Skip to content Skip to sidebar Skip to footer

Nuove Linee guida sui cookie: ecco come cambia la regolamentazione dei dati di navigazione degli utenti sui siti

Con la pubblicazione in Gazzetta Ufficiale del 9 luglio 2021, il Garante Privacy ha reso note le nuove linee guida sull’uso dei cookie e degli altri strumenti di tracciamento.

Scopo di tali nuove linee guida è quello di aggiornare la precedente disciplina, dettata dallo stesso Garante nel 2014, ai principi del GDPR, che impongono maggiore trasparenza nel rapporto con gli utenti e, soprattutto, l’espressione di un consenso inequivocabile per trattamenti di dati che presentano natura discrezionale.

I titolari dei siti hanno tempo fino ai primi di gennaio 2022 per conformarsi alle nuove regole.

LE PRINCIPALI NOVITÀ

1. L’acquisizione di un consenso inequivocabile da parte degli utenti

La principale novità introdotta dalle nuove Linee Guida del Garante Privacy è la necessità di acquisire un consenso inequivocabile da parte degli utenti per poter installare cookie di profilazione, cookie analitici che non rientrano nella ipotesi di deroga e gli altri strumenti di tracciamento. Se l’utente non esprime il proprio previo consenso, in particolare, differentemente da quanto previsto nella disciplina vigente, il titolare di un sito web può utilizzare solo cookie tecnici.

La continuazione della navigazione, il c.d. scrooling e il cookie wall, non sono più considerati di per sé una valida forma di acquisizione del consenso.

2. Condizioni più articolate per escludere i cookie analitici dal consenso

Mentre non cambia la disciplina applicabile in merito all’uso di cookie tecnici, con riferimento ai cookie analitici, il Garante Privacy ha subordinato la possibilità di escludere tale categoria di cookie dalla richiesta del consenso in base a condizioni più articolate rispetto a quelle previste attualmente. In particolare, l’installazione dei cookie analitici può prescindere dal consenso se tali strumenti di tracciamento:

  • vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
  • viene mascherata, per i cookie di terze parti, almeno la quarta componente dell’indirizzo IP;
  • le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni o dal trasmetterli ad ulteriori terzi per evitare l’incremento del rischio di identificazione degli utenti; ciò salva l’ipotesi in cui la produzione di statistiche riguardi terze parti con riferimento ai dati relativi a più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale.

E’ prevista inoltre una eccezione a favore del titolare del trattamento per la propria mera elaborazione statistica dei dati relativi a più domini, siti web o app ad esso riconducibili, utilizzabili anche in chiaro, sul presupposto che tale trattamento sia espressamente indicato agli utenti nella informativa privacy.

3. Informativa

Affinché l’utente sia messo nelle condizioni di decidere se accettare o meno l’installazione dei cookie, le nuove Linee Guida richiedono che l’utente sia adeguatamente informato attraverso una informativa, resa in un linguaggio semplice ed accessibile agli utenti, anche in modalità multilayer, ossia tramite un banner contenente una informativa breve che operi un rinvio ad una informativa estesa.

In particolare, il sito che intenda utilizzare dei cookie diversi da quelli tecnici dovrà presentare, alla prima visita da parte dell’utente, un banner di congrue e adeguate dimensioni che non impedisca la consultazione del sito.

Il banner, inoltre, dovrà contenere i seguenti elementi/informazioni:

  • un pulsante (solitamente una x in alto a destra) che consenta la chiusura del banner mantenendo le impostazioni di default e quindi il diniego all’installazione dei cookie diversi da quelli tecnici;
  • l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie diversi da quelli tecnici;
  • una informativa minima che informi l’utente che il sito potrebbe installare cookie di profilazione o altri strumenti di tracciamento previa acquisizione del suo consenso;
  • il link all’informativa privacy estesa che sia sempre e comunque accessibile anche dal footer di qualsiasi pagina del sito;
  • un comando che consenta di accettare l’installazione di tutti i cookie (o degli altri strumenti di tracciamento);
  • un link ad un’area dedicata dove sia possibile selezionare analiticamente solo le funzionalità, le terze parti e i cookie al cui utilizzo l’utente sceglie di acconsentire e per modificare le scelte fatte.

 

4. Diritto di revoca del consenso

Le nuove Linee Guida richiedono l’implementazione di strumenti volti a garantire per l’utente la possibilità di modificare in qualsiasi momento le proprie scelte in materia di cookie.

In relazione a quest’ultimo punto, il Garante suggerisce di utilizzare un segno grafico/icona o altro accorgimento tecnico, ad esempio nel footer, per indicare lo stato dei consensi resi in precedenza dall’utente, consentendone la modifica o l’aggiornamento.

 

5. Divieto di richiedere reiteratamente il consenso

Le Linee Guida vietano di richiedere insistentemente e reiteratamente il consenso al tracciamento se l’utente ha già fatto le proprie scelte in merito, tranne nei casi in cui:

  • mutano significativamente le condizioni del trattamento;
  • è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo;
  • sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

 

6. Trasparenza nella analisi incrociata dei dati di navigazione con quelli in chiaro

In caso di registrazione al sito, da ultimo, le nuove Linee Guida impongono al titolare del sito di mettere l’utente in condizione di scegliere consapevolmente – tramite l’indicazione esplicita di tale eventualità nella informativa privacy resa al momento della iscrizione – se accettare la possibilità che il tracciamento che lo riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device o di rifiutarla.

***  ***  ***

Le nuove Linee Guida del Garante qui analizzate rappresentano un buon strumento di armonizzazione della disciplina nazionale con il GDPR e le decisioni adottate dagli altri Stati membri in materia di cookie.  Chi scrive confida in ogni caso che il Garante pubblichi a breve delle nuove FAQ sull’argomento per fornire chiarimenti in merito alle concrete modalità operative da adottare per dare attuazione a questa nuova disciplina.

 

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876

 

Leave a comment

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.