Il Garante privacy torna ad occuparsi dei cookie e della cookie policy per rispondere alle domande più frequentemente poste sui cookie, con una nuova versione delle FAQ sui cookie e la cookie policy, aggiornate al 30 luglio 2021.
Risponde a domande come Cosa sono i cookie tecnici? Come strutturare il cookie banner? Cosa scrivere nel cookie banner? Quando è necessaria la cookie policy? Quando è obbligatorio il cookie banner? Cosa scrivere nella cookie policy?
Con questo articolo ricapitoliamo un po’ le risposte del Garante Privacy sull’utilizzo dei cookie.
| Cosa sono i Cookie?
I cookies sono dei file di testo, una sorta di ‘appunti’ di codice, utilizzati dai siti web per varie finalità ed installati sui terminali degli utenti, per la durata di una sessione o per periodi più lunghi.
Si distinguono innanzitutto a seconda del sito web che li ‘installa’ all’interno del browser dell’utente in:
- cookie di prima parte: se sono installati dal sito web visitato
- cookie di terza parte: se sono installati da un sito web diverso (es. Facebook) così da essere tracciati da quel sito alla prossima visita.
I cookie installati su un sito web vanno elencati nella sua cookie policy.
| A cosa servono i Cookie?
Il Garante Privacy ci dice chiaramente che sono molteplici le finalità per cui si utilizzano i cookie: si va dall’esecuzione di autenticazioni informatiche, al monitoraggio di sessioni; dalla memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, alla memorizzazione delle preferenze.
Vengono anche usati per agevolare la fruizione dei contenuti on line, come ad esempio per tenere traccia degli articoli in un carrello degli acquisti in un ecommerce o delle informazioni per la compilazione di un modulo informatico;
I cookie possono essere impiegati anche per profilare l’utente, cioè per “osservarne” i comportamenti, ad esempio al fine di inviare pubblicità mirate, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali. In questo caso si parla di cookie di profilazione.
Lo stesso risultato può essere conseguito anche per mezzo di altri strumenti o tecniche di tracciamento, tra i quali il fingerprinting.
La finalità dei cookie deve essere dichiarata nella cookie policy.
Leggi anche: Usare cookie di profilazione a norma di GDPR
| Cosa sono i ‘cookie tecnici’?
Il Garante Privacy definisce i cookie tecnici come quelli che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente.
Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
Senza l’utilizzo di questo tipo di cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.
| I cookie analytics sono cookie “tecnici”?
L’Autorità Garante è categorica nella risposta: NO!
Già con i provvedimento dell’8 maggio 2014 e Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021 aveva precisato che possono essere assimilati ai cookie tecnici solo se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito.
Se, poi, l’elaborazione di tali analisi statistiche è affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di cookie policy e consenso, previste per i cookie tecnici.
In via di eccezione, è comunque consentita tanto alla prima parte che vi provveda in proprio quando alla terza parte che agisca su mandato della prima, la produzione di statistiche con dati relativi a più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale
| Quando è necessario il consenso per i cookie?
La risposta dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.
Per l’installazione dei cookie tecnici e di quelli analytics non è richiesto il consenso degli utenti, mentre è comunque sempre necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679).
I cookie di profilazione o gli altri strumenti di tracciamento, invece, possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate, cioè con il cookie banner.
La distinzione tra cookie tecnico e cookie di profilazione deve essere specificata nella cookie policy.
| Come strutturare il cookie banner?
Come aveva già stabilito il Garante con il provvedimento dell’8 maggio 2014 e ribadito nelle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, il cookie banner, e cioè l’informativa breve, dovrebbe essere impostata su più livelli ed è possibile che sia resa anche su più canali, adottando ogni più opportuno accorgimento per renderla fruibile senza discriminazioni anche ai soggetti portatori di disabilità.
Pur nel rispetto dell’accountability del titolare e dunque della sua libertà di scelta delle misure e delle soluzioni che meglio garantiscano la conformità agli obblighi di legge, il Garante tuttavia suggerisce l’adozione di un meccanismo per il quale, nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), compaia immediatamente un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”.
Nella pagina della cookie policy, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.
| Cosa scrivere nel cookie banner?
Il Garante dice che il banner deve:
- specificare, se questo è il caso, che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;
- contenere il link alla cookie policy e ad una diversa area nella quale sia possibile selezionare in modo analitico solo le funzionalità, i cookie e le terze parti cui si intende prestare il proprio consenso;
- contenere un comando per esprimere il proprio consenso accettando tutti i cookie o altri strumenti di tracciamento;
precisare che se l’utente sceglie di chiudere il banner utilizzando il pulsante con la X significa non consentire l’utilizzo di cookie o altri strumenti di tracciamento diversi dai tecnici.
| Come tracciare il consenso cookie?
Per tenere traccia del consenso cookie acquisito, dice il Garante, il titolare può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato.
| È lecito mostrare il cookie banner ad ogni accesso?
Anche qui il Garante è categorico: NO!
Se l’utente non ha dato il consenso o lo ha fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato.
Il cookie banner può essere riproposto solo quando:
- cambiano significativamente una o più condizioni del trattamento, ad esempio le “terze parti”;
- è impossibile per il provider sapere se un cookie tecnico è già stato posizionato nel dispositivo dell’utente (ad esempio nel caso in cui sia l’utente stesso a cancellare i cookie);
sono trascorsi almeno sei mesi dalla precedente presentazione del banner.
| Come acquisire il consenso cookie?
Il Garante ci dice che , oltre al cookie banner, il titolare del sito può usare altre modalità per acquisire il consenso all’utilizzo dei cookie.
L’importante è che rispecchi i requisiti di un valido consenso.
| Quando non è obbligatorio il cookie banner?
Quando si usano cookie tecnici, dice il Garante, non è necessario il cookie banner e l’informativa agli utenti può essere fornita con altre modalità che ritiene più idonee, anche solo con la cookie policy.
| Cookie banner: è lecito lo scroll?
No, il semplice scroll di pagina non è idoneo a manifestare il consenso.
| Si può negare l’accesso al sito a chi non accetta i cookie?
No, salva l’ipotesi, da verificarsi caso per caso, nella quale il titolare del sito, agendo nel rispetto del principio di correttezza, offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso.
| Cosa scrivere nella cookie policy?
La Cookie Policy deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito, elencare gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione delle informazioni e le indicazioni sulla possibilità e sulle modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.
Deve contenere i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analytics e da quelli di profilazione.
| Cosa può fare per te l’Avvocato dell’Ecommerce
Come vedi sono tante le indicazioni del Garante in materia di cookie e non è sempre coordinare norme e indicazioni.
Per questo, non devi assolutamente sottovalutare l’importanza degli aspetti legali di un ecommerce, ed è molto importante avere la possibilità di affidarsi ad un legale specializzato in ecommerce che sappia fornire, con competenza, le risposte legali che cerchi.
Io ti posso aiutare a:
- fare un check up legale del tuo ecommerce, per verificare che questo rispetti le norme in materia di trattamento dei dati personali;
- redigere la Privacy Policy e la Cookie Policy, e gli altri documenti legali per ecommerce;
- tutelare il tuo business online.
Tu dedicati al business online. Alle questioni legali ci penso io.
Contattami utilizzando il form dei contatti.
Floriana Capone
L’Avvocato dell’Ecommerce
