In data 10 giugno 2021, il Garante della Privacy ha emanato un provvedimento che obbligherà tutti i titolari di siti web a conformarsi alle nuove linee guida in materia di cookies ed altri strumenti di tracciamento.
L’intento è quello di fornire regole più chiare e specifiche sulle modalità di trasmissione dell’informativa e, soprattutto, sulle modalità di acquisizione del consenso degli utenti che visitano un sito internet.
Tutti i soggetti interessati dovranno adeguarsi entro il 9 gennaio 2022. Non c’è tempo da perdere.
Cosa sono i cookies?
Quando parliamo di cookies, intendiamo semplici stringhe di testo che vengono salvate sul dispositivo di un utente, ogni volta che quest’ultimo visita un sito web nuovo.
L’impiego dei cookies consente la memorizzazione di alcune informazioni sull’utente, come, ad esempio, le credenziali di accesso, la lingua preferita o le preferenze personali.
In questo modo il soggetto non deve inserire nome utente e password ogni volta che visita un sito che frequenta spesso e, contemporaneamente, i gestori di siti web ottengono informazioni sui propri visitatori abituali.
Oltre a tenere traccia degli utenti che hanno già visitato il sito, i cookies vengono anche utilizzati come strumenti per ottenere ed archiviare informazioni di vario genere, riguardo il comportamento di un utente sul web. I dati raccolti vengono poi generalmente utilizzati per scopi pubblicitari.
Per questo motivo, oggi, è necessario che i siti internet che operano questo tracciamento richiedano il consenso all’interessato. Chi naviga sul web avrà infatti sicuramente notato che, entrando in un sito, si viene spesso accolti da un pop-up (banner) che informa (informativa) sulla presenza dei cookies e ne richiede il permesso per l’installazione.
Questo però coinvolge solamente una parte dei cookies. Poiché, come vedremo nel prossimo capitolo, ne esistono di diverso tipo.
Tipologie di cookies
Senza addentrarci in dettagli eccessivamente tecnici, possiamo dire che i cookies si suddividono in due categorie principali: i cookies tecnici e i cookies di profilazione.
Cookies tecnici
Sono necessari al corretto funzionamento del sito. Sono utili per memorizzare informazioni che fanno risparmiare tempo all’utente, come ad esempio la memorizzazione delle credenziali citata in precedenza.
Essendo considerati indispensabili, non necessitano dell’acquisizione del consenso da parte dell’utente, ma devono comunque essere indicati nell’informativa.
Cookies di profilazione
Come suggerisce il nome stesso, i cookies di profilazione vengono impiegati per riconoscere schemi di comportamento, abitudini e preferenze dei visitatori di un sito web.
Conoscere con esattezza il comportamento dei propri utenti consente ai gestori di siti web di fornire un servizio personalizzato sulla base della propria clientela, di inviare campagne pubblicitarie mirate e, in generale, di migliorare il servizio offerto.
I cookies di profilazione, poiché non essenziali, necessitano del consenso informato dei diretti interessati.
Cosa cambia?
La norma attualmente in vigore è la direttiva 2002/58/CE del 12 luglio 2002 emanata dal Parlamento Europeo, chiamata anche ePrivacy, in combinazione con il regolamento (UE) n. 2016/679 della Commissione Europea, chiamato anche regolamento generale sulla protezione dei dati o GDPR.
Le nuove linee guida introdotte dal Garante hanno lo scopo di mettere l’utente nelle condizioni di poter decidere l’installazione dei cookies in piena consapevolezza, grazie ad informazioni chiare e precise.
Se in precedenza il banner che accoglie i nuovi visitatori sul sito non doveva soddisfare requisiti specifici, con le nuove regole esso dovrà avere una dimensione, un colore o altre caratteristiche distintive tali da essere immediatamente visibile.
Da notare che restano esclusi da questo obbligo i cookies tecnici, per i quali continuerà ad essere necessaria solo la loro presenza nell’informativa. Al primo accesso di un nuovo dispositivo dunque, i siti web non potranno installarvi cookies, se non tecnici.
Per quanto riguarda i cookies di profilazione, invece, dovranno essere presenti nel banner e avranno bisogno del consenso esplicito dell’utente, prima della loro installazione.
Proprio quest’ultimo punto rappresenta un elemento cardine del nuovo provvedimento. Il consenso alla profilazione deve essere fornito in modo chiaro e inequivocabile. Ciò significa che l’utente deve attivamente cliccare un bottone per accettare.
Non sarà più sufficiente il semplice “silenzio assenso”.
Il Garante indica poi alcune caratteristiche precise che l’area del banner dovrà avere:
- in precedenza la maggior parte di queste aree era posizionata in un angolo, mentre i nuovi banner dovranno essere chiaramente visibili ad ogni nuovo utente e dovranno indicare l’utilizzo, da parte del sito, di cookies tecnici e di eventuali cookies di profilazione;
- sarà inoltre necessaria la presenza di un bottone, per consentire all’utente di esprimere il proprio consenso all’impiego di cookies per fini pubblicitari sul proprio dispositivo;
- il sito in questione dovrà consentire, tramite un link, l’accesso ad un’area in cui il visitatore di turno potrà scegliere quali cookies accettare e quali rifiutare.
- i pulsanti di scelta di quali cookies installare dovranno essere di colori e dimensioni uguali, al fine di evitare di influenzare la scelta dell’utente;
- infine, il banner può essere riproposto ad un utente a non meno di 6 mesi di distanza, salvo modifiche rilevanti alle condizioni di trattamento dei dati personali.
Di seguito mostriamo l’esempio del banner che utilizziamo noi di Digife.
Quanto tempo hai per adeguarti?
La data di entrata in vigore delle nuove linee guida è il 9 gennaio 2022, giorno entro il quale tutti i siti internet dovranno necessariamente rispettare le nuove direttive.
Il Garante stabilisce infine il comportamento da adottare per tutti i consensi archiviati prima dell’entrata in vigore della nuova norma.
Tutti i dati ottenuti, previo consenso, prima del 20 luglio 2021 rimarranno validi e, pertanto, utilizzabili dalle aziende per attività di profilazione. Ciò a patto che la raccolta dei dati avvenga nel rispetto del GDPR e che siano consultabili tramite una documentazione digitale.