Cookie: le nuove indicazioni del Garante su informativa e richiesta del consenso
La presente newsletter si pone l’obiettivo di delineare con chiarezza come dev’essere gestito l’utilizzo dei cookie sui siti web aziendali, alla luce della più recente normativa in materia e in particolare delle “Linee guida cookie e altri strumenti di tracciamento” adottate dal Garante Privacy con il provvedimento n. 231 del 10 giugno 2021.
Dopo una breve premessa teorica su natura e funzione dei cookie, analizzeremo come deve essere resa l’informativa e come deve essere richiesto il consenso, con particolare riferimento al banner da collocare sul sito, oggetto di importanti novità, nonché le tempistiche concesse dal Garante per l’adeguamento dei sistemi attualmente in uso.
Cosa sono i cookie
I cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori “attivi”). Le regole previste per gli stessi si applicano anche agli altri strumenti di tracciamento che svolgono le medesime funzioni utilizzando una tecnologia diversa (c.d. identificatori “passivi”).
Si definiscono cookie tecnici quelli che consentono la navigazione sul sito e la rendono ottimale per ciascun utente, salvando le preferenze e i criteri di navigazione di ognuno; per questo tipo di cookie non è richiesto consenso. Sono assimilati ai cookie tecnici anche i c.d. cookie analytics solo se vengono utilizzati unicamente per produrre statistiche aggregate in relazione ad un singolo sito (o a più siti riconducibili al medesimo gruppo imprenditoriale), non vengono combinati con altre elaborazioni o trasmessi ad ulteriori terzi.
Al contrario, il consenso è necessario in tutti i casi in cui i cookie non si limitano ad una funzione tecnica, ma vengono utilizzati per profilare i comportamenti degli utenti al fine di modulare il servizio in modo sempre più personalizzato e di inviare agli stessi utenti dei messaggi pubblicitari mirati. Per citare l’esempio più diffuso, i cookie di Google Analytics necessitano il consenso dell’utente.
Come rendere l’informativa
L’informativa deve essere resa in un linguaggio semplice e accessibile e deve contenere i dati del titolare del trattamento, una breve illustrazione della normativa circa la natura dei cookie e le modalità di raccolta del consenso, nonché l’indicazione espressa dei cookie utilizzati sul sito web in questione e dei destinatari delle informazioni raccolte con gli stessi.
Qualora si utilizzino solamente cookie tecnici, la c.d. “cookie policy” può essere semplicemente collocata nella home page del sito o inglobata nell’informativa generale per i visitatori, che solitamente è resa disponibile nel footer della pagina, senza dover implementare particolari misure per verificare la presa visione della stessa. Qualora invece sia necessario richiedere un consenso, dovrà essere inserito il link alla cookie policy – o alla privacy policy generale qualora assorba la cookie policy – nel banner per la raccolta dei consensi.
Come richiedere il consenso
In merito alle modalità con cui richiedere il consenso, si osserva che con la sentenza del 1° ottobre 2019 la Corte di Giustizia Europea ha confermato che il consenso non si può dire validamente espresso quando risulta da una casella di spunta preselezionata.
In egual modo, è considerato inadatto alla raccolta di idoneo consenso lo scrolling, ossia l’equiparazione del proseguimento della navigazione sul sito ad un assenso all’utilizzo di cookie non tecnici: fa eccezione l’ipotesi in cui vi sia un processo articolato tramite il quale si accerti in modo documentabile un’azione positiva dell’utente volta a manifestare la volontà di prestare consenso al trattamento.
È infine illecito impedire la fruizione del sito web e dei servizi ivi contenuti a chi non presta il consenso all’utilizzo dei cookie non tecnici (il c.d. “cookie wall”).
In considerazione di quanto esposto, al fine di chiedere un valido consenso occorre collocare sul sito web un banner che, in ottemperanza alle recentissime Linee Guida del Garante, deve contenere:
a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento, indicando brevemente le relative finalità;
b) il link all’informativa completa sull’utilizzo dei cookie;
c) l’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
d) l’eventuale indicazione che, previo consenso dell’utente, verranno incrociati i dati relativi alla navigazione tramite diversi dispositivi.
Ai fini di ottenere un valido consenso dall’utente, il banner dovrà essere dotato di quanto segue:
i) un comando (ad es. una “X” in alto a destra) tramite il quale si può chiudere il banner senza prestare il consenso all’uso di cookie non tecnici;
ii) un comando per accettare tutti i cookie;
iii) un link ad un’altra area in cui sia possibile scegliere analiticamente le finalità, le terze parti e i cookie che si vogliono installare, che dovrà essere inoltre collocato nel footer di ogni pagina del dominio;
iv) un eventuale comando per accettare l’analisi incrociata dei dati di navigazione dell’utente tramite diversi dispositivi.
I consensi prestati dall’utente mantengono la propria validità a condizione che siano stati registrati e siano dunque documentabili dal titolare.
Qualora l’utente abbia invece rifiutato l’utilizzo di cookie non tecnici, il consenso non può essere chiesto nuovamente a meno che: (i) siano mutate significativamente le condizioni del trattamento; (ii) sia impossibile per il sito sapere se il cookie sia stato già memorizzato nel dispositivo; (iii) siano trascorsi 6 mesi dalla precedente presentazione del banner.
Termine per adeguare i sistemi in uso
Il Garante ha concesso ai titolari 6 mesi per adeguare i sistemi già in atto ai principi espressi dalle Linee Guida, decorrenti dalla pubblicazione in Gazzetta Ufficiale delle stesse, avvenuta il 9 luglio di quest’anno. Il termine è dunque fissato al 9 gennaio 2022.