Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021 - Garante Privacy
Il 10 gennaio 2022 sono entrate in vigore le nuove linee guida dell’Autorità Garante per la Protezione dei dati personali su cookie e strumenti di tracciamento. In questo articolo, verranno analizzati i punti essenziali e cosa fare per essere a norma con le nuove prescrizioni sempre tenendo a mente che l’informativa da pubblicare non è il punto di partenza, ma il punto di arrivo di un processo di analisi e decisionale strutturato.
cosa dice il provvedimento del Garante italiano
Dalla lettura del provvedimento è evidente che l’obiettivo del Garante è stato quello di rafforzare i principi da cui è partita la Corte di Giustizia, valorizzando il ruolo decisionale degli utenti riguardo all’uso dei loro dati personali quando navigano on line.
Non a caso, queste linee guida vengono pubblicate a seguito di una consultazione pubblica e per fronteggiare alcuni fenomeni sempre più diffusi:
- rendere ai navigatori dei siti web delle informative che non sono in linea con i principi sanciti dal GDPR;
- il crescente uso di tracciatori invasivi;
- la moltiplicazione delle identità digitali degli utenti, che favoriscono l’incrocio dei loro dati, rendendo sempre più difficili i processi di anonimizzazione dei dati.
Ed infatti il Garante si sofferma sulle modalità di rilascio del consenso.
Acquisizione del consenso e primo accesso dell’utente
Secondo le nuove linee guida, il meccanismo di acquisizione del consenso dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento.
Sempre nel rispetto del Regolamento Europeo, l’informativa agli utenti dovrà fornire diverse informazioni obbligatorie, tra cui anche gli eventuali altri soggetti destinatari dei dati personali ed in più anche i tempi di conservazione delle informazioni.
Cookie di profilazione: banner, tracciamenti, consensi
Nel caso dei cookie di profilazione, sarà sempre necessario richiedere il consenso attraverso un banner, che apparirà in maniera distinta sulla pagina web.
Il banner dovrà anche dare agli utenti la possibilità di proseguire la navigazione senza essere tracciati in alcun modo e senza dover effettuare ulteriori dichiarazioni. Quindi, per continuare a navigare senza tracciamento, basterà chiudere il banner cliccando sulla caratteristica “X”, che dovrà essere inserita in alto a destra.
Il cosiddetto scrolling non potrà essere considerata un’idonea manifestazione del consenso.
Cookie wall: sono illegittimi
I cookie wall – la tecnica utilizzata dai siti web per negare l'accesso agli utenti che non acconsentano a tutti i cookie – sono considerati illegittimi. A meno che, stabilisce il Garante, il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti, senza richiedere il consenso all’uso dei cookie o di altri tracciatori, ma quest’ultima è un’ipotesi che va verificata rigorosamente, caso per caso.
Banner e nuovi accessi
L’Autorità sottolinea che è inutile mostrare nuovamente il banner per richiedere il consenso a ogni nuovo accesso, se l’utente in precedenza ha già negato il consenso. È una modalità che non dovrebbe esistere. La scelta dell’utente, dunque, dovrà essere registrata e non più richiesta.
Quando adeguarsi? Termine ultimo 10 gennaio 2022.
Queste nuove regole, che vanno ad aggiungersi alla normativa già esistente, obbligheranno le aziende che hanno un sito web ad adeguarsi, nei prossimi sei mesi, termine dilatorio concesso dal Garante per conformarsi alla nuova normativa.
Tale attività di adeguamento dovrà riguardare anche gli aspetti tecnici dei siti, perché occorrerà gestire le anagrafiche dei consensi in maniera dinamica e darne evidenza in caso di richieste dagli interessati o dagli stessi organi ispettivi.
Vale la pena poi ricordare in ottica di interventi di conformità, di porre attenzione alle procedure di gestione del consenso digitale, su cui ben presto giungerà il nuovo Regolamento e-privacy, rammentando alle aziende che tali dati rappresentano un valore inestimabile del proprio patrimonio aziendale e che l’adeguamento va messo in atto in ottica di tutela del business e non per lo spauracchio delle sanzioni, in caso di ispezione.
