Le nuove linee guida del garante Privacy

Il Garante Privacy, con provvedimento n.231, pubblicato sulla Gazzetta Ufficiale n.163 il 9 luglio 2021 ha approvato nuove linee guida in materia di cookie e altri strumenti di tracciamento, che sono diventate operative il 9 Gennaio 2022.

Tutti i titolari di siti web devono conformarsi alle nuove Linee guida, che nascono per poter adeguare il precedente provvedimento del 2014 all’evoluzione della normativa, in particolare al GDPR.

Scattano, quindi, le sanzioni per tutti i titolari di un sito web che non si sono per tempo adeguati.

Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi usati per la consultazione, per essere memorizzati e poi ritrasmessi ai siti in occasione della visita successiva.

Oltre a semplificare e velocizzare gli accessi ai siti web, ne semplificano la fruizione; a mero titolo di esempio possono essere impiegati per memorizzare e recuperare gli articoli in un carrello online o le informazioni utilizzate per la compilazione di un modulo informatico.

I cookie infatti consentono la raccolta e il trattamento di dati personali quali indirizzo IP, nome utente, indirizzo e-mail e dati non personali, quali informazioni sul dispositivo che l’utente sta utilizzando per navigare sul sito.

Per i soggetti che gestiscono siti web l’utilità dei cookie risiede nella loro capacità di profilare il visitatore, riuscendo ad ottenere informazioni quali la frequenza e la ripetitività della visita, numero di pagine visualizzate, lingua impostata e altre che possono essere utilizzate ai fini di marketing o condivise anche con terze parti.

I punti salienti delle linee guida possono essere riassunti nella promozione dell’accountability (la responsabilizzazione del titolare), nel creare un’offerta di informative chiare e trasparenti, rafforzare il meccanismo del consenso e al rispetto dei principi privacy by design e by default.

L’ambito di applicazione delle linee guida, non riguarda solo i c.d. cookie ma si estende anche agli altri strumenti di tracciamento quali ad esempio il fingerprinting.

Un importante focus viene dato all’informativa, e le nuove linee guida suggeriscono ai titolari alcuni miglioramenti per renderla agli utenti conforme agli artt. 12-13 del Regolamento.

L’informativa infatti deve avere un linguaggio semplice e accessibile e deve essere mutilayer, ovvero dislocata su più livelli o più canali e modalità e solo in caso di utilizzo di cookie tecnici  potrà essere collocata nella home page o nell’informativa generale del sito web.

In caso di utilizzo di altri cookie e altri identificatori è raccomandato l’utilizzo di un banner a comparsa immediata di adeguate dimensioni e colori in modo tale che l’utente non esegua comandi in modo inconsapevole.

All’interno del banner vi deve essere la richiesta esplicita all’utente circa l’accettazione o meno nell’utilizzo dei cookie, con la possibilità di scegliere quali finalità includere o escludere.

Che informazioni deve contenere il banner 

Il Garante ha, inoltre, elencato le informazioni che il banner deve contenere:

• L’informativa sull’utilizzo dei cookie;
• Il link all’informativa, la quale deve essere accessibile da tutte le pagine presenti all’interno del sito web.
• La possibilità di selezionare i cookie in base alle finalità. Nel rispetto del principio di privacy by design, tutte le scelte (esclusa quella dei cookie tecnici) devono essere preselezionate in modo da negare l’utilizzo, dando così modo all’utente di esprimere il proprio consenso.

Le opzioni relative ai cookie devono poter essere modificabili da qualunque pagina e agli utenti deve essere mostrato l’elenco dei cookie da esso selezionati.

Lo scrolling  (ovvero lo scorrimento in senso orizzontale o verticale di un testo o di altro tipo di dati sullo schermo di un computer, determinato dall’ingresso di nuovo testo o di nuovi dati) e il cookie wall (qualunque barriera, come un popup che blocca l’accesso a un sito web se l’utente non consente l’uso di cookie o altre tecnologie di tracciamento) non sono più ritenuti validi meccanismi di acquisizione del consenso, e il Garante ha chiarito che alla chiusura del banner senza alcuna selezione, vengano utilizzati i cookie di default, ovvero solo quelli tecnici.

Il consenso raccolto in precedenza manterrà validità a condizione che al momento dell’acquisizione sia stato registrato e sia pertanto documentabile e la reiterazione della sua richiesta agli utenti che hanno scelto di non prestarlo potrà avvenire solo a determinate condizioni.

I siti web che non rispetteranno queste caratteristiche potranno essere sottoposti a penali e sanzioni.

Pertanto i titolari di siti web che ancora non hanno adattato le proprie policy devono adeguarsi il prima possibile.

Sara Brogioni

Sara Brogioni