Linee guida del Garante in materia di cookie, come adeguarsi?
Il Garante per la protezione dei dati personali ha approvato le nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno.
Qual è lo scopo delle nuove Linee Guida?
Il nuovo documento ha la funzione di:
- individuare il diritto applicabile alle operazioni di lettura e di scrittura all’interno del terminale di un utente, con specifico riferimento all’utilizzo di cookie e di altri strumenti di tracciamento,
- specificare le modalità per la fornitura dell’informativa e per l’acquisizione del consenso on-line degli interessati, ove necessario.
Come possono essere classificati i cookie e gli altri strumenti di tracciamento?
- sotto il profilo temporale e dunque in base alla loro durata possono distinguersi cookie di sessione o cookie permanenti,
- dal punto di vista soggettivo possono essere individuati cookie di prima o di terza parte a seconda che il publisher agisca autonomamente o per conto della terza parte,
- con riferimento alla finalità si distinguono i cookie tecnici (cfr. art. 122, comma 1 del Codice) ed i cookie di profilazione, questi ultimi utilizzati per raggruppare i soggetti in cluster omogenei sulla base delle loro azioni ricorrenti.
A che obblighi è assoggettato il titolare del trattamento?
Sulla base dell’art. 122 del Codice Il titolare del trattamento dovrà:
- fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale (in caso di soli cookie tecnici o strumenti agli stessi assimilabili),
- acquisire il consenso (in caso di utilizzo di cookie e gli altri strumenti di tracciamento acquisiti per finalità diverse da quelle tecniche).
Nell’ultimo caso non sarà possibile contemplare ulteriori basi giuridiche rispetto al consenso dell’interessato ed in particolare non sarà in nessun caso invocabile il legittimo interesse del titolare.
Come deve essere costituito il banner e che informazioni deve contenere?
- L’utente, accedendo per la prima volta alla home page (o ad altra pagina) del sito web, dovrà visualizzare immediatamente un’area o banner che permetterà anche la manifestazione del consenso dell’interessato al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento.
- Qualora l’utente scegliesse di mantenere le impostazioni di default e dunque di non prestare il proprio consenso dovrà limitarsi a chiudere il banner mediante selezione dell’apposito comando (quello contraddistinto da una X).
- Il banner dovrà contenere, oltre alla X, almeno le seguenti indicazioni: i) l’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default; ii) una informativa minima relativa al fatto che il sito utilizza cookie o altri strumenti tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente, utilizzare anche cookie di profilazione o altri strumenti di tracciamento; iii) il link alla privacy policy; iv) un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento; v) il link ad una ulteriore area nella quale sia possibile selezionare soltanto le funzionalità, i soggetti cd. terze parti ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
- Gli utenti, naturalmente, dovranno essere posti in condizione di modificare le scelte compiute in ogni momento attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito.
Quando può essere reiterata la richiesta del consenso in presenza di una precedente mancata prestazione dello stesso?
- quando mutino significativamente una o più condizioni del trattamento;
- quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo;
- quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.
Le Linee Guida sottolineano infatti che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.
Cosa deve contenere l’informativa “estesa”?
Tutte le informazioni contenute nell’art. 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione delle informazioni acquisite e le indicazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento.
Inoltre, poiché il sistema difetta di un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere quelli tecnici dagli analytics o da quelli di profilazione, il Garante intende richiamare i titolari alla necessità di rendere manifesti, mediante apposita, opportuna integrazione dell’informativa, almeno i criteri di codifica degli identificatori adottati per la classificazione dei cookie e degli altri strumenti di tracciamento.
Quanto tempo è stato concesso per adeguarsi alle nuove Linee Guida?
I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida e quindi dovranno adeguarsi entro il 9 gennaio 2022.