Cambiano le regole sui cookie: le nuove linee guida del Garante privacy

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Linee guida cookie e altri strumenti di tracciamento del 10.06.2021

Premessa

Con le linee guida oggetto del presente commento, il Garante per la protezione dei dati personali ha effettuato una ricognizione delle regole giuridiche relative all’utilizzo di cookie e altri strumenti di tracciamento che si applicano alle operazioni di lettura e scrittura nei device degli utenti e ha specificato le modalità con cui deve essere resa a detti utenti l’informativa privacy e acquisito il loro consenso, secondo quanto previsto dal Regolamento europeo per la protezione dei dati personali (GDPR).

Per quanto riguarda le regole giuridiche applicabili alla materia dei cookie, il Garante evidenzia come, allo stato attuale, sono rilevanti:

  • la direttiva europea c.d. ePrivacy, per come recepita in Italia dal codice privacy;
  • dal suddetto Regolamento europeo per la protezione dei dati personali (GDPR).

Inoltre sulla materia era già intervenuto in precedenza lo stesso Garante italiano con un provvedimento del 2014, finalizzato a individuare le modalità per fornire agli utenti l’informativa in ordine all’archiviazione dei cookie sui loro device da parte dei siti web visitati nonché a individuare le modalità con cui questi ultimi dovevano acquisire il consenso degli interessati.

Tuttavia, il Garante ha ritenuto che tali disposizioni debbano oggi essere integrate e precisate alla luce dell’entrata in vigore del GDPR. In particolare, l’Autorità ritiene che tale esigenza di un proprio nuovo intervento di disciplina derivi dal fatto che sono ormai passati tanti anni dal primo provvedimento e dal fatto che in questi anni vi sono stati numerosi reclami e richieste di pareri su tali questioni, oltre al fatto che i nuovi sistemi tecnologici sono sempre maggiormente pervasivi.

La funzione dei cookie

In primo luogo, il Garante si occupa di individuare quale sia la funzione dei cookie.

A tal proposito, viene ricordato come sia lo stesso GDPR a prevedere che i gestori dei siti web possano associare i propri utenti con degli identificativi online che sono prodotti dagli stessi device usati dagli utenti oppure dalle applicazioni o dagli strumenti dai medesimi usati per navigare in internet e visitare il sito web (come ad esempio gli indirizzi IP o appunto i cookie). Tali codici identificativi possono lasciare delle tracce successivamente utilizzabili per creare dei profili degli utenti e appunto identificarli in caso di successivi accessi.

Da un punto di vista tecnico, i cookie sono delle stringhe di testo che vengono posizionati e archiviati all’interno del device (es. smartphone, computer, tablet ecc) usato dall’utente da parte del sito web da quest’ultimo visitato oppure da altri siti web o web server. Nel caso in cui i cookie vengano posizionati dal sito web visitato, si parla di cookie di prime parti; nell’altro caso, si parla di cookie di terze parti.

In particolare, i software usati dall’utente per la navigazione in internet (come i browser: internet explorer, firefox, chrome ecc), memorizzano le suddette stringhe identificative posizionate dai siti web e, nel momento in cui l’utente attraverso detto software visita nuovamente i siti web che hanno creato quelle stringhe, li trasmettono nuovamente al sito, permettendo di mantenere la memoria delle interazioni che l’utente aveva avuto precedentemente con detto sito web e le caratteristiche che riguardavano detto utente. Tra i dati memorizzabili attraverso tale sistema, vi sono sia dati personali (come, ad esempio, l’indirizzo IP, il nome utente, l’indirizzo email ecc), sia dati non personali (come, ad esempio, le impostazioni della lingua utilizzata, informazioni sul tipo di device impiegato per navigare sul sito ecc).

La funzione pratica di tali cookie è quella di permettere alle pagine web di caricarsi molto più velocemente o quella di mantenere traccia degli articoli inseriti all’interno di un carrello in una precedente navigazione, ma anche quella di inviare all’utente della pubblicità mirata e scelta in base al comportamento che il medesimo ha posto in essere sul web nelle sue precedenti sessioni di accesso (c.d. pubblicità comportamentale).

Gli stessi obiettivi possono essere raggiunti anche attraverso l’uso di altri sistemi di tracciamento, che hanno la stessa funzione dei cookie e permettono di compiere dei trattamenti dati analoghi a quelli dei cookie. Fra questi strumenti vi sono, per esempio, il c.d. fingerprinting (cioè la raccolta delle informazioni relative alla configurazione del device usato dall’utente tali da identificare in maniera univoca detto device. In considerazione di ciò, le Linee guida adottate dal Garante sono applicabili anche agli altri strumenti di tracciamento (e non solo ai cookie).

Sul punto, però, il Garante ritiene importante evidenziare una differenza di fondo fra le due tipologie di tracciamento: i cookie sono strumenti di tracciamento attivi e permettono quindi, a coloro i quali non intendono essere profilati, di rifiutarlo e di esercitare i propri diritti per far valere tale rifiuto nonché di cancellare manualmente i cookie dal proprio dispositivo; invece gli strumenti di tracciamento passivi (come appunto il fingerprinting), non permettono all’utente di azionare autonomamente degli strumenti per impedire il tracciamento, ma per evitarlo deve rivolgersi al titolare del trattamento.

Volume consigliato

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli, 2021, Maggioli Editore

L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in...



La classificazione dei cookie

È possibile effettuare una duplice classificazione dei cookie e degli altri strumenti di tracciamento:

  • da un lato, vi sono i cookie tecnici, che servono soltanto per effettuare una comunicazione sulla rete internet oppure per erogare tale servizio di comunicazione;
  • dall’altro lato, vi sono i cookie di profilazione, che invece servono per identificare o rendere identificabili gli utenti e poi ricondurre ai medesimi delle azioni o dei comportamenti dagli stessi posti in essere sul web circa l’uso delle funzioni erogate dal servizio di comunicazione, in modo da poter raggruppare detti utenti all’interno di profili più o meno ampi e quindi fornire loro dei servizi sempre più personalizzati o inviare messaggi pubblicitari in linea con le loro preferenze e interessi.

Per quanto concerne i cookie tecnici, il titolare del trattamento dovrà soltanto fornire agli utenti l’informativa circa il loro uso, in quanto il loro uso senza l’acquisizione del consenso è previsto dalla legge.

Per quanto concerne, invece, i cookie di profilazione, potranno essere usati dal titolare del trattamento soltanto dopo aver preventivamente acquisito il consenso informato dell’utente.

Infatti, la normativa attualmente in vigore non prevede che vi siano altre basi giuridiche (diverse dal consenso dell’interessato) per legittimare il titolare a raccogliere i dati dell’utente attraverso i cookie o gli altri strumenti di tracciamento. Pertanto, i titolare non potranno mai invocare, come base giuridica che legittima il trattamento, il legittimo interesse del titolare.

Le modalità di acquisizione del consenso dell’utente all’uso dei cookie

La normativa attualmente in vigore, prevede che per acquisire il consenso degli utenti possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per l’utente.

Si tratta di una disposizione generica che, secondo il Garante, necessita di essere chiarita con riferimento all’uso di due sistemi di acquisizione del consenso particolarmente diffusi sul web: il c.d. scrolling e il c.d. cookie wall.

A tal proposito, il Garante evidenzia in primo luogo come, ai sensi del GDPR, il consenso debba essere espresso attraverso un atto positivo con cui l’utente manifesti in maniera inequivocabile la propria volontà libera, specifica e informata di accettare il trattamento dei propri dati: tale manifestazione di volontà può avvenire attraverso una dichiarazione scritta, anche con l’uso di strumenti elettronici, oppure in maniera orale. In ragione di ciò, non configurano un valido consenso il silenzio dell’utente oppure la sua inattività oppure la preselezione di caselle da parte del sito web. Inoltre, sempre in considerazione delle caratteristiche richieste dal GDPR per il consenso, nel caso in cui il trattamento dati abbia più finalità, il consenso deve essere prestato specificatamente per ognuna delle finalità. Infine, nel caso in cui il consenso dell’interessato sia richiesto attraverso l’uso di messi elettronici, la richiesta deve essere chiara, concisa e non interferire con l’uso del servizio per cui è richiesto il servizio medesimo.

In considerazione di quanto sopra, il Garante ritiene che il semplice scrolling (cioè il semplice movimento del mouse e quindi del puntatore della pagina web) non è mai idoneo, di per sé, ad esprimere in maniera legittima la volontà dell’utente ad acconsentire al posizionamento dei cookie all’interno del proprio device o all’uso di altri strumenti di tracciamento (fatto salvo il posizionamento dei cookie tecnici, per i quali può valere anche lo scrolling). In altri termini, lo scrolling non può mai essere equiparato al consenso.

Secondo il Garante, tuttavia, lo scrolling può essere utilizzato dal titolare nella procedura di acquisizione del consenso insieme ad altri strumenti che consentono all’utente di fornire al gestore del sito web una propria volontà inequivoca e consapevole all’uso dei cookie o degli altri strumenti di tracciamento, che sia altresì registrabile e documentabile. In base al principio di accountability, poi, sarà ogni singolo titolare del trattamento che dovrà individuare le eventuali modalità per fare sì che il consenso dell’utente all’uso dei cookie abbia le caratteristiche di cui sopra.

Per quanto riguarda l’uso del cookie wall (cioè del sistema per cui l’utente è obbligato a esprimere il proprio consenso a ricevere i cookie per poter procedere con la navigazione sul sito web, risultando, in caso contrario, impossibile accedere al sito), il Garante ha precisato che tale sistema è illecito, in quanto non permette di qualificare il consenso reso dall’utente come libero e quindi conforme alle caratteristiche indicate dal GDPR come sopra illustrate.

Infine, sempre con riferimento alle modalità di acquisizione del consenso, il Garante si occupa della prassi di reiterare la richiesta di consenso in caso di una precedente mancata prestazione del consenso medesimo.

A tal proposito, infatti, il Garante ha evidenziato come negli anni siano pervenute numerose segnalazioni circa il fatto che i siti web ripropongono in maniera invasiva il banner relativo all’acquisizione del consenso all’uso dei cookie ad ogni accesso al sito effettuato dall’utente, ciò anche nel caso in cui l’utente abbia già espresso la propria volontà in merito all’uso dei cookie. Tale prassi compromette la fluidità della navigazione dell’utente e soprattutto ha avuto l’effetto di far sottovalutare all’utente stesso il valore del contenuto del banner proposto ad ogni accesso, inoltre detta pratica non è richiesta da alcun obbligo di legge.

Ebbene, secondo il Garante l’eccessiva riproposizione del banner per acquisire il consenso all’uso dei cookie nel caso in cui l’utente lo abbia in precedenza negato, è idoneo a ledere la libertà dell’utente medesimo, in quanto lo induce a fornire il proprio consenso per di evitare la continua riproposizione del banner e poter quindi continuare liberamente la propria navigazione sul sito web.

Pertanto, nel caso in cui l’utente non acconsenta all’uso dei cookie e quindi mantenga immodificata l’impostazione di default che deve essere fornita dal sito (che appunto deve essere quella del diniego all’uso dei cookie), il titolare del trattamento dovrà registrare tale decisione dell’utente non potrà ulteriormente chiedere a quest’ultimo di esprimere il proprio consenso all’uso dei cookie.

Soltanto al verificarsi di una delle tre seguenti ipotesi, il titolare del sito potrà riproporre all’utente il banner relativo alla prestazione del consenso all’uso dei cookie:

  • qualora siano modificate in maniera significativa una o più condizioni del trattamento, pertanto il banner svolgerà la funzione di informare l’utente circa tale modifica intervenuta (come, per esempio, in caso di mutamento delle “terze parti”);
  • qualora non sia possibile per il gestore del sito web sapere se un cookie è già stato archiviato in precedenza sul device dell’utente (come, ad esempio, nel caso in cui l’utente abbia cancellato i cookie dal proprio dispositivo);
  • qualora siano passati almeno 6 mesi dall’ultima volta in cui il gestore del sito ha presentato il banner all’utente.

Il meccanismo di acquisizione del consenso dell’utente all’uso dei cookie

Il Garante ritiene che il meccanismo di acquisizione del consenso on line dell’utente attraverso la presentazione di un banner dove eventualmente scegliere di acconsentire all’uso dei cookie, sia attualmente ancora valido e legittimo. Tuttavia, anche rispetto a tale meccanismo, il Garante ritiene opportuno dare dei chiarimenti.

In primo luogo, è necessario che il titolare del trattamento garantisca che vengano trattati soltanto i dati personali che sono necessari in base a ciascuna specifica finalità del trattamento. Ciò significa che la quantità dei dati raccolti e la durata della loro conservazione non ecceda il valore minimo che risulta necessario per raggiungere le suddette finalità. In altri termini, le informazioni raccolte devono riguardare soltanto quelle che servono per permettere la fruizione del servizio e deve essere lasciata alla libera volontà dall’utente la scelta di permettere al titolare del trattamento di acquisire più dati per le altre finalità indicate.

Per poter raggiungere tale obiettivo, è obbligatorio per il titolare del trattamento che il sito web sia impostato in maniera predefinita in modo tale da garantire che, nel momento in cui l’utente effettua il primo accesso al sito, non venga posizionato all’interno del suo device alcun cookie o strumento di tracciamento. Pertanto, in caso di mancata osservanza del suddetto obbligo, il titolare del trattamento può essere sanzionato secondo quanto previsto dal GDPR.

In considerazione del fatto che la libertà di scelta deve essere garantita anche agli utenti che intendono farsi profilare, il Garante suggerisce come deve essere strutturato il banner relativo al consenso.

In particolare, i gestori dei siti web dovranno prevedere un meccanismo attraverso il quale l’utente, nel momento in cui accede per la prima volta alla home page o a qualsiasi altra pagina del sito web, visualizzi immediatamente il banner o comunque un’area dedicata alla manifestazione di volontà in ordine al posizionamento dei cookie. Tale banner o area dovrà avere le seguenti caratteristiche:

  • delle dimensioni sufficienti a far percepire all’utente una discontinuità rispetto alla fruizione dei contenuti della pagina web che egli sta visitando;
  • delle dimensioni tali da evitare il rischio che l’utente possa compiere scelte inconsapevoli o indesiderate;
  • non deve impedire all’utente di poter mantenere le impostazioni di default (che – come detto – devono essere impostate sul diniego all’uso dei cookie o degli altri sistemi di tracciamento) e deve permettere all’utente di poter manifestare il proprio consenso attraverso un’azione positiva;
  • per il caso in cui l’utente decida di mantenere le impostazioni di default, deve permettere all’utente medesimo di chiudere il banner o l’apposita area dedicata semplicemente attraverso l’apposito comando di solito usato a tale scopo per chiudere le pagine web, cioè la X posta (di regola) in alto a destra all’interno del banner o dell’area suddetti (ciò, quindi, senza dover essere costretto ad accedere ad altre aree o pagine appositamente dedicate);
  • il suddetto comando grafico di chiusura del banner, deve avere una evidenza grafica pari a quella degli altri comandi o pulsanti che l’utente può utilizzare per esprimere la propria scelta (in tal modo, secondo il Garante, si può ottenere il risultato – di default – per cui l’utente che non vuole dare il proprio consenso al posizionamento dei cookie non venga tracciato o profilato e allo stesso tempo, il titolare del trattamento dispone di un evento informatico – appunto la chiusura del banner tramite il tasto X – che può essere registrato per documentare la scelta dell’utente e per impedire al sito stesso di presentare nuovamente il banner a quell’utente durante i suoi successivi accessi secondo quanto detto nel precedente paragrafo);
  • il banner dovrà altresì contenere – oltre alla X in alto a destra di cui si è detto sopra – anche le seguenti opzioni
    1. l’avvertenza che, nel caso in cui l’utente chiuda il banner attraverso la suddetta X, resteranno efficaci le impostazioni di default (e quindi continuerà a essere negato il consenso all’uso dei cookie e la navigazione continuerà senza che nel device dell’utente vengano posizionati cookie o sistemi di tracciamento diversi da quelli tecnici),
    2. nel caso in cui il sito web utilizzi cookie o altri strumenti tecnici e altresì i cookie di profilazione o altri strumenti di tracciamento, una informativa minima in ordine al fatto che il sito utilizzi detti cookie o strumenti tecnici e che i cookie di profilazione e gli altri strumenti di tracciamento potranno essere utilizzati soltanto previa acquisizione del consenso dell’utente e che il medesimo dovrà essere reso con le modalità indicate nell’informativa stessa;
    3. il link alla privacy policy, cioè ad un’informativa estesa che sia posizionata appunto su un altro link accessibile con un semplice click dall’utente e che contenga in maniera chiara e completa tutte le informazioni previste dagli articoli 12 e 13 del GDPR, anche con riferimento ai cookie a agli altri strumenti di tracciamento;
    4. un comando con cui l’utente possa esprimere il proprio consenso accettando così il posizionamento di tutti i cookie o di tutti gli altri strumenti di tracciamento;
    5. il link ad una ulteriore area dedicata dove l’utente possa selezionare, in maniera specifica, soltanto quali funzioni oppure quali “terze parti” oppure quali cookie egli sceglie di acconsentire, eventualmente anche raggruppando detti cookie, funzioni o “terze parti” per categorie omogenee;
  • indipendentemente dai colori usati per i vari pulsanti e in generale dalle modalità scelte dal gestore del sito web per permettere la manifestazione del consenso dell’utente, l’azione positiva che l’utente potrà compiere al momento del primo accesso alla pagina dovrà necessariamente sempre essere volta a manifestare il suo consenso ai cookie (c.d. opt-in) e non potrà invece mai essere volta a esprimere il proprio diniego all’uso dei cookie (c.d. opt-out).

Nel caso in cui il sito web preveda soltanto il posizionamento di cookie tecnici o di altri strumenti analoghi, l’informativa in ordine all’uso dei cookie potrà essere data anche solo nella home page del sito web o nell’informativa privacy generale, senza che sia obbligatorio per il gestore del sito inserire degli appositi banner che l’utente dovrà rimuovere.

Il Garante precisa, poi, che il sistema dovrà essere strutturato in modo tale che, in qualsiasi momento e in maniera semplice, gli utenti possano modificare le scelte già compiute, siano esse positive o negative attraverso una apposita area loro accessibile attraverso un link che deve essere posizionato nel footer della pagina web e deve essere evidenziata con la esplicita indicazione “rivedi le tue scelte sui cookie” (o con analoga indicazione). In altri termini, gli utenti, quando vogliono, debbono poter revocare il consenso precedentemente prestato oppure prestare il proprio consenso precedentemente negato semplicemente entrando nel link appositamente indicato per modificare le scelte in materia di posizionamento dei cookie e collocato nel piè di pagina del sito, cioè nella parte inferiore della pagina web.

Nel caso in cui l’utente modifichi le proprie scelte in ordine al posizionamento dei cookie oppure si verifichi una delle tre ipotesi (meglio sopra descritte) in cui il gestore del sito deve riproporre all’utente che abbia già fatto la propria scelta il banner sui posizionamento dei cookie, le nuove scelte negoziali compiute dall’utente medesimo (cioè consenso o diniego all’uso dei cookie) dovranno superare le precedenti scelte e dovranno essere considerate come modifica delle precedenti opzioni.

Il Garante, inoltre, evidenzia l’esigenza che il gestore del sito utilizzi dei comandi e dei caratteri di uguali dimensioni, nonché analoga enfasi e colori, per tutte le scelte che l’utente può compiere, in modo che esse siano tutte ugualmente facili da visionare e utilizzare. Ciò, per garantire che gli utenti non siano influenzati oppure penalizzati da scelte di design che li inducano a scegliere una opzione piuttosto che un’altra.

Infine, il Garante suggerisce l’utilizzo di una buona prassi ai gestori dei sti web, in modo da garantire effettivamente che gli utenti possano cambiare liberamente la propria volontà in ordine al posizionamento dei cookie: in particolare, i gestori potranno posizionare in ciascuna pagina del proprio dominio (eventualmente accanto al link dell’area dedicata alle scelte) un segno grafico oppure un’icona oppure un altro accorgimento tecnico con cui indicare lo stato dei consensi in materia di posizionamento dei cookie prestati dall’utente e in vigore in quel momento.

In conclusione, il Garante ricorda che il titolare del trattamento, proprio in applicazione del principio di accountability previsto dal GDPR, può sempre adottare delle modalità di raccolta del consenso degli utenti al posizionamento dei cookie, che siano diverse da quelle indicate nelle Linee guida rilasciate dal Garante e di cui si è appena detto, purchè vengano rispettate le regole e i diritti riconosciuti agli interessati dalla normativa in materia di privacy, sotto la responsabilità del titolare medesimo.

Ciò potrebbe, per esempio, accadere nel caso di utenti che accedano ai servizi offerti dal gestore del sito web attraverso l’uso di credenziali di autenticazione o di accesso, rispetto ai quali quindi il gestore potrebbe assolvere gli obblighi su di lui gravanti circa l’impiego dei cookie fin dal momento della creazione del profilo dell’utente.

I cookie Analytics di prima parte e delle c.d. terze parti

Nella parte finale delle linee guida oggetto del presente commento, il Garante si occupa dei cookie analytics, ricordando preliminarmente a tal proposito che i cookie possono essere anche usati per valutare l’efficacia di un servizio fornito dal proprietario del sito web oppure per la progettazione di un sito web oppure per misurare il numero dei visitatori di un sito web (eventualmente anche con suddivisione per area geografica, fascia oraria di connessione ecc.).

Il Garante già nel proprio provvedimento del 2014 – di cui si è detto nei precedenti paragrafi – si era occupato di tale tipologia di cookie e aveva già stabilito che possono essere ricompresi nella categoria dei cookie tecnici e quindi possono essere usati senza che il gestore del sito web debba preventivamente acquisire il consenso degli interessati.

Tuttavia, anche per tale tipologia di cookie, l’entrata in vigore del GDPR impone al Garante di formulare alcune precisazioni e chiarimenti sulle condizioni in presenza delle quali si può ritenere che tali cookie siano equiparati a quelli tecnici.

In primo luogo, il Garante ha precisato che i gestori delle pagine debbono individuare delle soluzioni che tutelino maggiormente l’interessato e proteggano i suoi dati impiegando misure che rispettino il principio della privacy by design. In particolare, debbono essere introdotte misure di minimizzazione dei dati tali da ridurre in maniera significativa la possibilità per le c.d. terze parti di identificare l’utente attraverso l’uso dei cookie analytics. In altri termini, le c.d. terze parti che hanno la disponibilità dei risultati dei cookie analytics non devono essere in grado di pervenire, proprio attraverso l’uso di detti cookie, alla individuazione dell’utente. Soltanto quando ciò non sia possibile per le terze parti, i cookie analytics possono essere equiparati ai cookie tecnici.

Per raggiungere tale obiettivo (di impedire alle “terze parti” che usano i cookie analytics) di individuare gli interessati, è necessario che la struttura del cookie analytics preveda la possibilità che lo stesso cookie sia riferibile a più dispositivi diversi (e non invece in maniera univoca ad un solo dispositivo), in modo che chi analizza i risultati di quel cookie non possa avere certezza sulla identità informatica del soggetto che lo ha ricevuto nel proprio dispositivo. Per quanto concerne le modalità tecniche per ottenere il suddetto risultato, il Garante suggerisce di mascherare delle porzioni dell’indirizzo IP all’interno del codice.

In secondo luogo, il Garante ha precisato che l’uso dei cookie analytics deve necessariamente essere limitato soltanto a produrre statistiche aggregate e che detti cookie devono essere usati solo con riferimento ad un singolo sito internet oppure a una sola applicazione mobile, senza poter incrociare i dati risultati dalla navigazione di più siti o con più applicazioni, in modo da non permettere a chi analizza i risultati del cookie analytics di tracciare tutta la navigazione di un utente che visiti diversi siti web oppure che usa diverse applicazioni mobili.

In considerazione di ciò, i soggetti terzi che forniscono al gestore del sito web il servizio di “misurazione” del traffico internet (attraverso i risultati dei cookie analytics), non devono combinare i dati acquisiti, anche se minimizzati (attraverso la oscurazione di parte del codice IP), con altri dati e informazioni; ciò al fine di evitare che aumenti il rischio che l’utente possa essere identificato.

Le novità in materia di informativa.

In conclusione il Garante si occupa dell’informativa che deve essere resa agli utenti e precisa quali siano i miglioramenti necessari, rispetto a quanto previsto finora nella prassi, che i titolari dei siti web dovranno adottare per renderla conforme a quanto previsto dagli articoli 12 e 13 del GDPR.

In primo luogo, secondo il Garante, è necessario che siano indicati gli eventuali altri soggetti cui sono destinati i dati personali acquisiti tramite i cookie nonché che siano indicati i tempi di conservazione delle informazioni acquisite.

In secondo luogo, è necessario fornire informazioni su come sia possibile per gli utenti esercitare i diritti loro riconosciuti dal GDPR.

Infine, è necessario che l’informativa sia dislocata su più livelli e venga resa anche attraverso più canali e modalità (esempio con l’uso di canali video oppure di pop-up informativi oppure interazioni vocali oppure assistenti virtuali ecc.).

Conclusioni

In conclusione il Garante ha ritenuto di adottare le linee guida sopra descritte cui si devono adeguare tutti i fornitori dei servizi della società dell’informazione e tutti i soggetti che offrono servizi online ai propri utenti attraverso reti internet nonché in generale tutti i soggetti che gestiscono siti web che facciano uso di cookie e/o di altri sistemi di tracciamento.

Per permettere, poi, a detti soggetti di modificare i propri sistemi e adeguarli alle nuove linee guida, il Garante ha individuato un termine di 6 mesi dal momento della pubblicazione delle linee guida nella Gazzetta Ufficiale, affinché tutti i sopra richiamati soggetto si conformino alle linee guida.

Volume consigliato

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli, 2021, Maggioli Editore

L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it