Nuove linee guida del Garante privacy per i cookie: scopri come adeguarti

Una novità introdotta lo scorso Luglio, che riguarda le nuove linee guida del Garante Privacy sui cookie in Italia. I nuovi requisiti sono entrati in vigore ufficialmente il 10 gennaio 2022.

La norma riguarda tutti coloro che risiedono in Italia e con utenti altrettanto residenti in Italia.

Cookie banner

Laddove un sito web dovesse fare utilizzo di strumenti di tracciamento così come di cookie di profilazione, un meccanismo efficace per acquisire il consenso dell’utente è l’utilizzo di apposito banner. Il Garante dispone che il banner, o qualunque finestra equivalente che un sito mostra ad un utente che accede per la prima volta al sito medesimo, mostrino le informazioni a seguire:

• una rapida informativa sull’utilizzo di strumenti di tracciamento da parte del sito, inclusi i cookie
• un link alla cookie policy che possa fornire indicazioni su eventuali soggetti altri che ricevono i dati personali, quanto tempo saranno conservati i dati stessi e gli obiettivi che ci si prefigge conservandoli
• l’indicazione chiara ed esplicita che, se l’utente prosegue navigando il sito con un’azione esplicita e positiva, sta contestualmente fornendo consenso alla profilazione. Fondamentale è sottolineare come lo scorrimento non possa più essere considerato un valido metodo per raccogliere il consenso
• un link che convoglia verso una sezione specifica dove, in modo granulare e dettagliato, l’utente possa individuare e selezionare le funzioni, le terze parti e le categorie dei cookie che saranno installati
• un comando per poter accettare i cookie così come eventuali, altri strumenti di tracciamento
• un comando, specularmente, per rifiutare i cookie o eventuali, altri strumenti di tracciamento.

Rispetto alle visite al sito web successive alla prima, l’utente non visualizzerà più il banner iniziale, ma potrà accedere alla policy sia della privacy che dei cookies, e ad una sezione dover potrà modificare le proprie preferenze inerenti il tracciamento precedentemente espresse.

Occorre poi sottolineare come, in presenza di cookie esclusivamente di carattere tecnico, il banner non è più necessario: sarà l’home page o l’informativa ad accogliere informazioni sull’utilizzo di cookie tecnici.

Raccolta del consenso

Lo scrolldown, o scrolling, non è più considerata una modalità idonea per acquisire un consenso valido. A questa linea guida esiste una sola eccezione, nella fattispecie in cui lo scorrimento faccia parte di un gruppo di azioni messe in atto dall’utente che in maniera inequivocabile indicano la sua volontà di esprimere consenso.

Sono considerati non leciti dal Garante anche i cookie wall. Unica eccezione la fattispecie in cui il sito offra la possibilità al visitatore di accedere a determinati contenuti o servizi senza dover necessariamente esprimere e rilasciare il proprio consenso. Una possibilità, quest’ultima, che va valutata caso per caso.

Preferenze di consenso ai cookie

Agli utenti è possibile richiedere nuovamente espressione di consenso ma solo se:

• sono mutate le condizioni del consenso (una possibilità può essere l’aggiunta di servizi nuovi da parte di terze parti o la rimozione di servizi vecchi), o
• colui che è titolare del sito web non è provvisto di tutti gli strumenti idonei al tracciamento del consenso (una possibilità può essere quella per cui l’utente abbia cancellato il cookie di consenso precedentemente installatosi sul suo pc), o
• è intercorso un lasso di tempo di almeno 6 mesi dall’ultima acquisizione.

Cookie statistici

I cookie si dividono in due macrogruppi: i cookie tecnici ed i cookie di profilazione.

A tal riguardo il Garante specifica che in linea generale, pur in assenza del consenso dell’utente, i cookie statistici di prima parte possono essere installati.

Invece, d’altro canto, per ciò che concerne i cookie statistici di terza parte, è ancora possibile installarli pur in assenza di consenso dell’utente, ma solo in determinati casi. Nello specifico, solo nei casi in cui:

• non consentono di identificare in modo univoco un determinato utente (un esempio potrebbe essere la fattispecie in cui utilizzano esclusivamente indirizzi IP abbreviati oppure non sono assegnati univocamente ad un solo dispositivo, ma contestualmente a più dispositivi insieme)
• il loro utilizzo ha luogo con riferimento esclusivo ad un singolo sito o ad una singola app
• non sono comunicati a soggetti terzi né tanto meno condivisi con terzi
• i dati che risultano raccolti non vengono messi in relazione e combinati con altri dati.

Prova del consenso

Precisazione netta e chiara del Garante è quella secondo cui il titolare di un sito web ha l’onere di dimostrare di aver conseguito un consenso che sia valido in ottemperanza al GDPR in materia di privacy.

Sempre il Garante specifica che per poter decodificare l’agito dell’utente quale consenso valido per l’installazione dei cookie, a tale agito deve corrispondere un “evento informatico documentabile e inequivoco“, e “riconoscibile e registrabile da parte del titolare”.

Ecco che viene prevista dal legislatore l’apposita esistenza di un vero e proprio registro delle preferenze inerenti i cookie. Questo con l’obiettivo di poter dimostrare che ha avuto luogo un consenso considerato valido in base agli standard del GDPR.

Fondamenti giuridici per il trattamento altro dal consenso

Tutti i cookie così come gli altri strumenti di tracciamento devono essere installati esclusivamente a fronte del consenso dell’utente, oppure laddove ricorrano le condizioni dell’eccezione per cui essi siano “strettamente necessari” in assenza del consenso. In quest’ultima fattispecie si fa riferimento ai casi in cui i cookie sono imprescindibili e risultino impiegati esclusivamente per mettere in atto o facilitare la comunicazione, oppure per erogare un servizio all’utente dietro sua esplicita richiesta.

Un punto rilevante è quello per cui non costituisce fondamento giuridico valido ciò che può essere considerato e ricondotto all’interesse legittimo del titolare del sito web.