze manifestate dall’utente nell’ambito della sua navigazione in rete. 

Cosa fare per essere a norma con i cookie di profilazione da gennaio 2022??

Per essere a norma con i cookie di profilazione, è necessario un valido consenso dell’utente, acquisito prima che il cookie si installi sul suo terminale. 

Sono necessarie poi l’informativa breve, attraverso il Cookie banner, e l’informativa estesa, la Cookie Policy

Il Garante detta regole specifiche per entrambi.

Aspetta, però! Ti interessa sapere quali sono i più importanti adempimenti legali per un e-commerce?
Scarica la Guida Legale che ho preparato per la mia Community!

Cookie 2022: il consenso

Quando è necessario il consenso per l’utilizzo dei cookie, questo si ritiene valido se possiede determinate caratteristiche definite nel Regolamento GDPR, e che rispondono ai principi di privacy by design e privacy by default.

Innanzitutto, viene precisato che per fare profilazione è necessario il consenso: ciò significa che non è corretto usare il “legittimo interesse” come base giuridica per effettuare la profilazione.

In nessun caso sarà pertanto possibile invocare ad esempio, come è stato invece osservato nel corso delle  verifiche effettuate su diversi  siti  web, la scriminante del  legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.”

Chiarito che per fare profilazione è necessario il consenso, vediamo quali caratteristiche deve avere il consenso privacy per ritenersi valido:

Deve essere:

  • liberamente prestato: non vincolato, non estorto. Non si può ostacolare la navigazione prima di aver ottenuto il consenso;
  • specifico, granulare: nel form del consenso deve essere individuata la finalità del trattamento, e devono essere distinti i form del consenso in base alle diverse finalità;
  • espresso in maniera inequivocabile: all’utente deve essere richiesta un’azione positiva, come la selezione di un form che non deve essere pre-flaggato.

Da queste caratteristiche del consenso, consegue che non possono essere considerati legittimi i cookie wall e lo scrolling come consenso

Che significa? Lo vediamo nel prossimo paragrafo.

consenso cookie

| Lo scrolling e il cookie wall

L’acquisizione del consenso con lo scrolling e il cookie wall non sono viste con favore da parte del Garante. 

Lo Scrolling, dice il Garante, è inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.”

Quindi, tranne in questo particolare caso in cui l’utente è attivamente coinvolto, in tutti gli altri casi non può dirsi acquisizione del consenso il semplice scroll di pagina. 

Il Cookie wall, cioè quel pop-up insuperabile se non con l’accettazione dei cookie, è definito come illecito, salva l’ipotesi, da verificare caso per caso, nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento”.

Pertanto anche qui, salvo nella particolare ipotesi in cui il sito web offre comunque contenuti o servizi equivalenti a coloro che non accettano i cookie, il Cookie wall non può considerarsi lecito.

| Nuove norme cookie 2022: la Cookie Policy

Alla luce delle nuove norme cookie dal 10 gennaio 2022, come deve essere la Cookie Policy?

Ecco alcune caratteristiche che non devono mancare all’informativa sui cookie

  • scritta in un linguaggio semplice ed accessibile;
  • fruibile anche da parte di coloro che hanno disabilità
  • dislocata su più livelli (multilayer) o più canali (multi-channel): per es. sarà possibile utilizzare tecniche di legal design o contenuti video
  • l’informativa sui cookie tecnici può rimanere in homepage oppure essere inserita nell’informativa privacy; 
  • deve contenere l’indicazione dei tempi di conservazione e dei destinatari dei dati;
  • deve indicare i diritti degli interessati riconosciuti dal GDPR;
  • deve dare la possibilità di modificare le preferenze già espresse sui cookie

Leggi anche: Informativa privacy (o privacy policy): il modello

Nuove norme cookie 2022: il Cookie Banner

Anche il Cookie Banner deve rispettare alcune nuove regole dal 10 gennaio 2022. 

Innanzitutto, è necessario utilizzarlo quando si usano cookie di marketing e profilazione per raccogliere il consenso prima che i cookie vengano installati. 

Ma come si raccoglie il consenso per i cookie? Come deve essere strutturato il banner dei cookie?

Il cookie banner deve contenere: 

  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità; 
  • il link alla Privacy Policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al GDPR; 
  • l’avvertenza che la chiusura del banner (ad es. con la x sul pop-up) comporta il rifiuto di cookie o altri strumenti di tracciamento diversi da quelli tecnici. 

> Come impostare il cookie banner

Il banner deve contenere: 

  • il comando per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default (es. una X in alto a destra); 
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.

> Richieste consenso ai cookie

Il Garante definisce buona prassi utilizzare un segno grafico (icona o altro accorgimento tecnico) che indichi, ad esempio nel footer di pagina, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento

Il Garante, inoltre, dice NO alla reiterazione della richiesta del consenso non rilasciato in precedenza, tranne se: 

  • cambiano significativamente le condizioni del trattamento; 
  • è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo; 
  • sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Nuove norme cookie 2022: quanto tempo per adeguarsi?

I siti web dovranno adeguarsi alle nuove normative entro 6 mesi dalla pubblicazione in Gazzetta Ufficiale delle Nuove Linee Guida, e cioè entro il 10 gennaio 2022.

Hai visto quant’è importante conoscere bene la normativa e-commerce?

Naturalmente, questi sono solo alcuni degli adempimenti necessari per avere un ecommerce a norma.

Non improvvisarti. 

Piuttosto rivolgiti ad un legale specializzato in e-ecommerce che sappia aiutarti a tutelare il tuo business.

E ricorda che quello che investi oggi in consulenza legale per il tuo e-commerce, lo risparmierai domani in termini di sanzioni e problemi legali.

Floriana Capone
L’Avvocato dell’Ecommerce
POTREBBE INTERESSARTI LEGGERE ANCHE
Menu
error: Content is protected !!