Cookie: Linee Guida 2021 del Garante Privacy

normativa cookie

Il 10 luglio 2021 sono state pubblicate le nuove “Linee guida sui cookie ed altri strumenti del tracciamento” del Garante Privacy . 

Il provvedimento specifica le corrette modalità per fornire la Cookie Policy e per acquisire il consenso per i cookie.

I siti web dovranno adeguarsi alle nuove regole entro 6 mesi.

Cosa prevedono le nuove Linee Guida cookie 2021? Cosa fare per essere a norma?

Andiamolo a vedere!

Le nuove Linee Guida Cookie 2021 

Le Nuove Linee Guida 2021 sui cookie nascono per rispondere a diverse esigenze, prima tra tutte quelle di adeguare il precedente provvedimento del 2014 all’evoluzione normativa in materia di privacy determinata dall’avvento del GDPR

Oggi la materia dei cookie è regolata dal Codice Privacy a livello nazionale e dal GDPR e dalla direttiva e-privacy a livello europeo.

Dopo un periodo di consultazione pubblica, il Garante Privacy ha dato nuove indicazioni e ha dichiarato l’illegittimità di alcune prassi in voga tra i siti web. 

Ma quali novità portano le Nuove Linee Guida 2021 sui Cookie?

I cookie e gli altri strumenti di tracciamento

Le nuove regole delle Linee Guida cookie 2021 si applicano ai cookie e gli altri strumenti di tracciamento. Si definiscono: 

  • cookie: le stringhe di testo che i siti archiviano all’interno del dispositivo dell’utente (cd. identificatori “attivi”). 
  • altri strumenti diversi dai cookie: quelli che pur usando tecnologie diverse (c.d. identificatori “passivi”), consentono di effettuare trattamenti analoghi a quelli svolti con i cookie.

Cosa fare per ogni tipologia di cookie

Come già approfondito in questo articolo in tema di cookie e cookie policy, i cookie si distinguono a seconda del sito web che li installa, della loro funzione e delle informazioni acquisite e seguono regole diverse.

In base alle loro ‘caratteristiche’ vengono definiti diversi adempimenti e regole da rispettare

I cookie di prima parte e di terza parte 

I cookie si distinguono innanzitutto in:

  • cookie di prima parte: impostati dal sito web che l’utente sta visitando
  • cookie di terza parte. impostati da un sito web esterno: per es. i social network. 

Sono però la funzione dei cookie e le informazioni acquisite da questi strumenti a fare la differenza in termini di adempimenti da rispettare.

Andiamo a vedere perchè.

I cookie tecnici (o necessari)

Riguardano dati non personali, come le impostazioni sulla lingua o sul tipo di dispositivo utilizzato o che vengono installati per permettere una determinata azione sul sito.

“i cookie tecnici, utilizzati  al  solo  fine  di  «effettuare  la trasmissione di  una  comunicazione  su  una  rete  di  comunicazione elettronica, o nella misura strettamente necessaria al  fornitore  di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio» (cfr. art. 122, comma 1 del Codice). 

Cosa fare dunque per essere a norma con i cookie tecnici?

Per l’utilizzo di questi cookie, dice il Garante, sarà necessario aver fornito l’informativa sul loro utilizzo, anche all’interno della generale informativa privacy. Non sarà necessario, invece, raccogliere il consenso

I cookie analitici

I cookie analitici sono quelli usati per l’analisi del traffico sul sito web, di solito distinto sulla base di diversi parametri.

I cookie analitici, dice il Garante, possono essere equiparati ai cookie tecnici, senza dover richiedere il consenso, solo se:

  • vengono utilizzati solo ai fini statistici;
  • viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
  • le terze parti non combinano i dati o li trasmettono a terzi.

I cookie di profilazione

I cookie di profilazione sono utilizzati per attribuire azioni o schemi comportamentali a determinati soggetti, per raggrupparli in cluster omogenei, e offrire prodotti/servizi in modo personalizzato

Permettono di effettuare pubblicità comportamentale  («behavioural   advertising») per inviare messaggi pubblicitari mirati, in linea con le preferenze manifestate dall’utente nell’ambito della sua navigazione in rete. 

Cosa fare per essere a norma con i cookie di profilazione?

Per essere a norma con i cookie di profilazione, è necessario un valido consenso dell’utente, acquisito prima che il cookie si installi sul suo terminale. 

Sono necessarie poi l’informativa breve, attraverso il Cookie banner, e l’informativa estesa, la Cookie Policy

Il Garante detta regole specifiche per entrambi.

Aspetta, però! Ti interessa sapere quali sono i più importanti adempimenti legali per un e-commerce?
Scarica la Guida Legale che ho preparato per la mia Community!

Cookie di profilazione: l’acquisizione del consenso

Il consenso per considerarsi valido deve avere determinate caratteristiche definite nel Regolamento GDPR, e che rispondono ai principi di privacy by design e privacy by default.

Viene precisato che la base giuridica per la profilazione rimane il consenso: questo significa che non è corretto dichiarare il “legittimo interesse” come base giuridica per effettuare la profilazione:

In nessun caso sarà pertanto possibile invocare ad esempio, come è stato invece osservato nel corso delle  verifiche effettuate su diversi  siti  web, la scriminante del  legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.”

Chiarito che per fare profilazione è necessario il consenso, vediamo quali caratteristiche deve avere il consenso privacy.

Deve essere:

  • liberamente prestato: non vincolato, non estorto. Non si può ostacolare la navigazione prima di aver ottenuto il consenso;
  • specifico, granulare: nel form del consenso deve essere individuata la finalità del trattamento, e devono essere distinti i form del consenso in base alle diverse finalità;
  • espresso in maniera inequivocabile: all’utente deve essere richiesta un’azione positiva, come la selezione di un form che non deve essere pre-flaggato.

Da queste caratteristiche del consenso, consegue che non possono essere considerati legittimi i cookie wall e lo scrolling come consenso

Che significa? Lo vediamo nel prossimo paragrafo.

consenso cookie

| Lo scrolling e il cookie wall

L’acquisizione del consenso con lo scrolling e il cookie wall non sono viste con favore da parte del Garante. 

Lo Scrolling, dice il Garante, è inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.”

Quindi, tranne in questo particolare caso in cui l’utente è attivamente coinvolto, in tutti gli altri casi non può dirsi acquisizione del consenso il semplice scroll di pagina. 

Il Cookie wall, cioè quel pop-up insuperabile se non con l’accettazione dei cookie, è definito come illecito, salva l’ipotesi, da verificare caso per caso, nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento”.

Pertanto anche qui, salvo nella particolare ipotesi in cui il sito web offre comunque contenuti o servizi equivalenti a coloro che non accettano i cookie, il Cookie wall non può considerarsi lecito.

| Nuove Linee Guida cookie 2021: la Cookie Policy

Alla luce di queste nuove Linee Guida cookie 2021, come deve essere la Cookie Policy?

Il Garante ricorda alcune caratteristiche che non devono mancare all’informativa sui cookie

  • scritta in un linguaggio semplice ed accessibile;
  • fruibile anche da parte di coloro che hanno disabilità
  • dislocata su più livelli (multilayer) o più canali (multi-channel): per es. sarà possibile utilizzare tecniche di legal design o contenuti video
  • l’informativa sui cookie tecnici può rimanere in homepage oppure essere inserita nell’informativa privacy; 
  • deve contenere l’indicazione dei tempi di conservazione e dei destinatari dei dati;
  • deve indicare i diritti degli interessati riconosciuti dal GDPR.  

Leggi anche: Informativa privacy (o privacy policy): il modello

| Nuove Linee Guida cookie 2021: il Cookie Banner

Anche il Cookie Banner deve rispettare alcune nuove regole. 

Innanzitutto, è necessario quando si utilizzano cookie di profilazione per raccogliere il consenso prima che i cookie vengano installati. 

Ma come si raccoglie il consenso per i cookie di profilazione? Come deve essere strutturato il banner dei cookie?

Il cookie banner deve contenere: 

  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità; 
  • il link alla Privacy Policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al GDPR; 
  • l’avvertenza che la chiusura del banner (ad es. con la x sul pop-up) comporta il rifiuto di cookie o altri strumenti di tracciamento diversi da quelli tecnici. 

> Come impostare il cookie banner

Il banner deve contenere: 

  • il comando per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default (es. una X in alto a destra); 
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.

> Richieste consenso ai cookie

Il Garante definisce buona prassi utilizzare un segno grafico (icona o altro accorgimento tecnico) che indichi, ad esempio nel footer di pagina, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento

Il Garante, inoltre, dice NO alla reiterazione della richiesta del consenso non rilasciato in precedenza, tranne se: 

  • cambiano significativamente le condizioni del trattamento; 
  • è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo; 
  • sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

| Quanto tempo per adeguarsi alle nuove regole?

Entro 6 mesi dalla pubblicazione in Gazzetta Ufficiale del provvedimento, i siti web dovranno adeguarsi alle nuove Linee Guida Cookie 2021.

Il termine scade il 10 gennaio 2022.

| Cosa può fare per te l’Avvocato dell’Ecommerce

Adeguarsi in modo corretto a queste nuove regole è di molto importante per evitare sanzioni da parte del Garante Privacy. 

Quello che investi oggi in consulenza legale per il tuo e-commerce, lo risparmierai domani in termini di sanzioni e problemi legali.  

Contattami per ottenere una compliance legale del tuo sito e-commerce.

Floriana Capone
L’Avvocato dell’Ecommerce
POTREBBE INTERESSARTI LEGGERE ANCHE
Menu
error: Content is protected !!
Please accept statistics cookies to watch this video.