Cookie e altri strumenti di tracciamento: guida pratica per un banner a prova di GDPR

di Luisa Di Giacomo, Avv.

Sono state approvate dal Garante, il 9 luglio scorso, le nuove linee guida per la regolamentazione dei cookie e dei sistemi di tracciamento sui siti web.

Abbiamo già visto tutte le novità a cui i titolari dei siti internet dovranno adeguarsi entro fine anno. A questo proposito leggi l’articolo “Guida alla nuova disciplina sui cookie e altri strumenti di tracciamento”

Ma quello che ancora oggi lascia perplessi è, a livello pratico, la gestione del banner: devo sempre inserirlo nei miei siti? Devo chiedere il consenso? E l’informativa?

Proviamo a fare chiarezza su come produrre un banner cookie a prova di GDPR.

Indice:

  1. Sito che visiti, cookie che trovi
  2. Come gestire i cookie tecnici
  3. Come gestire i cookie di profilazione ed analitici
  4. Come acquisire il consenso: il banner
  5. La riproposizione del banner
  6. L’informativa

1. Sito che visiti, cookie che trovi

La tipologia di banner da inserire nel proprio sito dipenderà interamente dal tipo di cookie che vi si trovano. Vietato quindi fare “copiaincolla” di un altro banner, magari pescato da un sito simile, o perché ci fare fatto particolarmente bene.

Il primo passo sarà chiedere al nostro webmaster, all’agenzia che si è occupata della nostra comunicazione web, a un tecnico, insomma a chi materialmente ha messo le mani nelle nostre pagine ed è competente per rispondere quali tipi di cookie sono presenti. E dalla risposta dipenderanno le nostre decisioni.

I cookie si dividono essenzialmente in tre categorie: tecnici, analitici, di profilazione (di prime e terze parti).

I cookie tecnici servono per fare funzionare il sito, come definito dall’art. 122 comma 1 del Codice Privacy, sono necessari al fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. Ad esempio, sono cookie tecnici quelli che permettono il corretto caricamento della pagina, il riempimento del carrello in caso di e-commerce o la gestione dell’autenticazione dell’utente nella propria area riservata.

I cookie analitici (ad esempio Google Analytics) sono utilizzati per misurare il “traffico” di un sito web, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione ed in generale il comportamento di navigazione degli utenti, e possono essere gestiti e disabilitati direttamente dalle impostazioni del browser che si usa per la navigazione. A seconda delle condizioni posso rientrare nella categoria dei cookie tecnici, e quindi essere trattati come tali, oppure dei cookie di profilazione.

I cookie di profilazione, infine, sono utilizzati per “ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete” (nuove linee guida, par. 4). Ad esempio rientrano in questo tipo i cookie dei social network.

Guarda il VIDEO sulla Nuova disciplina sui cookie e tutto quello che c’è da sapere

2.Come gestire i cookie tecnici

Per quanto riguarda i cookie tecnici, l’unico obbligo del Titolare del sito (e del trattamento) sarà quello di informare l’utente della loro presenza tramite specifica informativa.

Dunque se il nostro sito ha solo i cookie tecnici, ma dobbiamo essere del tutto sicuri che sia così, sarà sufficiente scriverlo nell’informativa privacy e cookie del sito. L’informativa breve del banner dovrà riportare la circostanza che il sito contiene solo cookie tecnici per i quali non è previsto alcun consenso.

 

Tutti i cookie o altri strumenti di tracciamento presenti per finalità diverse da quelle tecniche (quindi i cookie analitici, di profilazione e di terze parti) potranno essere utilizzati solo previa acquisizione del consenso informato dell’utente interessato.

Il consenso dovrà sempre essere una azione di opt-in, e mai di opt-out (in ossequio al principio di data protection by default: l’utente potrà sempre cambiare idea successivamente ed esercitare l’opt out, come si vedrà più avanti) ed il silenzio o l’inattività dell’interessato non configura un assenso, così come le caselle pre-flaggate sono considerate illegittime.

In questo modo il Garante sancisce in via definitiva e non passibile di alcuna diversa interpretazione l’unica base giuridica valida per l’utilizzo dei cookie e degli altri strumenti di tracciamento. In nessun caso sarà possibile, pertanto, porre come base di liceità del trattamento altre basi giuridiche, ed in particolare non sarà (più) possibile invocare il legittimo interesse del titolare del trattamento per utilizzare gli strumenti di tracciamento online.

Per quanto riguarda i cookie analytics, di norma anch’essi richiedono il consenso, poiché si fanno generalmente rientrare nella categoria dei cookie di profilazione, a meno che non sussistano i presupposti per equipararli ai cookie tecnici.  Il Garante, a questo proposito, richiede che sia preclusa la possibilità di individuare gli interessati ovvero che:

  • i cookie analitici siano utilizzati solo per produrre statistiche aggregate per un singolo sito o singola app;
  • per i cookie analitici di terze parti venga mascherata almeno la quarta componente dell’indirizzo IP;
  • le terze parti non trasmettano i cookie analitici ad ulteriori terzi.

Col rispetto di tutte e tre le precedenti condizioni (ed anche qui sarà indispensabile che il nostro webmaster ci venga in aiuto) i cookie analitici potranno essere equiparati ai tecnici e dunque non avranno bisogno del consenso, ma solo dell’informativa. Diversamente, anche gli analitici verranno considerati cookie di profilazione e pertanto dovranno richiedere il consenso.

4.Come acquisire il consenso: il banner

Il consenso deve essere espresso mediante un atto positivo ed inequivocabile, quindi non vale come consenso lo scrolling, ovvero il semplice fatto di bypassare il banner scrollando il sito per navigare la pagina. Nessun silenzio assenso, in pratica.

Analogo discorso vale per il c.d. cookie wall, intendendosi con tale espressione   un   meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.

Il consenso deve essere espresso mediante un atto positivo e inequivocabile, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano.

Sarà quindi necessario che il sito presenti un banner, nella prima pagina del sito, di adeguate dimensioni (ma non tale da oscurare tutta la pagina, per cui, pur di toglierlo di mezzo, l’utente dia il consenso) che, per impostazione predefinita (privacy by default) non installi alcun cookie diverso da quelli necessari prima che l’utente abbia compiuto la propria scelta.

Deve essere previsto il pulsante di chiusura del banner (una X in alto a destra, generalmente) che se azionato chiude il banner mantenendo le impostazioni di default, quindi non installando alcun cookie di profilazione.

La chiusura del banner senza esprimere preferenze, dunque, implica il rifiuto all’installazione dei cookie, che potranno essere piazzati solo dopo il consenso.

Tale comando deve essere graficamente evidente e, per evitare di influenzare l’interessato, sia il comando di chiusura sia gli ulteriori comandi (consenso all’installazione di tutti i cookie o rinvio ad una pagina di espressione delle preferenze relative) dovrebbero avere uguali colori, uguali dimensioni e rilevanza grafica.

Il banner deve altresì contenere:

un’informativa breve, che specifichi che il sito, previo consenso, installerà i cookie di profilazione o altri strumenti di tracciamento;

link all’informativa completa, che deve essere presente anche nel footer di ogni pagina del sito;

– un comando che consenta l’accettazione di tutti i cookie;

– un link ad altra pagina dove è possibile esprimere le proprie preferenze e selezionare solo alcuni dei cookie cui l’utente intende acconsentire.

Per maggiori approfondimenti consigliamo il CORSO online
Cybersecurity: le nuove prospettive di lavoro per l’avvocato
A cura di Luisa Di Giacomo e Enrico Amistadi

29 novembre, 10 e 14 dicembre 2021

Un tema caldo è quello della riproposizione del banner, ovvero il caso in cui l’utente abbia negato il consenso ai cookie che si ritrova, ogni volta che torna sul medesimo sito, nuovamente il banner per effettuare la scelta: ho già detto di no, inutile chiedermelo di nuovo.

Dunque una volta compiuta la scelta, il banner non dovrebbe essere riproposto, per non “esasperare” l’utente ed indurlo a compiere una scelta condizionata e non libera solo per togliersi il fastidio. Il banner non può essere riproposto prima di sei mesi dalla prima scelta effettuata, a meno che vi siano mutamenti significativi delle condizioni di trattamento (ad esempio cambiano le tipologie si cookie utilizzati, o le terze parti).

Secondo il principio generale relativo al consenso espresso al GDPR, l’utente interessato ha sempre la possibilità di cambiare idea relativamente al consenso prestato o negato, e dovrebbe poterlo fare con la stessa facilità con cui è stata compiuta la prima scelta.

Il Titolare sarà quindi obbligato ad inserire nel footer di ogni pagina del proprio sito un link che chiaramente spieghi la possibilità di rivedere le proprie scelte sull’utilizzo dei cookie, sia in un senso sia nell’altro.

6.L’informativa

All’informativa breve contenuta nel banner dei cookie, deve fare da pendant un’informativa esaustiva e completa, che costituisce parte integrante e sostanziale della privacy policy del sito.

Il link all’informativa deve essere contenuto nel footer di ogni pagina del sito ed anche accessibile dal banner stesso, o in prima pagina o nell’area che si apre quando all’utente interessato è data la possibilità di valutare le varie opzioni ed esprimere le preferenze.

L’informativa deve chiara e concisa, resa con linguaggio semplice ed accessibile, in modo che sia di facile comprensione anche per i non addetti ai lavori.

Dovrà contenere i dati del Titolare e del DPO se presente, le tipologie di dati raccolti e le finalità del trattamento, l’indicazione delle basi giuridiche, le modalità di trattamento, i tempi di conservazione, l’indicazione di eventuali terzi destinatari dei dati e le modalità di esercizio dei diritti degli interessati.

Per quanto riguarda nello specifico i cookie o gli altri strumenti di tracciamento, sarà necessario spiegare brevemente di che cosa si tratta, esplicitando la distinzione tra i vari tipi di cookie e di strumenti esistenti ed indicando nello specifico quali cookie vengono utilizzati sul sito. I tipi di cookie possono essere raggruppati in categorie omogenee, ovvero non è necessario elencare dettagliatamente tutti i cookie presenti, ma solo di quali tipi si tratta, ma le terze parti devono invece essere elencate specificamente e raggiungibili attraverso specifici link. Per i cookie analitici, dovranno essere presenti le istruzioni, suddivise per i vari browser, per disattivarli in autonomia.

Infine, ricordiamo che i consensi acquisiti prima dell’entrata in vigore delle nuove linee guida restano validi, ma solo se conformi alle caratteristiche richieste dal GDPR per la loro acquisizione.

Poiché sarà necessario documentarli, una gestione del back-end del sito adeguata e conforme dovrà necessariamente diventare parte integrante della politica di gestione dei dati di qualsiasi azienda.

Consigliamo il volume:

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Si è laureata a pieni voti all’Università di Torino, ha studiato in Francia e negli Stati Uniti e da quindici anni svolge la professione di avvocato. Mediatore professionista e docente presso Master e corsi specialistici in materia di mediazione, dal 2012 si occupa esclusivamente di privacy e protezione di dati personali. Ha conseguito il Master Federprivacy nel 2016, è DPO in una ventina di Comuni ed Enti Pubblici in Piemonte e consulente privacy per aziende in ambito sanitario e tecnologico.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it