Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano online. L’aggiornamento delle preesistenti linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di protezione dei dati personali, ma anche per altri fattori: in base ai numerosi reclami, segnalazioni e richieste di pareri sulla non corretta attuazione delle modalità per rilasciare l’informativa agli utenti e l’acquisizione del consenso all’uso dei loro dati; il crescente aumento delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.
Vediamo i principali contenuti delle nuove Linee guida sui cookie.
Informativa:
Nel rispetto del Regolamento Ue, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. Potrà essere resa anche su più canali e con diverse modalità: pop up, video, interazioni vocali. Resta comunque confermato che l’obbligo della sola informativa per i cookie tecnici. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.
Consenso:
Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla tipica X da inserire in alto a destra.
L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta ridondante ed invasivo per l’utente. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo il ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.
Cookie wall: sono illegittimi.
I cookie wall – tecnica utilizzata dai siti web per negare l’accesso agli utenti che non acconsentano a tutti i cookie – sono considerati illegittimi. A meno che, stabilisce il Garante, il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti, senza richiedere il consenso all’uso dei cookie o di altri tracciatori, ma quest’ultima è un’ipotesi che va verificata rigorosamente, caso per caso.
Quando adeguarsi? Entro 6 mesi.
A partire dalla data del provvedimento (10 giugno 2021). Queste nuove regole, che vanno ad aggiungersi alla normativa già esistente, obbligheranno le aziende che hanno un sito web ad adeguarsi, entro 6 mesi il 10 dicembre 2021, termine dilatorio concesso dal Garante per conformarsi alla nuova normativa. L’adeguamento dovrà riguardare anche gli aspetti tecnici dei siti, perché occorrerà gestire le anagrafiche dei consensi in maniera dinamica e darne evidenza in caso di richieste dagli interessati o dagli stessi organi ispettivi. Pare utile ricordare che gli interventi in ottica di conformità alla nuova normativa saranno importanti non solo per quando arriverà il nuovo Regolamento e-privacy, ma perché tali dati hanno grande valore per il patrimonio aziendale e dunque l’adeguamento deve avere come obiettivo la tutela del business e non solo quello di mettersi al riparo da eventuali sanzioni in caso di ispezione.
