Linee guida cookie e altri strumenti di tracciamento: adeguamenti entro il 10 Gennaio 2022

Richiedi una consulenza gratuita

Posted Gennaio 6, 2022

Il 10 gennaio 2022 scadono i sei mesi di tempo concessi dal Garante per la Protezione dei Dati Personali per adeguarsi alle nuove “Linee guida cookie e altri strumenti di tracciamento” approvate con la Delibera del 10 luglio 2021 e pubblicate alle pagine 117-125 della Gazzetta Ufficiale n° 163 (Provvedimento n°231).

Tra le maggiori novità segnaliamo il divieto di scrolling e cookie wall, se non in casi particolari, e limiti alla reiterazione della richiesta di consenso. Ma entriamo nel merito per capire se il proprio sito web rispetta la normativa su cookie e profilazione utente ed in caso contrario come fare per mettersi in regola.

Il Garante per la Protezione dei Dati Personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine del 2020 ed in piena applicazione del Regolamento UE 2016/679 e della direttiva ePrivacy.

L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal suddetto Regolamento Europeo in materia di privacy (vedi GDPR), ma ha le sue motivazioni anche in una serie di altri fattori:

l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati;
il crescente uso di tracciatori particolarmente invasivi;
la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.

Ecco, in sintesi, i principali contenuti nelle nuove Linee guida sui cookie approvate nel 2021 valide per il 2022.

Argomenti trattati:

Cosa sono i cookie

I cookie sono marcatori temponarei ovvero stringhe di testo che un sito web (il cosiddetto Publisher o “prime parti”) siti o web server diversi (“terze parti”) archiviano all’interno di un dispositivo (un tablet, uno smartphine ma anche un dispositivo IoT, come Alexa ad esempio) a disposizione dell’utente stesso per “migliorare” la sua esperienza di navigazione e di utlizzo.

Le informazioni codificate nei cookie sono di varia natura e ad ampio spettr di azione: indirizzi IP, nomi utente, email, impostazioni lingua, tipo di dispositivo o browser utilizzato per la navigazione, e così via, per una lista potenzialmente infinita di funzioni in grado di offrire un’esperienza di navgazione ottimizzata e personalizzata.

Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete, sempre attraverso i
cookie è possibile anche veicolare la pubblicità comportamentale (“behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

I cookie possono essere classificati in base alla durata (di sessione o permanenti), ovvero dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto della “terza parte”), ma ai fini della legge l’unica classificazione che conta è la seguente:

Cookie tecnici

Sono definiti cookie tecnici quelli utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria
al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio.

Cookie di profilazione

Sono definiti cookie di profilazione tutti quelli utilizzati per profilare un utente ovvero a ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte ( pattern ) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Informativa

Per l’utilizzo di cookie tecnici e degli altri identificatori tecnici, il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato.

I cookie di profilazione e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente

Nel rispetto del Regolamento UE, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Il Garante raccomanda che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici (mascherando opportune porzioni dell’indirizzo IP all’interno del cookie). In questo caso possono essere considerati a tutti gli effetti dei cookie tecnici e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato.

È inoltre necessario fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’autorità di controllo.

Consenso

Il Garante ritiene che l’impianto teso alla individuazione della modalità tecnica per l’acquisizione del consenso on-line per il tracciamento a mezzo cookie (ovvero anche realizzato per il tramite di altri strumenti) illustrato nel menzionato provvedimento del maggio 2014 sia da ritenersi tuttora valido, pur nel mutato assetto normativo che privilegia ed impone ai titolari di agire in ossequio al nuovo regime di accountability.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

Come si è gia detto, per i cookie di profilazione rimane la necessità del consenso espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.

Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Pertanto, per la raccolta del consenso sono consentite solo metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.

Banner

Considerando che occore assicurare anche la libertà di scelta di chi invece intende essere profilato, il Garante suggerisce l’adozione di un’apposita area o banner ove raccogliere il consenso per i cookie di profilazione.

Le dimensioni del banner dovranno essere, al tempo stesso, sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, ma anche tali da evitare il rischio che l’utente possa far ricorso a comandi e dunque compiere scelte indesiderate o inconsapevoli.

Il banner dovrà disporre di un pulsante per offrire agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra. Inoltre, il banner dovrà necessariamente contenere almeno le seguenti indicazioni d opzioni:

l’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie di profilazione o altri strumenti di tracciamento, diversi da quelli tecnici;
una informativa minima relativa al fatto che il sito utilizza cookie tecnici e di profilazione, previa acquisizione del consenso, volti all’invio di messaggi pubblicitari o ala modulazione del servizio;
il link alla privacy policy, ovvero ad una informativa estesa, che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio cui l’utente accede;
un comando* attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti (terze parti) ed i cookie , anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

* Il pulsante di azione dovrà necessariamente essere di “manifestazione del consenso” (opt-in) ed in nessun caso di diniego (opt-out). In buona sostanza non è possibile ottenere il consenso giocando sulla formulazione della domanda, quindi collegarlo al pulsante – ad esempio – “Rinuncio” o “Rifiuto”.

Scrolling,

Riguardo allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Cookie Wall

Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso (ad esempio, laddove il consenso è l’unico modo er accedere ai contenuti del sito), il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

Reiterazione richiesta

L’Autorità sottolinea, inoltre, che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che:

non mutino significativamente le condizioni del trattamento;
sia impossibile sapere se un cookie sia già memorizzato nel dispositivo;
siano trascorsi almeno 6 mesi.

Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Privacy by design e by default

La privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento. È opinione del Garante che il meccanismo di acquisizione del consenso on-line tramite presentazione di un banner , come lo si è analiticamente descritto nel provvedimento del maggio 2014, mantenga, ad oggi, una sua sostanziale validità. È tuttavia necessario, anche in questo caso, valutare l’opportunità di aggiornamenti o migliorie alla luce del mutato assetto normativo come da art.25 de Regolamento.

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.

Il rispetto di tali regole impone dunque che, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web , nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Link obbligatori nel footer

Come già detto in precedenza, per rispondere correttamente alla normativa è necessario inserire un link alla Privacy Policy nel footer del sito web.

Inoltre, dovrà essere forniti, sempre attraverso link nel footer, facile accesso ad una area del sito che consente all’utente di rivedere e modificare le proprie scelte sui cookie. Tutti questi link dovranno rispondere a determinate linee guida tecniche con riferimento alla dimensione dei caratteri, stili, ecc.

Inoltre, il Garante suggerisce l’adozione di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi dall’utente consentendone, dunque, in ogni momento l’eventuale modifica o aggiornamento.

Utenti autenticati

All’utente autenticati dovrà essere consentito di scegliere consapevolmente,menzionando dunque tale possibilità pure nell’informativa resa, se accettare la possibilità che il tracciamento che li riguarda venga effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device.

Crediti immagine e ulteriori approfondimenti su garanteprivacy.it

Accountability, Privacy by default, Privacy by design

#Normativa web

Contattaci

Vuoi maggiori informazioni su come adeguarsi alle nuove Linee guida cookie e altri strumenti di tracciamento 2021-2022?
Compila il modulo per ricevere una consulenza gratuita.

nome azienda*
email*
conferma email*
Provincia*
telefono
vorrei maggiori informazioni su*

Autorizzo il trattamento dei dati personali ai sensi del art. 13 del Regolamento (UE) n. 2016/679 sulla privacy.

Questo sito è protetto da reCAPTCHA e si applicano la
Privacy Policy e i
Termini di servizio di Google.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.