Il 9 gennaio 2022 è la data fissata dal Garante della privacy entro la quale i proprietari di tutti i siti web dovranno organizzarsi per configurare i cookie installati in modo da rispettare le indicazioni fornite nelle nuove Linee guida sui cookie pubblicate lo scorso 10 giugno 2021.
L’obiettivo del Garante è stato quello di specificare la modalità per la fornitura dell’informativa e l’acquisizione del consenso on-line degli interessati in modo da ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali effettuato tramite i siti web.
Con queste linee guida, il Garante ha, quindi, voluto integrare e precisare quanto già adottato nel suo Provvedimento del 2014 in tema di cookie (n. 229, dell’8 maggio 2014) con i nuovi principi ed obblighi previsti in modo generale dal Regolamento (UE) 2016/679 GDPR ed in modo specifico dalla Direttiva ePrivacy ( art.122 Codice della privacy).
Cosa prevedono le nuove linee guida?
In estrema sintesi il Garante propone ai titolari dei siti web di organizzarsi in modo da attuare un meccanismo in base al quale l’utente, accedendo per la prima volta alla “home page” o ad altra pagina del sito web:
1 – non venga profilato o tracciato dai cookie, o da altra tecnica attiva, o passiva di tracciamento (impostazioni di default) prima che esprima il consenso. Il sito web, quindi, deve essere configurato in modo da non permettere l’utilizzo di nessun cookie, o altro strumento diverso da quelli tecnici (obblighi di privacy by default);
2 – visualizzi immediatamente un’area o un banner le cui dimensioni siano sufficienti a:
- a) costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando;
- b) evitare il rischio che l’utente possa far ricorso a comandi e, dunque, compiere scelte indesiderate, o inconsapevoli (le dimensioni del banner dovranno essere valutate anche in relazione ai diversi dispositivi di possibile utilizzo da parte dell’interessato).
Inoltre il banner dovrà contenere:
- a) l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default ( solo cookie tecnici) e, dunque la continuazione della navigazione in assenza di cookie, o altri strumenti di tracciamento diversi da quelli tecnici;
- b) una informativa minima relativa al fatto che il sito utilizza i cookie, o altri strumenti tecnici;
- c) il link alla privacy policy, ovvero ad una informativa estesa ( conforme agli articoli 12 e 13 del GDPR) posizionata in un “second layer” che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del sito;
- d) un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie, o l’impiego di eventuali altri strumenti di tracciamento;
- e) il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
Per quanto riguarda il consenso espresso dall’interessato ( per i cookie diversi da quelli tecnici), il Garante precisa che:
– la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che libera, specifica ed informata, anche “inequivocabile” (considerando 32 GDPR). Pertanto, il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.
– Il consenso espresso dall’interessato (mantenimento delle impostazioni di default, espressione, anche granulare, del consenso, ovvero revoca del consenso precedentemente espresso mediante ripristino delle impostazioni di default) deve essere memorizzato dal titolare del sito tramite appositi cookie tecnici, o anche di ulteriori modalità che la tecnologia dovesse rendere disponibili, la cui individuazione rientra nell’autonomia imprenditoriale e nell’accountability del titolare.
– La riproposizione del banner ai fini dell’acquisizione del consenso, quando l’interessato abbia già liberamente scelto può essere effettuato solo quando:
- mutino significativamente una o più condizioni del trattamento e, dunque, il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”;
- quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato
- quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.
Conclusioni
Le nuove linee guide nel ribadire l’applicazione dei principi di accountability ( art. 5, par. 2 GDPR) e dei principi privacy by design e by default ( art. 25 GDPR), indicano le modalità operative per l’utilizzo dei cookie in modo conforme al GDPR e, quindi, tutelare i dati personali dell’utente di un sito web ( interessato).
In quest’ottica, il titolare di un sito web deve preventivamente analizzare e valutare la tipologia dei cookie che intende utilizzare ( tecnici, o di profilazione) e successivamente implementarli in modo da rispettare quanto indicato nelle linee guida.
L’installazione e l’utilizzo dei cookie come qualsiasi altro trattamento dei dati personali non potrà essere gestito in modo casuale e standard, bensì in modo consapevole e professionale. In alternativa, al fine di evitare sanzioni, sarà consigliabile utilizzare solo i cookie tecnici evitando così trattamenti di dati personali finalizzati alla profilazione ed al tracciamento degli interessati .