Il 10 luglio sono state pubblicate in Gazzetta Ufficiale le linee guida sui cookies dell’Autorità Garante per la protezione dei dati personali. Lo scopo è quello di aggiornare le linee guida del 2014 ai “nuovi” principi del GDPR, in particolare quelli del consenso (o meglio, delle sue modalità e liceità) e della privacy by design.

Agli occhi dei più attenti addetti ai lavori, causa anche la bozza sottoposta a consultazione pubblica nei mesi scorsi, il provvedimento non contiene novità eclatanti, nel senso che era sufficientemente chiaro che l’entrata in applicazione del GDPR già nel 2018 aveva introdotto alcune novità nel campo dei cookies, il problema è che nella grande maggioranza dei casi queste sono state travisate se non proprio ignorate. Comunque sia, ora esiste questa fonta ufficiale a cui riferirsi per impostare correttamente il proprio sito.

Il provvedimento dà 6 mesi di tempo per adeguarsi: ciò significa, arrotondando un po’, entro fine 2021.

Informativa

L’informativa sul sito web (o app) è sempre necessaria (anche nei casi, praticamente impossibili, in cui nessun dato viene raccolto, è buona norma fare una nota che dica ciò). L’informativa può comprendere sia i trattamenti sui cookies che altri eventuali trattamenti (es. moduli di contatto, iscrizione newsletter, etc), oppure possono essere fatte separatemente; in ogni caso, devono essere citati i cookies effettivamente utilizzati all’interno del sito (quindi, considerando l’insieme di tutte le pagine). L’informativa deve ovviamente essere conforme ai dettami del Regolamento, e di conseguenza indicare la base giuridica dei trattamenti dei cookies, e dalle linee guida sappiamo che:

  • la base giuridica del legittimo interesse non è mai adeguata;
  • per i soli cookies tecnici, cioè indispensabili alla fruizione dei servizi del sito, la base giuridica è quella dell’adempimento contrattuale;
  • in tutti gli altri casi (cioè tipologie di cookies), l’unica base giuridica possibile è il consenso.

L’altra “novità” che richiede l’aggiornamento dell’informativa è il dover specificare i tempi di conservazione dei dati (quindi la “scadenza” dei vari tipi di cookies) e l’eventuale trasferimento dei dati al di fuori dell’UE (e quindi il relativo presupposto di liceità).

Banner

Il banner è di fatto lo strumento attraverso cui si raccoglie il consenso per i cookies che lo richiedono. Per quanto detto prima, il banner deve rispettare le previsioni del Regolamento riguardo al consenso.

In particolare, il consenso deve essere libero e specifico, il che vuol dire che non deve essere “estorto”, e che serve un consenso separato per ogni tipo o finalità dei cookies. Quindi, il banner deve richiedere un’azione positiva, esplicita ed inequivocabile della volontà di accettare i cookies; scrolling, assenza di possibilità chiudere il banner, blocco di accesso senza consenso (c.d. “cookie wall”), etc. sono tutte pratiche non conformi. La scheda di sintesi allegata al provvedimento riporta:

utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:

a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
c) l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
Ai fini dell’acquisizione del consenso, il banner dovrà pertanto contenere:
d) il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di
default;
e) un comando per accettare tutti i cookie o altre tecniche di tracciamento;
f) il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento.

Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.

In pratica, è necessario un meccanismo che permetta di chiudere il banner senza abilitare i cookies non tecnici, e che tale chiusura equivalga alla negazione del consenso.

Reiterazione della richiesta

Forse la novità principale, e che farà piacere agli utenti, è che non è consentito nemmeno di riproporre la richiesta di consenso qualora sia stata già negata, per almeno 6 mesi. Esistono però delle eccezioni:

  • se mutano significativamente le condizioni del trattamento;
  • se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo.

Accesso con autenticazione

Se al sito si può accedere tramite autenticazione, il provvedimento specifica che non è possibile incrociare (cioè: correlare) dati di navigazione effettuata da più dispositivi se non esprimendo il proprio consenso (che, in questo caso, può essere richiesto attraverso impostazioni personali dell’area riservata dopo l’autenticazione).

Cosa fare

In sostenza, nei prossimi 6 mesi sarà necessario procedere in questo modo:

  1. Verificare, eventualmente insieme al gestore tecnico del sito ed al consulente privacy, la situazione effettiva;
  2. Rivedere le finalità comunicative e di marketing del sito;
  3. Eliminare tutti i cookies non effettivamente necessari (per esempio, quelli inseriti di default dalla piattaforma o da moduli);
  4. Nel caso dei cookies analitici, effettuare, se possibile, l’anonimizzazione;
  5. Aggiornare di conseguenza informativa e banner, in particolare i meccanismi di comparsa e concessione del consenso.

Non è ancora chiaro se i fornitori delle piattaforme per l’implementazione dei siti o per la gestione dei cookies adegueranno i loro prodotti, visto che stiamo parlando di un provvedimento di carattere nazionale; tuttavia, diverse Autorità di Controllo hanno recentemente pubblicato analoghe linee guida, peraltro in linea con quanto si sta discutendo relativamente al Regolamento “e-Privacy” in via di approvazione, e quindi non è escluso che ciò accada.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.