Cookie Policy: nuove linee guida del Garante Privacy

Cookie Policy: nuove linee guida del Garante Privacy

Il 9 Gennaio scorso è entrato in vigore il Provvedimento del 10 Giugno 2021 n. 231 del Garante della privacy, riguardante i cookie e altri strumenti di tracciamento che obbligano chiunque abbia un sito web, indipendentemente dal settore in cui esercita la propria attività, ad adeguarsi alle nuove linee guida.

Abbiamo cercato di sintetizzare i temi salienti del provvedimento in questione in 3 punti principali:

NON SOLO COOKIE

Il provvedimento disciplina l’utilizzo non solo dei cookie (identificatori attivi) ma anche dei cosiddetti identificatori passivi (che presuppongono la semplice osservazione) come ad esempio il c.d. fingerprinting, vale a dire la tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune informazioni relative alla specifica configurazione del dispositivo stesso adottato dall’interessato.

In pratica la differenza con i cookie è che quest’ultimi possono essere abilitati e disabilitati dall’utente, mentre gli atri identificatori passivi possono essere gestiti solo dal Titolare del Trattamento, motivo per il quale vanno indicati e descritti nella cookie policy e va raccolto il consenso per poterli utilizzare.

BANNER E ACQUISIZIONE DEL CONSENSO

NO SCROLLING: il semplice scroll down del cursore di pagine è inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione e degli altri strumenti di tracciamento;

NO COOKIE WALL: l’illegittimità è data dal rischio che l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie e altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. Il consenso non si configurerebbe come libero e quindi illecito;

CARATTERISTICHE DEL BANNER:

  • l’avviso espresso sullo sfruttamento degli accennati strumenti;
  • un pulsante (una X in alto a destra, o un pulsante “Continua senza accettare”) chiudere il banner senza prestare il consenso all’uso dei cookie che, quindi, per impostazione predefinita, non andranno installati (fatta eccezione di quelli tecnici);
  • il link alla privacy policy e alla cookie policy contenente l’informativa completa;
  • un pulsante per accettare l’installazione dei cookie o di altri strumenti di tracciamento;
  • il link a un’altra pagina del sito web da cui gestire in modo granulare le funzionalità, le terze parti e i cookie che si vogliono installare, tramite due ulteriori comandi, prestando il consenso a nuove tipologie di cookie o revocandolo anche in blocco.

REITERAZIONE DEL BANNER: risulta invasiva la riproposizione del banner ad ogni nuovo accesso dell’utente quando quest’ultimo ha già espresso le sue scelte, sia che abbia acconsentito o meno all’installazione dei cookie e altri strumenti di tracciamento.

L’eventuale prestazione del consenso non potrà essere più sollecitata, se non al ricorrere, alternativamente, delle seguenti ipotesi:

  • Qualora siano trascorsi sei mesi dalla precedente presentazione del banner;
  • Mutamento di una o più condizioni di trattamento indicate nel banner;
  • Impossibilità di avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso.

COOKIE ANALITICI

L’istallazione dei cookie analytics può prescindere dal consenso (e quindi possano essere equiparati a quelli tecnici, com’era già previsto dal precedente provvedimento del Garante) a condizione che:

  • Vengano utilizzati per produrre statistiche aggregate e in relazione ad un singolo sito o applicazione mobile in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi;
  • Venga mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP ( es. https://support.google.com/analytics/answer/2763052?hl=it )
  • Le terze parti che forniscono al publisher il servizio di web measurement, al fine di evitare il rischio di identificazione degli utenti, si astengano dal combinare i dati, anche minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terze parti, fatto salvo il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale.

In conclusione, il nostro invito a tutti i titolari del trattamento di procedere, ove non l’abbiano già fatto, ad una approfondita analisi dei loro processi legati ai propri siti web e alle app, aggiornare le informative e gli strumenti di raccolta dei consensi, di modo che questi siano sempre dimostrabili e incontestabili, tenendo sempre bene presente che pubblicare la privacy policy e la cookie policy sul sito non equivale ad essere conformi alla normativa.