A pochi giorni dalla prossima entrata in vigore del Provvedimento del Garante sulla Privacy n.231 del 10 giugno 2021 (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021), vediamo come compilare correttamente una informativa e gestire le modalità di consenso da parte dell’utente.
1) Come compilare l’informativa
Innanzi tutto, l’informativa dev’essere facilmente comprensibile, scritta in linguaggio semplice e accessibile, e resa fruibile anche a coloro che, a causa di limiti o disabilità necessitano di configurazioni particolari o tecnologie assistite nell’uso dei dispositivi elettronici.
Tale informativa potrà essere proposta su più livelli (nella cosiddetta modalità multilayer) o attraverso più canali e modalità (nella modalità multichannel).
Nel caso si utilizzino solo cookie tecnici (vedi nota 1), l’informativa può essere inserita nella Home Page o accorpata all’informativa generale.
Nel caso si trattino anche cookies di profilazione (vedi nota 2), per ottenere i relativi consensi è possibile far comparire un banner ben leggibile, che indichi:
1. l’uso di cookie tecnici;
2. l’eventuale uso di cookie (o altri strumenti) di profilazione, con l’indicazione delle finalità per le quali vengono usati. Ricordiamo che questi ultimi prevedono un consenso;
3. il link alla privacy policy contenente l’informativa completa con l’elenco degli eventuali soggetti destinatari dei dati, il tempo di conservazione degli stessi e i diritti del soggetto che rilascia il consenso;
4. L’avvertenza che la chiusura del banner, tramite la consueta X, comporta il navigare con le impostazioni di default, ossia con i soli cookie tecnici.
Il banner di cui sopra dovrà quindi:
• essere provvisto di una X di chiusura, all’interno o all’angolo superiore destro. Al chiudere il banner conseguirà l’accettazione dei soli cookie tecnici e il mantenimento delle impostazioni di default;
• il comando per accettare i cookie diversi da quelli tecnici o altre tecniche di tracciamento;
• il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare. Da questa sezione dovrà essere possibile ampliare o revocare i consensi, anche in maniera collettiva e omnicomprensiva;
• nel footer (piè di pagina) di qualsiasi pagina del dominio andrà posto un link che porti all’area di cui sopra. Il Garante indica, come buona prassi, che un segno grafico o un altro accorgimento tecnico posto nel footer di ogni pagina ricordi all’utente lo stato dei consensi accordati.
Infine, a meno che non cambino radicalmente le condizioni di trattamento dei dati, è vietato reiterare i banner di richiesta di consenso prima che siano trascorsi sei mesi dal precedente consenso, per non indurre all’accettazione per esasperazione dell’utente.
Se l’utente accede al sito tramite autenticazione è vietato l’incrocio dei dati relativi alla navigazione effettuata su più dispositivi, a meno che non sia stato prestato un consenso apposito.
Da sottolineare che, nel desiderio di evitare che l’utente possa prestare inconsapevolmente consensi non voluti, è stata esplicitamente vietata la pratica che prevedeva che, avanzando nella lettura (scrolling), il consenso si considerasse prestato.
Allo stesso modo, tranne che in alcuni casi in cui siano state offerte adeguate alternative, da verificare caso per caso, è fatto divieto di utilizzare il cosiddetto cookie wall, intendendosi con tale espressione il meccanismo vincolante nel quale l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
2) Note e Riferimenti normativi
Nota 1: si definiscono cookie tecnici quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”;
Nota 2: si definiscono cookie di profilazione quelli “utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.”