Il Garante per la protezione dei dati personali ha approvato le nuove Linee guida sui cookie e altri strumenti di tracciamento, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.
Pubblicato in GU n. 163 del 09.07.2021 il Provvedimento del 10 giugno 2021 n. 231.
Come specificato nel comunicato stampa del Garante della privacy, l’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori:
• l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati;
• il crescente uso di tracciatori particolarmente invasivi;
• la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.
Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).
In breve sintesi, alcuni dei principali contenuti nelle nuove Linee guida sui cookie.
Analisi di alcune modalità di raccolta del consenso
Scrolling: di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.
Cookie wall: illecito, salva l’ipotesi – da verificare caso per caso – nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento.
Informativa e consenso
Come rendere l’informativa:
• linguaggio semplice ed accessibile;
• fruibile, senza discriminazioni;
• anche in modalità multilayer e multichannel;
• se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale;
• se si trattano anche altri cookie e altri identificatori “non tecnici”, si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga determinate informazioni:
Ai fini dell’acquisizione del consenso, il banner dovrà contenere:
• il comando per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
• un comando per accettare tutti i cookie o altre tecniche di tracciamento;
• il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento.
Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.
No alla reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso, tranne: se mutano significativamente le condizioni del trattamento; se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo; se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.
Nel caso di utenti provvisti di account, divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi, se non previo consenso.