Il 10 gennaio 2022 entreranno in vigore delle nuove linee guida del Garante Privacy in tema di Cookie.
Le linee guida richiamano ad una corretta applicazione del GDPR nella fase di acquisizione del consenso espresso dell’utente all’installazione dei cookie o all’impiego di altri strumenti di tracciamento affini. Come consuetudine, i consensi già raccolti (se conformi alle caratteristiche richieste dal Regolamento Europeo 679/2016 o GDPR) potranno essere ritenuti validi a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque debitamente documentabili, anche mediante evidenze informatiche.
Vediamo in questo articolo quali sono le novità per capire cos’è cambiato e come adeguarsi ai requisiti richiesti: a tal fine, partiamo ricostruendo il quadro normativo attuale, successivamente analizziamo nel dettaglio le nuove linee guida. Dividiamo l’articolo in 2 sezioni:
In fondo all’articolo trovate una sezione con tutte le fonti e i link ufficiali al sito del Garante.
Che cosa sono i Cookie
I cookie, letteralmente “biscottini“, sono piccoli file di testo inviati sul computer dell’utente che sta visitando un sito web: memorizzano diverse tipologie di informazioni come la localizzazione, il device da cui è collegato, il browser che usa, le preferenze di navigazione, etc.
In origine sono nati come strumenti per migliorare la navigazione dell’utente, poiché memorizzavano informazioni come l’ultima lingua scelta o le preferenze sull’aspetto grafico, per riproporle al successivo accesso. Con il passare del tempo, i cookie iniziano ad essere usati per identificare, riconoscere e classificare il visitatore memorizzando le sue abitudini e scelte personali, utilizzando queste informazioni per tracciarne un profilo e proporre annunci personalizzati aderenti ai gusti dell’utente.
Possiamo catalogare i cookie e le tecnologie di tracciamento affini in 3 macro-categorie:
| TIPI | FINALITÀ |
|---|---|
| Cookie Tecnici | strettamente necessari al funzionamento e alla fruizione del servizio web, consentono una normale navigazione del sito salvando le preferenze dell’utente |
| Cookie Analitici | utilizzati al fine di raccogliere informazioni statistiche sugli utenti che accedono al sito e alle pagine che visitano, in forma aggregata o meno |
| Cookie Profilanti | servono a delineare il profilo di un’utente per inviargli pubblicità mirata |
Come gestire correttamente i Cookie sul sito
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici).
Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie valutando con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
| STRUMENTO | A COSA SERVE |
|---|---|
| Cookie Banner | Informativa breve |
| Cookie Policy | Informativa estesa |
| Cookie Consent | Acquisizione del consenso ai cookie |
| Prova del consenso | Prova documentale del consenso |
Cookie Banner e Cookie Policy rappresentano le informative all'uso dei dati, e devono rispondere a requisiti specifici: per saperne di più, leggi l'articolo Cosa scrivere nell'informativa: Cookie Banner e Cookie Policy. Nel caso il sito web utilizzi anche cookie diversi dai soli cookie tecnici, le sole informative non sono sufficienti e sarà necessario integrare un sistema di Cookie Consent, ovvero un sistema per l'acquisizione di un consenso che possa essere ritenuto valido e documentato: per saperne di più, leggi l'articolo Cookie: consenso valido e prova del consenso.
La Normativa sui Cookie
L’attuale normativa italiana in tema di privacy e cookie è il risultato di un percorso legislativo partito nel 2002, composto da norme e disposizioni europee centrate sul tema del trattamento e della protezione dei dati personali: alcune tipologie di cookie (quando non sono cookie di natura solamente tecnica) possono infatti individuare l’utente web. Essi rappresentano quindi delle particolari categorie di dati personali online e come tali vanno trattati.
L’entrata in vigore del Regolamento Europeo 679/2016 o GDPR (norma self-executing che definisce a livello europeo i principi da applicare per una gestione corretta e lecita dei dati personali delle persone fisiche) ha portato una modifica sostanziale delle condizioni di validità per l’acquisizione del consenso al trattamento dei dati, che per essere considerato valido deve essere acquisito per singola tipologia di trattamento (non può essere più esteso) e deve essere documentato. Questo ha un impatto importante sul tema della gestione dei cookies e delle tecnologie affini.
In generale, le più grosse novità introdotte dal GDPR e aventi effetti diretti sull’uso dei cookie e altri strumenti di tracciamento possono essere riassunte in 4 punti essenziali:
- Informativa integrata con finalità, soggetti terzi e tempi di conservazione
- Consenso rafforzato e granulare (che deve essere “inequivocabile”)
- Principi di privacy by design e privacy by default
- Accountability (Responsabilizzazione Documentata)
Approfondimento: Quadro giuridico di riferimento sulla gestione dei Cookie ...
Il quadro giuridico di riferimento, ad oggi, è costituito disposizioni della Direttiva 2002/58/CE (ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy) quanto dal Regolamento UE 679/2016 (GDPR) (per ciò che concerne specificamente la nozione di consenso di cui all’Art. 4 al punto 11, Art. 7 e al Considerando 32)), come da ultimo interpretati dalle Linee guida elaborate dal Gruppo Art. 29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la protezione dei dati (EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.
Il Regolamento Europeo 679/2016 si compone di 99 articoli e 173 considerando (che aiutano a capire meglio il testo dei 99 articoli). Essendo un regolamento europeo è un atto legislativo vincolante per tutti gli stati membri dell’Unione Europea, nel caso specifico dal 25 maggio 2018. Per sua natura, il regolamento ha una portata generale nel senso che disciplina delle situazioni astratte, motivo per cui può avere il medesimo ambito di applicazione in tutti i territori dei diversi Stati membri, che non possono unilateralmente fare un’applicazione incompleta o selettiva né adottare provvedimenti interni volti a limitarne l’applicazione.
Il Comitato europeo per la protezione dei dati (EDPB) è il principale organo supervisore del GDPR in Europa, con la responsabilità di indirizzare le autorità nazionali per la protezione dei dati di ciascun Paese dell’UE in merito alle modalità di applicazione dei principi del GDPR.
GDPR e nuove Linee Guida
Il GDPR espone i principi ma non indica espressamente le regole da applicare al sito web. Per questo motivo, le autorità europee e nazionali preposte alla protezione dei dati hanno più volte allineato le loro disposizioni sui cookie, fornendo nel tempo linee guida, chiarimenti e Faq che descrivono come rendere le applicazioni web idonee ai requisiti del GDPR.
Tuttavia, la messa in pratica dei principi dettati dal GDPR in questi anni è risultata piuttosto controversa, e si è assistito a moltissimi casi di interpretazioni ed applicazioni errate della normativa. Da un lato, un’enorme moltitudine di siti web di piccole dimensioni si limitavano a visualizzare dei cookie banner senza possibilità di esprimere un consenso granulare per finalità di trattamento, oppure proponevano banner con caselle preselezionate e spesso senza un’adeguata implementazione tecnica per l’acquisizione reale del consenso (in altre parole, fornivano in apparenza un cookie consent ma tecnicamente scaricavano subito i cookie prima dell’avvenuto consenso). Dall’altro lato, siti più strutturati hanno implementato sistemi di cookie consent più adeguati ai principi della normativa ma troppo invasivi per via della continua ripetizione dello stesso banner, risultando così manipolatori, nel tentativo di forzare l’acquisizione di un consenso laddove non precedente fornito. Quest’ultimo è il caso di molti grossi siti che vivono di pubblicità e advertising, dove acquisire il consenso dell’utente alla profilazione è fondamentale e, per ottenerlo, riproponevano il cookie banner ad ogni accesso al sito (benché già dal 2015 il Garante italiano avesse indicato di non riproporre nuovamente lo stesso banner ogni volta alle successive visite dell’utente).
Per risolvere queste e altre irregolarità, le nuove linee guida formalizzano delle regole di comportamento, con il fine di ripristinare una corretta applicazione di principi della GDPR in tema di cookie.
Le nuove Linee Guida dal 10 gennaio 2022
L’esigenza di un nuovo intervento da parte del Garante sul tema cookie nasce – dopo un lungo intervallo di tempo – per armonizzare le novità normative intervenute a livello europeo e rispondere ai numerosi reclami, segnalazioni e richieste di pareri, in particolare sulla operatività delle imprese e dei fornitori di servizi di comunicazione elettronica.
Il documento completo con le Linee guida cookie e altri strumenti di tracciamento (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021) è stato ufficializzato il 10 giugno 2021 e, in considerazione della potenziale complessità di eventuali adeguamenti dei sistemi e dei trattamenti già in atto, il Garante ha reputato congruo individuare un termine pari a 6 mesi dal momento della sua pubblicazione in Gazzetta Ufficiale, entro il quale i soggetti tenuti dovranno conformarvisi. Il termine è quindi fissato al 10 gennaio 2022.
Le linee guida contengono le indicazioni per la corretta applicazione del GDPR ai cookie.
Sintesi delle Linee Guida Cookie
Vediamo quali sono le indicazioni specificate nelle linee guida.
| GUIDELINE | INDICAZIONE DEL GARANTE | RAPPRESENTA |
|---|---|---|
| Consenso esplicito | Unica base giuridica per il trattamento dei Cookie | (Chiarimento) |
| Cookie Wall illeciti | Non sono più ammessi e sono considerati illeciti | (Novità) |
| Banner più chiari | Non devono indurre l’utente a scelte inconsapevoli | (Regola) |
| Banner meno invasivi | Non richiedere più volte un consenso già fornito o negato | (Regola) |
| Scrolling | Da solo, non è più una manifestazione di consenso valida | (Novità) |
| Modifica del consenso dato | Rendere il consenso modificabile da ogni pagina del sito | (Chiarimento) |
| Cookie Policy | Renderla più chiara, completa e aderente al GDPR | (Chiarimento) |
| Cookie Analitici | Quando sono equiparabili a cookie tecnici | (Chiarimento) |
Consenso: base giuridica di trattamento per i Cookie
L’interesse legittimo non costituisce una base giuridica valida per i cookie: l’unica base giuridica rimane il consenso. Nelle Linee Guida viene effettuata una ricostruzione normativa dalla quale si trae questa prima, importante conclusione:
La disciplina applicata alla gestione dei cookie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato.
In nessun caso sarà pertanto possibile invocare, ad esempio, la discriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento (come è stato invece osservato nella pratica e nel corso delle verifiche effettuate dall’autorità su diversi siti web) .
Cookie Wall non più ammessi
Con il termine “cookie wall” s’intende una sorta di barriera che blocca l’accesso ai contenuto del sito all’utente che non acconsente all’uso dei cookie. Il Garante lo definisce un meccanismo vincolante (“take it or leave it”) dove l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie e altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
Il Garante ha dichiarato i cookie wall illeciti (salva l’ipotesi, da verificare caso per caso, nella quale il sito offra all’interessato, che non presta il proprio consenso, la possibilità di accedere ad un contenuto o a un servizio equivalenti) in quanto contrario al requisito di libertà del consenso (GDPR Art. 4 punto 11) secondo il quale il consenso deve essere espresso liberamente dall’utente.
Cookie Banner, rifiuto e consenso granulare
L’utente che accede per la prima volta a una qualsiasi pagina del sito deve visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al contenuto del sito. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare, ovvero lasciare all’utente la possibilità di dare o meno il consenso a diverse categorie di cookie.
Il Cookie Banner, contenete l’informativa breve, deve soddisfare alcuni requisiti:
- Adeguatezza delle dimensioni
- Rifiuto o Accettazione sullo stesso piano
- Consenso Granulare
- Link alla Cookie Policy completa
L’adeguatezza delle dimensioni del banner deve essere valutata in relazione ai diversi dispositivi e anche in relazione alle dimensioni dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e inconsapevole. Entrando più nello specifico, il Garante della privacy suggerisce l’adozione di un modello del cookie banner che ai fini dell’acquisizione del consenso dovrà contenere:
- il testo dell’informativa breve che riporta l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento, indicandone le relative finalità; in altre parole, l’informativa minima deve avvisare sin da subito che il sito utilizza cookie o altri strumenti tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente (con modalità indicate sempre nella stessa informativa breve) utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari e/o di modulare la fornitura del servizio in modo personalizzato e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web;
- il comando per accettare l’uso di tutti i cookie o di eventuali altri sistemi di tracciamento (pulsante ACCETTA);
- il comando per chiudere il banner senza prestare il consenso, tramite una X in alto a destra e/o un pulsante di rifiuto, con l’avvertenza che la chiusura del banner mediante selezione della stessa X comporta la navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
- il link ad un’altra area dedicata nella quale poter scegliere in modo analitico le funzionalità (consenso granulare), le terze parti e i cookie (anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire) che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.
- il link alla privacy policy contenente l’informativa completa
Sul rifiuto all’uso dei cookie non-tecnici, riprendendo una parte delle Linee Guida in esame, che citano testualmente: Qualora l’utente scegliesse, com’è nella sua piena disponibilità, di mantenere quelle impostazioni di default (ndr con “impostazioni di default” s’intende il solo scarico dei cookie tecnici, necessaria al funzionamento di base) e dunque di non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe dunque limitarsi a chiudere il banner mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate. Tale comando dovrà avere una evidenza grafica pari a quella degli ulteriori comandi o pulsanti negoziali idonei ad esprimere le altre scelte nella disponibilità dell’utente, di cui si dirà in appresso. Le modalità di prosecuzione nella navigazione senza prestare alcun consenso dovranno, in altre parole, essere immediate, usabili e accessibili quanto quelle previste per la prestazione del consenso.
Riportiamo di seguito un esempio di banner cookie presente sul nostro sito:
Esempio Banner Cookie
All’informativa breve seguono i pulsanti (tutti della stessa stessa grandezza) che permettono di:
- Effettuare il rifiuto all’uso dei cookie di natura non tecnica (tramite Usa solo cookie tecnici)
- Esprimere il consenso all’uso di tutti i cookie (tramite Accetta tutti i cookie)
- Personalizzare la scelta esprimendo un consenso granulare (tramite il pulsante Personalizza Preferenze)
È possibile visualizzare la cookie policy completa cliccando su Informazioni sui Cookie.
Cookie Banner invasivi per reiterazione della richiesta di consenso
Sempre in riferimento alle modalità di acquisizione del consenso, il Garante ha sottolineato che richiedere il consenso ad ogni nuovo accesso agli utenti, che in precedenza l’hanno negato, è una misura invasiva. La possibilità di richiedere il consenso può avvenire solo in tre casi:
- le condizioni del consenso sono cambiate (per esempio sono stati aggiunti dei nuovi servizi di terza parte)
- risulti impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo (per esempio, l’utente cancella i cookie nel proprio dispositivo e il titolare non ha modo di tenere traccia della scelta precedente)
- sono passati più di 6 mesi dalla precedente presentazione del banner
Questa misura si è resa necessaria in seguito al comportamento messo in pratica da molti siti web, che ripresentano in modo ridondante e invasivo il cookie banner ad ogni nuovo accesso dell’utente al medesimo sito, anche quando quest’ultimo avesse già liberamente scelto ed espresso la sua preferenza (ad esempio, di non prestare il consenso). L’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso rappresenta quindi una forzatura: laddove l’utente l’abbia in precedenza negato il consenso, ne lede la libertà inducendolo a prestarlo pur di proseguire nella navigazione.
In questo contesto, quando l’utente decida di mantenere le così dette “impostazioni di default” ovvero acconsenta ai soli cookie tecnici e dunque non acconsenta all’impiego di altri sistemi di tracciamento, così come nel caso in cui abbia già acconsentito solo all’impiego di alcuni cookie, tale scelta dovrà essere debitamente registrata in un cookie tecnico e la prestazione del consenso non più nuovamente sollecitata, se non in uno dei casi sopra citati.
Scrolling e consenso ai Cookie
Con il termine “scrolling” s’intende lo scorrimento della pagina, dopo aver visualizzato il cookie banner. Con le nuove disposizioni, lo scrolling, da solo, non è più una manifestazione di consenso valida.
Nelle linee guida del 10 giugno 2021 il Garante della Privacy ha definito lo scrolling di per sé inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento, salva la sola ipotesi in cui venga inserito in un processo più articolato. Lo scrolling può essere considerato valido solo se interviene e costituisce una delle componenti di un più articolato processo di acquisizione del consenso, dove viene gestito un preciso pattern che consente all’utente di segnalare la sua scelta come inequivoca e consapevole, e che tale scelta sia al tempo stesso registrabile e documentabile.
Nel caso contrario, quando il semplice scroll dell’utente non possa essere collegato ad un’azione consapevole e ad un evento informatico inequivoco e documentabile, allora in nessun modo sarà possibile attribuire a tale azione la validità del consenso: in questi casi, non sarà più possibile raccogliere il consenso dell’utente tramite una semplice interazione ma per ottenere un consenso valido sarà necessario che l’utente clicchi sul pulsante “Accetta”.
Modifica del consenso all’uso dei cookie
Nelle Linee guida aggiornate, il Garante ha elencato e riconfermato gli elementi necessari per rendere un’informativa completa e corretta dei cookie, sottolineando l’importanza di rendere accessibile il pannello delle preferenze e la cookie policy da ogni pagina per permettere all’utente di modificare in qualsiasi momento il consenso e le preferenze.
Una soluzione potrebbe essere quella di inserire nel footer di qualsiasi pagina del dominio il link alla cookie policy.
Cookie Policy e informativa più chiara e completa
Per quanto riguarda in particolare l’informativa estesa (Cookie Policy), il Garante indica alcuni miglioramenti che i titolari potranno adottare al fine di rendere agli utenti una informativa conforme ai rinnovati requisiti di trasparenza imposti dagli Art 12 e 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali ed i tempi di conservazione delle informazioni acquisite.
È inoltre necessario fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’Autorità di controllo.
In generale, ogni informativa deve :
- usare un linguaggio semplice ed accessibile;
- essere fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari;
- essere anche in modalità multilayer (cioè dislocata su più livelli affinché possa essere resa in relazione a specifiche necessità)
- essere anche in modalità multichannel (cioè dislocata su più canali);
- L’informativa completa (Cookie Policy) deve quindi includere gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento.
Sarà allora onere del titolare, cui è rimessa la scelta in ordine alla modalità ovvero all’impiego combinato delle modalità ritenute più idonee, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti imposti dal Regolamento.
Nel caso di utenti provvisti di account (cd. utenti autenticati), è fatto divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi, se non previo consenso e specificandolo adeguatamente nelle informative.
Cookie Analitici di prima parte e terza parte
Secondo le indicazioni del Garante Italiano, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente, quando equiparabili ai cookie tecnici. Anche i cookie statistici di terza parte, quando vengono opportunamente minimizzati e utilizzati per meri fini statistici, possono essere assimilati a cookie tecnici.
In questi casi quindi, possono essere installati senza il consenso dell’utente ma solo a determinate condizioni.
Tali condizioni sono le seguenti.
Se il cookie analitico è di prima parte e:
- Viene utilizzato unicamente per produrre statistiche interne (aggregate o con dati in chiaro, nel rispetto del vincolo di finalità) relative ad un singolo sito o una sola applicazione mobile, oppure relative a più domini, siti web o app riconducibili però sempre allo stesso titolare (prima parte).
Se il cookie analitico è di terza parte e:
- Viene utilizzato unicamente per produrre statistiche aggregate in relazione ad un singolo sito o una sola applicazione mobile
- Viene minimizzato (mascherandone almeno la quarta componente dell’indirizzo IP)
- I dati raccolti non sono condivisi o comunicati a terzi
- I dati raccolti non sono combinati con altri dati
Le terze parti devono quindi elaborare statistiche aggregate e si devono astenere dal combinare i cookie di analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche (con dati sempre minimizzati) relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale.
Le nuove misure si allineano alle disposizioni dell’Art. 25, paragrafo 1, del Regolamento in materia di privacy by design, tali da “attuare in modo efficace i principi di protezione dei dati”: obiettivo conseguibile attraverso il ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti“.
Conclusioni
Nella stesura di questo articolo abbiamo cercato di integrare più fonti: dalle fonti normative a quanto riportato nelle nuove linee guida, da informazioni descritte in nostri precedenti articoli alla nostra esperienza sul campo. Concludiamo questa trattazione riportando quanto descritto al paragrafo 8.2 delle nuove linee guida, che parlano della necessità di una integrazione delle informazioni da comunicare agli utenti.
La pratica operativa degli ultimi anni ha evidenziato come il sistema difetti di un elemento di cruciale rilievo, specie a fini di enforcement.
Ci si riferisce al fatto che non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analytics o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy.
È stato riscontrato, inoltre, che le interrogazioni e le verifiche circa il posizionamento di cookie da parte di uno specifico sito web possono avere esiti diversi a seconda del browser considerato.
In tale situazione, e con l’auspicio che si addivenga in tempi rapidi ad una codifica di carattere generale, tanto più importante specie nell’attuale mondo connesso online, nel quale le distanze geografiche perdono rilevanza a fronte delle sempre più accentuate potenzialità della rete, il Garante intende richiamare i titolari che facciano impiego di tali strumenti alla necessità di rendere manifesti, mediante apposita, opportuna integrazione dell’informativa, almeno i criteri di codifica degli identificatori adottati da ciascuno. In alternativa, i titolari potranno valutare di posizionare tale codifica anche all’interno della privacy policy.
Tali criteri potranno, inoltre, a richiesta, costituire oggetto di comunicazione all’Autorità, quale strumento di ausilio alle attività di carattere istruttorio che saranno intraprese con riguardo al fenomeno in considerazione.
Consulenza GDPR per l'adeguamento ai cookie
In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.
Contattaci per saperne di più.
Domande e risposte sui cookie:FAQ SUI COOKIE
Cosa sono i Cookie?
"Cosa sono i Cookie?"
Con il termine cookies (letteralmente ‘biscottini‘) si fa riferimento a tracker che collegano utenti e siti web. Il cookie vero è proprio è tipicamente un file di testo inviato sul computer dell’utente che in quel momento sta visitando il sito web. Con lo stesso termine, nel linguaggio comune si fa riferimento anche ad altre tecnologie assimilabili come i web beacon o clear gift, che tracciano gli utenti utilizzando metodologie diverse ma perseguono fini simili. Non tutti i cookie sono uguali e nemmeno le regole che ne autorizzano l’utilizzo. Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche.
A cosa servono i Cookie?
"A cosa servono i Cookie?"
I cookie in origine sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione. Ben presto i cookie iniziarono ad essere utilizzati per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore. In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.
Cosa sono i Cookie tecnici?
"Cosa vuol dire Cookie tecnico?"
I cookie tecnici servono per la navigazione del sito e sono strettamente necessari al funzionamento e alla fruizione dei contenuti in esso presente: ad esempio, per lo scorrimento della pagina, la consultazione dei contenuti, l’erogazione del servizio etc….
Cosa sono i Cookie statistici?
"Cosa vuol dire Cookie analitico o statistico?"
I cookie analitici o statistici vengono utilizzati per raccogliere informazioni utili sul numero degli utenti e su come questi visitano il sito, a fini di analizzarne le performance e migliorarne le prestazioni. Possono assumere un potere profilante se vengono incrociati con altri dati.
Cosa sono i Cookie di profilazione?
"Cosa vuol dire Cookie profilante?"
I cookie profilanti o di marketing sono cookie tipicamente utilizzati per raccogliere informazioni che, incrociate con altri dati, permettono di tracciare un profilo di navigazione dell’utente in modo da proporgli messaggi pubblicitari in linea con i suoi interessi. L’esempio più tipico sono le piattaforme pubblicitarie di terze parti che vendono spazi pubblicitari: per raggiungere questo scopo, queste piattaforme distribuiscono i loro cookie tramite più siti web (un esempio tipico è il pixel di Facebook) e così raccolgono i dati per una pubblicità comportamentale. In generale, un cookie diventa profilante laddove utilizzi le informazioni raccolte per scopi commerciali perseguiti tramite un processo automatizzato. La ragione di ciò è che i cookie che tracciano il comportamento dell'utente potrebbero essere un potenziale rischio per la privacy.
Cosa sono i Cookie di prima parte?
"Cosa vuol dire Cookie di prima parte?"
I Cookie di prima parte sono installati dal sito che l’utente sta visitando e gestiti direttamente dal gestore (editore) dello stesso sito; raccolgono dati che saranno trattati in modo proprietario sui server di quest’ultimo.
Cosa sono i Cookie di terza parte?
"Cosa vuol dire Cookie di terza parte?"
I Cookie di terza parte vengono installati attraverso il sito che l’utente sta visitando ma gestiti da un soggetto diverso dal gestore (editore) dello stesso sito; raccolgono dati che saranno trasmessi e trattati in una piattaforma e/o servizio esterno.
Consenso utente obbligatorio
"È necessario il consenso dell'utente all'installazione dei Cookie?"
Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.
Registro dei consensi
"È obbligatorio tenere un registro dei consensi?"
La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido. La norma chiede di fornire una prova documentale del consenso al rilascio dei cookie di profilazione. Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.
Scrolling e consenso
"È possibile considerare "consenso" lo Scrolling?"
Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida. Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile.
Banner Cookie o informativa breve
"Cos'è e cosa scrivere nel banner cookie?"
L’utente che accede per la prima volta a una qualsiasi pagina del sito dovrà visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al resto del contenuto. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare lasciando la possibilità all’utente di dare o meno un consenso all’uso di ogni singola categoria di cookie. Le dimensioni del banner devono essere adeguate in relazione ai diversi dispositivi e in relazione alle grandezze dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e/o inconsapevole.
Cookie Policy o Informativa estesa
"Cos'è e cosa scrivere nell'informativa estesa?"
L’informativa estesa o Cookie Policy è un'area del sito web che descrive la politica sull'uso dei cookie. Può essere una pagina separata o una sottosezione della Privacy Policy dedicata ai cookie. Deve rispondere ai requisiti di trasparenza imposti dagli Art 12 e 13 del GDPR, e a tal fine deve descrivere la modalità di trattamento dei dati acquisiti tramite cookie visualizzando quali cookie utilizza il sito, le categorie in cui rientrano (finalità di trattamento) e la possibilità di attivare o disattivare determinate categorie di cookie. Questi dati possono essere esposti in una tabella dei cookie che riporta anche la scadenza (tempi di conservazione) e l’origine del cookie, ovvero l'eventuale piattaforma terza cui saranno trasmessi i dati (altri soggetti destinatari dei dati personali). Deve inoltre includere una modalità agevolata per revocare il consenso eventualmente già fornito. Deve essere accessibile sia dal banner breve sia da ogni pagina web: per questo motivo, viene tipicamente inserito il link di richiamo nel footer del sito.
Privacy Policy
"Cos'è la Privacy Policy?"
La Privacy Policy è un documento generale che descrive come un’organizzazione tratta tutti i dati raccolti: oggi, data l’enorme diffusione delle reti e delle tecnologie di connessione, per dati personali s'intendono nome, cognome, telefono o indirizzo email ma anche altri dati come ad esempio l'indirizzo IP, la geolocalizzazione dell'utente, i suoi dati biometrici, etc.... La Privacy Policy si compone di diverse sezioni, tra le quali i riferimenti del titolare e dei responsabili del trattamento dei dati, i diritti degli interessati, la tipologia dei dati trattati, le finalità del trattamento, i destinatari dei dati e altri soggetti terzi, il luogo di conservazione dei dati, i tempi di conservazione, i link per richiedere l’accesso ai dati, la revocare e/o la cancellazione. Descrive quindi come vengono trattate tutte le diverse tipologie di dati personali raccolti dall'azienda, per le diverse finalità.
Differenza tra Privacy Policy e Cookie Policy
"Qual è la differenza tra Privacy Policy e Cookie Policy?"
La Privacy Policy è un documento che descrive le modalità di trattamento di tutti i dati personali raccolti dall’azienda, attraverso o meno il sito Web, includendo dati provenienti da moduli di contatto, registrazioni al sito, registrazioni alla mailing list, acquisti etc... La Cookie Policy è un documento che si attiene specificamente all’uso dei cookie sul sito: può essere una sotto-sezione della Privacy Policy presente sul sito, dedicata ai dati personali raccolti tramite cookie.
Come gestire i Cookie sul sito web?
"Come mettere a norma un sito: GDPR e uso corretto dei Cookie"
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici). Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie, valutando quindi con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
- Cookie Banner
- Cookie Policy
- Cookie Consent
- Prova del consenso
Sito con soli cookie tecnici
"Cosa fare se il sito ha solo cookie tecnici"
Come riportato nelle Linee guida del Garante Privacy ai cookie e altri strumenti di tracciamento (10 giugno 2021): Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.
Sito con cookie statistici
"Cosa fare se il sito ha cookie analitici o statistici?"
Per il Garante italiano, l'adempimento sul sito web varia a seconda se il cookie è di prima parte o di terza parte, e se viene effettuata o meno profilazione. Più nello specifico, se il sito usa:
- cookie statistici di prima parte e non effettua profilazione è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di prima parte ma effettua profilazione è necessario anche il Cookie Consent
- cookie statistici di terza parte anonimizzati e non incrociati con altri dati è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di terza parte non anonimizzati o incrociati con altri dati è necessario anche il Cookie Consent
Sito con cookie profilanti
"Cosa fare se il sito ha cookie profilanti?"
Se il sito usa Cookie Profilanti a fini commerciali, sia di prima parte sia di terza parte, deve avere Cookie Policy, Cookie banner e rilevare sempre il consenso degli utenti tramite un opportuno sistema di Cookie Consent.
Google Analytics e Fingerprint
"Cosa significa Fingerprint?"
Raccogliendo dati con Google Analytics Universal (GA), Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati. Per questo motivo il Garante della Privacy italiano ha dichiarato l'uso di GA illegittimo (se configurato client-side) dopo che già nel 2020 la Corte di Giustizia europea aveva annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa (nota con il nome di sentenza Schrems II) motivata dal fatto che la normativa statunitense non dava le garanzie richieste dal GDPR in termini di sorveglianza governativa su quei dati.
Cookie di terze parti USA
"Quali servizi online pongono il problema del trasferimento dati in USA?"
Oltre a Google Analytics, il problema del tracciamento tramite cookie di terza parte e trasferimento dati in Usa si pone per moltissimi altri servizi online: dalle campagne in remarketing di Google Ads alle campagne Facebook Ads. Il Garante “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali” (ndr: dove per altri servizi analoghi s’intende che effettuano trasferimento in Usa e profilazione dell’utente).
Cosa devi sapere per gestire correttamente i Cookie sul tuo sito web:COME GESTIRE I COOKIE SUL TUO SITO WEB
Tipologie di cookie
Cosa sono i Cookie: tecnici, statistici e profilanti
Cosa sono i Cookie di Analytics
Cosa sono i Cookie di terze parti
Cosa fare sul sito
Come gestire i Cookie sul sito web
Cookie Policy e Cookie Banner
Cookie Consent e prova del consenso
Normative
Cookie e GDPR
Cookie e Linee Guida del Garante Privacy
Google Analytics e GDPR
Fonti Articolo
Fonti ufficiali e altri articoli di riferimento
Linee guida cookie e altri strumenti di tracciamento
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876]
Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016
Sito del Garante Italiano: are dedicata ai cookie
Cookie e privacy: istruzioni per l´uso
Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante
Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)
Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679
Contattaci per saperne di più
Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.
