In data 10 luglio 2021, il Garante della Privacy ha pubblicato le nuove Linee Guida relative all'uso dei cookies. In che modo e-commerce e siti web sono tenuti a rispettare le regole imposte dalla cosiddetta cookie law? E quali sono i consigli più utili per chi gestisce un sito? Lo scorso novembre (2020), lo stesso Garante della Privacy aveva redatto una bozza preliminare delle Linee Guida, cui la maggior parte delle piattaforme internet si era adeguata rapidamente. Il documento era stato anche oggetto di consultazione pubblica, voluta dagli operatori che desiderassero riportare le proprie considerazioni. Il Garante della Privacy, pertanto, ha esaminato le valutazioni espresse dagli operatori in merito alla bozza delle Linee Guida e ha provveduto ad aggiornare il documento, proponendone uno definitivo, che ci accingiamo a descrivere.

L'importanza delle Linee Guida circa l'uso dei Cookies

L'importanza delle decisioni del Garante della Privacy sta nella necessità di regolamentare un campo a dir poco cruciale per chi è solito navigare su internet e per gli operatori del settore. Le Linee Guida stabiliscono la maniera in cui ciascun sito web dovrà gestire i cookies rilasciati sui dispositivi degli utenti. Innanzitutto, il Garante della Privacy esordisce con una premessa doverosa, così riassumibile. Il quadro normativo di riferimento, afferma il Garante, è attualmente costituito dalle disposizioni appartenenti alla direttiva 2002/58/CE (la cosiddetta "direttiva ePrivacy") e dalle modifiche successive, come ben evidenziato nell'ordinamento nazionale e in particolare nell'articolo 122 del decreto legislativo del 30 giugno 2003 (il Codice della Privacy), così come nel GDPR stesso. Le stesse indicazioni sono presenti anche all'interno del documento ufficiale rilasciato dal Comitato Europeo in relazione alla protezione, alla conservazione e alla gestione dei dati personali, pubblicato il 25 maggio del 2018, poi successivamente aggiornato con le Linee Guida adottate a maggio 2020.

Le principali novità riportate dalle Linee Guida

I soggetti maggiormente coinvolti dall'aggiornamento delle Linee Guida relative all'uso dei cookies sono le aziende che gestiscono i documenti legali. Sarà infatti necessario adeguare i ben noti banner cookies alle nuove disposizioni. Ma partiamo dall'inizio e spieghiamo cosa sono i cookies. Con questa dicitura si indicano le stringhe di testo che i siti web archiviano, direttamente o indirettamente, all'interno dei dispositivi utilizzati dagli utenti che approdano su un determinato sito. Pertanto, si tratta di file installati automaticamente sui terminali di chi naviga in Rete ogni volta che costoro visitano un sito, in modo da memorizzare le loro scelte, gestire la pubblicità comportamentale, misurare l'efficacia dei messaggi pubblicitari. A tal proposito, le nuove Linee Guida rilasciate dal Garante della Privacy confermano quanto indicato nell'aggiornamento datato al 2014, ovvero che i cookies possono differenziarsi in cookie di profilazione (quelli che monitorano le abitudini e le scelte dell'utente) e cookie tecnici (quelli che consentono al sito di funzionare in maniera corretta e di caricare le pagine più rapidamente ad ogni successiva visita). All'interno delle Linee Guida si legge anche che i cookies servono a: "modulare l'erogazione del servizio in maniera personalizzata e ad inviare messaggi pubblicitari mirati, in linea con le preferenze manifestate dall'utente durante la navigazione in rete". Le stesse Linee Guida aggiornate confermano anche che il rilascio e l'installazione dei cookies tecnici può avvenire senza alcun consenso da parte dell'utente, essendo questi necessari per il corretto funzionamento del sito e non per tenere traccia delle abitudini dell'utente. Per quanto riguarda quelli di profilazione, invece, è sempre necessario il consenso.

I divieti confermati dal Garante

Il Garante della Privacy conferma anche alcuni divieti già indicati in precedenza, relativi alle modalità tramite cui i siti web propongono il consenso all'utente che approda su un sito. È fatto assoluto divieto di utilizzare lo scrolling della pagina, nonché di ricorrere al cosiddetto cookie wall. Di cosa si tratta? È presto detto. Il consenso deve essere sempre espresso, essendo questa l'unica base legale su cui si fonda il rilascio e l'uso dei cookies. Non può essere così se il sito rilascia i cookies di profilazione non appena l'utente scrolla (magari senza volerlo) la pagina. Anche il cookie wall è ritenuto inidoneo, essendo questo un sistema vincolante, che obbliga letteralmente l'utente ad offrire il proprio consenso, pena l'impossibilità di accedere al sito. Ma allora in che modo un sito deve chiedere il consenso per l'uso dei cookies all'utente?

Come richiedere il consenso dell'utente

Chiariti i divieti, passiamo ad illustrare il metodo corretto per richiedere il consenso per il rilascio dei cookies agli utenti che visitano una pagina. Cosa deve fare il gestore di un sito web per ottenere un consenso valido e perfettamente legale? Le Linee Guida aggiornate confermano grosso modo l'impianto originario risalente al 2014, con alcune importanti precisazioni. Innanzitutto, è necessario mostrare un banner durante il primo accesso. Lo stesso banner deve avere tali caratteristiche: una "X" situata in alto a destra, utile a chiudere la sezione o banner, e alcune precisazioni relative alla cookie policy e all'informativa utente, a patto che entrambe le tabelle non presentino troppe voci, in quanto un eccesso di informazioni potrebbe rovinare la user experience dell'utente. È bene precisare che la chiusura del banner equivale a un rifiuto circa il rilascio dei cookies di profilazione. A tal proposito, è obbligatorio che il banner informi l'utente che la chiusura dello stesso comporta l'accettazione delle impostazioni di default. Come accennato in precedenza, il banner deve contenere una breve sezione informativa che faccia riferimento all'importanza e alla natura dei cookies, aggiungendo anche un link alla cookie policy. È necessario indicare anche il periodo di conservazione delle informazioni e i criteri generali di conservazione delle stesse. Infine, il banner deve includere anche un secondo link, che conduca l'utente all'interno dell'area nella quale selezionare o deselezionare i cookies di profilazione rilasciati da fornitori terzi (ad es. Facebook o Google). Questa funzione è di difficile implementazione tecnica essendo appunto cookies rilasciati da terze parti il controllo è limitato.

Il banner occorre soltanto se il sito web rilascia cookies di profilazione

Anche in questo caso il Garante della Privacy conferma l'orientamento già espresso nel 2014. Lo scopo è consentire all'utente di permettere/negare il rilascio dei cookies di profilazione. Nessun banner è obbligatorio se il sito ha intenzione di rilasciare soltanto cookies tecnici. Il banner non andrà riproposto troppo spesso all'utente, che potrebbe esserne infastidito. Il Garante della Privacy ha quindi previsto che debbano trascorrere almeno sei mesi dall'ultima presentazione, oppure sia necessario un ulteriore aggiornamento delle Linee Guida. Infine, vale la pena ricordare che ciascun sito ha tempo sei mesi dalla pubblicazione del documento sulla Gazzetta Ufficiale per mettersi in regola.

Le presenti Linee Guida sono state pubblicate il 10 luglio del 2021.
Il termine massimo, quindi, cade il 10 gennaio del 2022.

Moduli utili per il GDPR e la Cookies Law

Autore: Loris Modena

SENIOR DEVELOPER

Per Ind Loris Modena titolare di Arte e Informatica, inizia a lavorare nel settore informatico nel 1989 quale sistemista addetto alla manutenzione e installazione di sistemi informatici. Inizia a programmare per il web nel 1997 occupandosi di programmazione CGI in PERL e successivamente passando alla programmazione in PHP e JavaScript. In questo periodo si avvicina al mondo Open source e alla gestione di server Linux. 

prodotto aggiunto alla lista