NOTA INFORMATIVA SU LINEA GUIDA COOKIES DEL 10 GIUGNO 2021

 

Il provvedimento indica quali regole applicare alle operazioni di lettura e scrittura all’interno del terminale di un utente, con riferimento all’utilizzo di cookie e di altri strumenti di tracciamento; il documento specifica inoltre le corrette modalità di acquisizione del consenso on-line degli interessati, ove necessario, alla luce della piena applicazione del Regolamento in materia di protezione dei dati personali (GDPR).

 

Tra gli aspetti affrontati nelle nuove linee guida, a trovare rilevanza è il meccanismo di acquisizione del consenso online tramite banner.

Unica eccezione viene fatta per quei siti web che utilizzano esclusivamente cookie tecnici che sono attivi per default; in questo caso non sarà necessario predisporre un banner informativo poiché l’installazione di questi cookie non necessita di consenso alcuno. Basterà quindi indicare semplicemente nell’home page del sito o all’interno dell’informativa privacy che lo stesso utilizza esclusivamente cookie tecnici.

Laddove un sito utilizzi cookie diversi da quelli tecnici, al momento del primo accesso dell’utente e per impostazione predefinita, nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente, né tanto meno deve essere utilizzata altra tecnica attiva o passiva di tracciamento, in attesa che venga esplicitata la scelta dell’utente (opt-in). Il consenso dell’utente deve prevedere tre opzioni (accetta tutti, rifiuta tutti, personalizza).

 

Quali caratteristiche deve avere il banner

Il banner deve avere queste caratteristiche:

  • Deve prevedere una X di chiusura in alto a destra con l’avvertenza che la chiusura del banner mediante la selezione dell’apposita X in alto a destra comporta il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
  • Il banner deve prevedere tre bottoni per gestire le tre opzioni sopra citate (accetta tutti, rifiuta tutti, personalizza)
  • L’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve).
  • Il link alla privacy policy contenente l’informativa completa, ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del GDPR.
  • Un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento.
  • Un link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cosiddetti terze parti (il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti) ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

 

È necessario tenere traccia dei consensi e dei rifiuti.

Per assicurare che gli utenti non siano influenzati da una configurazione dei pulsanti e dei colori che possano indurli a preferire inconsapevolmente un’opzione anziché l’altra, il Garante sottolinea l’esigenza di utilizzare comandi e caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare.

Dopo che l’utente ha espresso le proprie preferenze, il banner non dovrebbe essergli riproposto nei successivi accessi per un periodo di almeno 6 mesi. Questo a meno che non siano cambiate in modo significativo le condizioni del trattamento dei dati, oppure nel caso in cui per il gestore del sito web sia impossibile tenere traccia della scelta dell’utente (ad esempio nel caso in cui quest’ultimo abbia cancellato i cookie).

Il consenso deve essere espresso mediante un atto positivo ed inequivocabile, quindi l’azione dell’utente deve essere attiva, ed il silenzio così come la preselezione di caselle non può mai essere idonea a configurare una valida prestazione di consenso.

 

Scrolling e cookie wall

Le Linee guida, sulla scia del provvedimento dell’EDPB, citano fra le modalità di raccolta del consenso lo scrolling e il cookie wall:

  • Lo scrolling, dichiarato di per sé inadatto alla raccolta di un idoneo consenso, diventa valido nella sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento che risulti documentabile dal server del sito.
  • Il cookie wall, tendenzialmente illecito, risulta idoneo alla raccolta del consenso in ipotesi (da valutare caso per caso) nella quale il titolare offra all’interessato la possibilità di accedere ad un contenuto o un servizio equivalenti, senza prestare il consenso all’installazione dei cookie.

Nel primo caso, quindi, pur non rifiutando completamente l’utilizzo dello scrolling come procedura di acquisizione, il Garante ritiene che tale modalità non debba essere la sola, ma debba inserirsi in una delle componenti di un processo più articolato. In modo, dunque, che l’utente possa prendere una scelta inequivocabile e consapevole.

 

 

Altri strumenti di tracciamento

La linea guida si applica anche ad altri sistemi di tracciamento, tipo quelli “passivi”, ossia strumenti che “osservano” le operazioni effettuate dall’utente sul browser e raccolgono informazioni relative alla specifica configurazione del dispositivo utilizzato per poter creare un profilo dell’utente. Su queste tipologie di strumenti l’utente non ha la possibilità di agire autonomamente, perciò l’importante è verificare quali strumenti di tracciamento utilizza il sito e darne notizia nell’informativa raccogliendo in tal modo un consenso informato.