COOKIE

Il consenso per i cookie

Il Garante della Privacy, già con il provvedimento n. 229 dell’08.05.2014, era intervenuto riguardo le regole di utilizzo di cookie e di altri strumenti di tracciamento dell’utente, specificando le corrette modalità di acquisizione del consenso on-line e di archiviazione di informazioni sui dispositivi.

Dal 9 gennaio 2022, i titolari di tutti i siti web dovranno conformarsi a nuove linee guida emanate dal Garante il 10.06.2021 con lo scopo di rafforzare il potere decisionale degli utenti sull’uso dei propri dati personali nella navigazione on line.
Nello specifico, in attuazione del principio di privacy by design, l’acquisizione del consenso dovrà garantire che sul dispositivo dell’utente non vengano installati cookie diversi da quelli tecnici né altri mezzi di tracciamento.

Come deve essere richiesto il consenso per i cookie?

Consenso tramite banner

Con riguardo al meccanismo di acquisizione del consenso online, specialmente attraverso banner, è necessaria un’adeguata informativa che permetta all’interessato di scegliere in modo libero e consapevole se prestare o meno il proprio consenso.

Unica eccezione per i siti che utilizzino esclusivamente cookie tecnici.
Qualora invece un sito utilizzi cookie diversi da quelli tecnici, al momento del primo accesso dell’utente e come impostazione predefinita, nessun cookie o altro strumento di tracciamento attivo o passivo diverso da quelli tecnici dovrà essere posizionato all’interno del dispositivo dell’utente.

Come far sì che le linee guida vengano rispettate?

Il Garante ha previsto l’adozione di un meccanismo in base al quale l’utente, accedendo per la prima volta al sito, visualizzi immediatamente un banner contenente una X selezionabile in alto a destra, il quale banner abbia dimensioni percepibili e che sia adeguato ad evitare che il visitatore compia scelte indesiderate o inconsapevoli.
L’adeguatezza e la congruità del banner dovranno essere valutate anche in relazione ai diversi dispositivi di possibile utilizzo da parte dell’interessato (pc/mobile).

Il banner, inoltre, dovrà possedere determinate caratteristiche di seguito descritte.

Caratteristiche richieste al banner:

Il banner dovrà presentare le seguenti caratteristiche:

  1. L’avvertenza che la chiusura del banner mediante la selezione dell’apposita X in alto a destra comporta il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;

  2. L’indicazione che il sito utilizza cookie tecnici e, solamente previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);

  3. Il link alla privacy policy contenente l’informativa intera, ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del GDPR;

  1. Un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;

  2. Un link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cosiddetti terze parti (il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti) ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Per assicurare che gli utenti non siano influenzati da una configurazione dei pulsanti e dei colori tali da indurli a preferire inconsapevolmente un’opzione anziché l’altra (sfruttamento di tecniche di psicologia del marketing), il Garante sottolinea l’esigenza di utilizzare comandi e caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare.

Dopo che l’utente ha espresso le proprie preferenze, il banner non dovrebbe essergli riproposto nei successivi accessi per un periodo di almeno 6 mesi, a meno che:

  • non siano cambiate in modo significativo le condizioni del trattamento dei dati;
  • per il gestore del sito web sia impossibile tenere traccia della scelta dell’utente (ad esempio nel caso in cui quest’ultimo abbia cancellato i cookie).

Caratteristiche del consenso

L’azione dell’utente deve essere pertanto di opt-in e mai di opt-out: il silenzio così e la preselezione di caselle non può dunque mai essere idonea a configurare una valida prestazione di consenso.

Le Linee guida citano fra le modalità di raccolta del consenso lo scrolling (quando i siti considerano accettati i cookie se l’utente fa scroll in basso nella pagina) e il cookie wall (i siti obbligano l’utente ad accettare i cookie per fornirgli informazioni o servizi).
Lo scrolling viene dichiarato inadatto alla raccolta di un consenso idoneo, essendo valido nella sola ipotesi in cui venga inserito in un processo più articolato in cui sia documentabile un’azione opt-in dell’utente stesso.

Il cookie wall, in linea di massima illecito, risulta idoneo alla raccolta del consenso in ipotesi (da valutare caso per caso) nelle quali il titolare offra all’interessato la possibilità di accedere ad un contenuto o un servizio equivalenti, senza prestare il consenso all’installazione dei cookie.

Periodo di adeguamento

Il periodo di adeguamento alle disposizioni delle nuove Linee guida del Garante per la protezione dei dati personali deve avvenire entro il 10 Gennaio 2022, ovvero decorsi i 6 mesi dalla data di pubblicazione in Gazzetta Ufficiale avvenuta il 10 Luglio 2021. Essendo già scaduto il termine è dunque necessario adeguarsi in fretta dal momento che si rischiano sanzioni davvero salate, come accaduto in Francia dove a fine anno l’Autorità Garante ha sanzionato Facebook e Google per 60 e 150 milioni di euro.

Gli esperti concordano inoltre a ritenere che l’adeguamento non sia solo funzionale ad evitare le sanzioni, ma risulta altresì dimostrato che, il trattamento dei dati in modo etico e trasparente, permette di ottenere un ROI fino a cinque volte superiore: un cookie fatto bene, che ispiri la fiducia dell’utente, porta dunque dei benefici all’azienda.

Cosa succede con i consensi acquisiti prima della pubblicazione delle nuove linee guida?

In merito a questo il Garante ha stabilito che i consensi ottenuti prima del 20 luglio 2021 saranno validi a patto che siano conformi alle caratteristiche richieste dal GDPR e che al momento della loro acquisizione siano stati registrati e risultino documentabili.

Avv. Roberto Spreafico