Cookie: Linee Guida Garante Giugno 2021 2022

Il 10 gennaio 2022 entreranno in vigore delle nuove linee guida del Garante Privacy in tema di Cookie.

Le linee guida richiamano ad una corretta applicazione del GDPR nella fase di acquisizione del consenso espresso dell’utente all’installazione dei cookie o all’impiego di altri strumenti di tracciamento affini. Come consuetudine, i consensi già raccolti (se conformi alle caratteristiche richieste dal Regolamento Europeo 679/2016 o GDPR) potranno essere ritenuti validi a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque debitamente documentabili, anche mediante evidenze informatiche.

Vediamo in questo articolo quali sono le novità per capire cos’è cambiato e come adeguarsi ai requisiti richiesti: a tal fine, partiamo ricostruendo il quadro normativo attuale, successivamente analizziamo nel dettaglio le nuove linee guida. Dividiamo l’articolo in 2 sezioni:

In fondo all’articolo trovate una sezione con tutte le fonti e i link ufficiali al sito del Garante.

 

Che cosa sono i Cookie

I cookie, letteralmente “biscottini“, sono piccoli file di testo inviati sul computer dell’utente che sta visitando un sito web: memorizzano diverse tipologie di informazioni come la localizzazione, il device da cui è collegato, il browser che usa, le preferenze di navigazione, etc.

In origine sono nati come strumenti per migliorare la navigazione dell’utente, poiché memorizzavano informazioni come l’ultima lingua scelta o le preferenze sull’aspetto grafico, per riproporle al successivo accesso. Con il passare del tempo, i cookie iniziano ad essere usati per identificare, riconoscere e classificare il visitatore memorizzando le sue abitudini e scelte personali, utilizzando queste informazioni per tracciarne un profilo e proporre annunci personalizzati aderenti ai gusti dell’utente.

Possiamo catalogare i cookie e le tecnologie di tracciamento affini in 3 macro-categorie:

 

TIPIFINALITÀ
Cookie Tecnicistrettamente necessari al funzionamento e alla fruizione del servizio web, consentono una normale navigazione del sito salvando le preferenze dell’utente
Cookie Analiticiutilizzati al fine di raccogliere informazioni statistiche sugli utenti che accedono al sito e alle pagine che visitano, in forma aggregata o meno
Cookie Profilantiservono a delineare il profilo di un’utente per inviargli pubblicità mirata

 

Per saperne di più, leggi l'articolo Cosa sono i Cookie: tecnici, statistici e profilanti.

 

Come gestire correttamente i Cookie sul sito

Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici).

Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie valutando con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:  

 

STRUMENTOA COSA SERVE
Cookie BannerInformativa breve
Cookie PolicyInformativa estesa
Cookie ConsentAcquisizione del consenso ai cookie
Prova del consenso Prova documentale del consenso

Cookie Banner e Cookie Policy rappresentano le informative all'uso dei dati, e devono rispondere a requisiti specifici: per saperne di più, leggi l'articolo Cosa scrivere nell'informativa: Cookie Banner e Cookie Policy. Nel caso il sito web utilizzi anche cookie diversi dai soli cookie tecnici, le sole informative non sono sufficienti e sarà necessario integrare un sistema di Cookie Consent, ovvero un sistema per l'acquisizione di un consenso che possa essere ritenuto valido e documentato: per saperne di più, leggi l'articolo Cookie: consenso valido e prova del consenso.

 

 

La Normativa sui Cookie

L’attuale normativa italiana in tema di privacy e cookie è il risultato di un percorso legislativo partito nel 2002, composto da norme e disposizioni europee centrate sul tema del trattamento e della protezione dei dati personali: alcune tipologie di cookie (quando non sono cookie di natura solamente tecnica) possono infatti individuare l’utente web. Essi rappresentano quindi delle particolari categorie di dati personali online e come tali vanno trattati.

L’entrata in vigore del Regolamento Europeo 679/2016 o GDPR (norma self-executing che definisce a livello europeo i principi da applicare per una gestione corretta e lecita dei dati personali delle persone fisiche) ha portato una modifica sostanziale delle condizioni di validità per l’acquisizione del consenso al trattamento dei dati, che per essere considerato valido deve essere acquisito per singola tipologia di trattamento (non può essere più esteso) e deve essere documentato. Questo ha un impatto importante sul tema della gestione dei cookies e delle tecnologie affini.

In generale, le più grosse novità introdotte dal GDPR e aventi effetti diretti sull’uso dei cookie e altri strumenti di tracciamento possono essere riassunte in 4 punti essenziali:

  • Informativa integrata con finalità, soggetti terzi e tempi di conservazione
  • Consenso rafforzato e granulare (che deve essere “inequivocabile”)
  • Principi di privacy by design e privacy by default
  • Accountability (Responsabilizzazione Documentata)

Il quadro giuridico di riferimento, ad oggi, è costituito disposizioni della Direttiva 2002/58/CE (ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy) quanto dal Regolamento UE 679/2016 (GDPR)  (per ciò che concerne specificamente la nozione di consenso di cui all’Art. 4 al punto 11, Art. 7 e al Considerando 32)), come da ultimo interpretati dalle Linee guida elaborate dal Gruppo Art. 29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la protezione dei dati (EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.

Il Regolamento Europeo 679/2016 si compone di 99 articoli e 173 considerando (che aiutano a capire meglio il testo dei 99 articoli). Essendo un regolamento europeo è un atto legislativo vincolante per tutti gli stati membri dell’Unione Europea, nel caso specifico dal 25 maggio 2018. Per sua natura, il regolamento ha una portata generale nel senso che disciplina delle situazioni astratte, motivo per cui può avere il medesimo ambito di applicazione in tutti i territori dei diversi Stati membri, che non possono unilateralmente fare un’applicazione incompleta o selettiva né adottare provvedimenti interni volti a limitarne l’applicazione.

Il Comitato europeo per la protezione dei dati (EDPB)  è il principale organo supervisore del GDPR in Europa, con la responsabilità di indirizzare le autorità nazionali per la protezione dei dati di ciascun Paese dell’UE in merito alle modalità di applicazione dei principi del GDPR.

 

Per saperne di più, leggi l'articolo Cookie e GDPR.

 

GDPR e nuove Linee Guida

Il GDPR espone i principi ma non indica espressamente le regole da applicare al sito web. Per questo motivo, le autorità europee e nazionali preposte alla protezione dei dati hanno più volte allineato le loro disposizioni sui cookie, fornendo nel tempo linee guida, chiarimenti e Faq che descrivono come rendere le applicazioni web idonee ai requisiti del GDPR.

Tuttavia, la messa in pratica dei principi dettati dal GDPR in questi anni è risultata piuttosto controversa, e si è assistito a moltissimi casi di interpretazioni ed applicazioni errate della normativa. Da un lato, un’enorme moltitudine di siti web di piccole dimensioni si limitavano a visualizzare dei cookie banner senza possibilità di esprimere un consenso granulare per finalità di trattamento, oppure proponevano banner con caselle preselezionate e spesso senza un’adeguata implementazione tecnica per l’acquisizione reale del consenso (in altre parole, fornivano in apparenza un cookie consent ma tecnicamente scaricavano subito i cookie prima dell’avvenuto consenso). Dall’altro lato, siti più strutturati hanno implementato sistemi di cookie consent più adeguati ai principi della normativa ma troppo invasivi per via della continua ripetizione dello stesso banner, risultando così manipolatori, nel tentativo di forzare l’acquisizione di un consenso laddove non precedente fornito. Quest’ultimo è il caso di molti grossi siti che vivono di pubblicità e advertising, dove acquisire il consenso dell’utente alla profilazione è fondamentale e, per ottenerlo, riproponevano il cookie banner ad ogni accesso al sito (benché già dal 2015 il Garante italiano avesse indicato di non riproporre nuovamente lo stesso banner ogni volta alle successive visite dell’utente).

Per risolvere queste e altre irregolarità, le nuove linee guida formalizzano delle regole di comportamento, con il fine di ripristinare una corretta applicazione di principi della GDPR in tema di cookie.

 

 

Le nuove Linee Guida dal 10 gennaio 2022

L’esigenza di un nuovo intervento da parte del Garante sul tema cookie nasce –  dopo un lungo intervallo di tempo – per armonizzare le novità normative intervenute a livello europeo e rispondere ai numerosi reclami, segnalazioni e richieste di pareri, in particolare sulla operatività delle imprese e dei fornitori di servizi di comunicazione elettronica.

Il documento completo con le Linee guida cookie e altri strumenti di tracciamento (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021) è stato ufficializzato il 10 giugno 2021 e, in considerazione della potenziale complessità di eventuali adeguamenti dei sistemi e dei trattamenti già in atto, il Garante ha reputato congruo individuare un termine pari a 6 mesi dal momento della sua pubblicazione in Gazzetta Ufficiale, entro il quale i soggetti tenuti dovranno conformarvisi. Il termine è quindi fissato al 10 gennaio 2022.

Le linee guida contengono le indicazioni per la corretta applicazione del GDPR ai cookie.

 

Sintesi delle Linee Guida Cookie

Vediamo quali sono le indicazioni specificate nelle linee guida.

 

GUIDELINEINDICAZIONE DEL GARANTERAPPRESENTA
Consenso esplicitoUnica base giuridica per il trattamento dei Cookie(Chiarimento)
Cookie Wall illecitiNon sono più ammessi e sono considerati illeciti(Novità)
Banner più chiariNon devono indurre l’utente a scelte inconsapevoli(Regola)
Banner meno invasiviNon richiedere più volte un consenso già fornito o negato(Regola)
ScrollingDa solo, non è più una manifestazione di consenso valida(Novità)
Modifica del consenso datoRendere il consenso modificabile da ogni pagina del sito(Chiarimento)
Cookie PolicyRenderla più chiara, completa e aderente al GDPR(Chiarimento)
Cookie AnaliticiQuando sono equiparabili a cookie tecnici(Chiarimento)

 

 

Consenso: base giuridica di trattamento per i Cookie

L’interesse legittimo non costituisce una base giuridica valida per i cookie: l’unica base giuridica rimane il consenso. Nelle Linee Guida viene effettuata una ricostruzione normativa dalla quale si trae questa prima, importante conclusione:

La disciplina applicata alla gestione dei cookie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato.

In nessun caso sarà pertanto possibile invocare, ad esempio, la discriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento (come è stato invece osservato nella pratica e nel corso delle verifiche effettuate dall’autorità su diversi siti web) .

 

Cookie Wall non più ammessi

Con il termine “cookie wall” s’intende una sorta di barriera che blocca l’accesso ai contenuto del sito all’utente che non acconsente all’uso dei cookie. Il Garante lo definisce un meccanismo vincolante (“take it or leave it”) dove l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie e altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.

Il Garante ha dichiarato i cookie wall illeciti (salva l’ipotesi, da verificare caso per caso, nella quale il sito offra all’interessato, che non presta il proprio consenso, la possibilità di accedere ad un contenuto o a un servizio equivalenti) in quanto contrario al requisito di libertà del consenso (GDPR Art. 4 punto 11) secondo il quale il consenso deve essere espresso liberamente dall’utente.

 

L’utente che accede per la prima volta a una qualsiasi pagina del sito deve visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al contenuto del sito. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare, ovvero lasciare all’utente la possibilità di dare o meno il consenso a diverse categorie di cookie.

Il Cookie Banner, contenete l’informativa breve, deve soddisfare alcuni requisiti:

  • Adeguatezza delle dimensioni
  • Rifiuto o Accettazione sullo stesso piano
  • Consenso Granulare
  • Link alla Cookie Policy completa

 

L’adeguatezza delle dimensioni del banner deve essere valutata in relazione ai diversi dispositivi e anche in relazione alle dimensioni dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e inconsapevole. Entrando più nello specifico, il Garante della privacy suggerisce l’adozione di un modello del cookie banner che ai fini dell’acquisizione del consenso dovrà contenere:

  • il testo dell’informativa breve che riporta l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento, indicandone le relative finalità; in altre parole, l’informativa minima deve avvisare sin da subito che il sito utilizza cookie o altri strumenti tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente (con modalità indicate sempre nella stessa informativa breve) utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari e/o di modulare la fornitura del servizio in modo personalizzato e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web;
  • il comando per accettare l’uso di tutti i cookie o di eventuali altri sistemi di tracciamento (pulsante ACCETTA);
  • il comando per chiudere il banner senza prestare il consenso, tramite una X in alto a destra e/o un pulsante di rifiuto, con l’avvertenza che la chiusura del banner mediante selezione della stessa X comporta la navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
  • il link ad un’altra area dedicata nella quale poter scegliere in modo analitico le funzionalità (consenso granulare), le terze parti e i cookie (anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire) che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.
  • il link alla privacy policy contenente l’informativa completa

 

Sul rifiuto all’uso dei cookie non-tecnici, riprendendo una parte delle Linee Guida in esame, che citano  testualmente:  Qualora l’utente scegliesse, com’è nella sua piena disponibilità, di mantenere quelle impostazioni di default (ndr con “impostazioni di default” s’intende il solo scarico dei cookie tecnici, necessaria al funzionamento di base) e dunque di non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe dunque limitarsi a chiudere il banner mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate. Tale comando dovrà avere una evidenza grafica pari a quella degli ulteriori comandi o pulsanti negoziali idonei ad esprimere le altre scelte nella disponibilità dell’utente, di cui si dirà in appresso. Le modalità di prosecuzione nella navigazione senza prestare alcun consenso dovranno, in altre parole, essere immediate, usabili e accessibili quanto quelle previste per la prestazione del consenso.

 

 

Riportiamo di seguito un esempio di banner cookie presente sul nostro sito:

Esempio Banner Cookie

Esempio Banner Cookie

All’informativa breve seguono i pulsanti (tutti della stessa stessa grandezza) che permettono di:

  • Effettuare il rifiuto all’uso dei cookie di natura non tecnica (tramite Usa solo cookie tecnici)
  • Esprimere il consenso all’uso di tutti i cookie (tramite Accetta tutti i cookie)
  • Personalizzare la scelta esprimendo un consenso granulare (tramite il pulsante Personalizza Preferenze)

È possibile visualizzare la cookie policy completa cliccando su Informazioni sui Cookie.

 

 

Sempre in riferimento alle modalità di acquisizione del consenso, il Garante ha sottolineato che richiedere il consenso ad ogni nuovo accesso agli utenti, che in precedenza l’hanno negato, è una misura invasiva. La possibilità di richiedere il consenso può avvenire solo in tre casi:

  • le condizioni del consenso sono cambiate (per esempio sono stati aggiunti dei nuovi servizi di terza parte)
  • risulti impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo (per esempio, l’utente cancella i cookie nel proprio dispositivo e il titolare non ha modo di tenere traccia della scelta precedente)
  • sono passati più di 6 mesi dalla precedente presentazione del banner

Questa misura si è resa necessaria in seguito al comportamento messo in pratica da molti siti web, che ripresentano in modo ridondante e invasivo il cookie banner ad ogni nuovo accesso dell’utente al medesimo sito, anche quando quest’ultimo avesse già liberamente scelto ed espresso la sua preferenza (ad esempio, di non prestare il consenso). L’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso rappresenta quindi una forzatura: laddove l’utente l’abbia in precedenza negato il consenso, ne lede la libertà inducendolo a prestarlo pur di proseguire nella navigazione.

In questo contesto, quando l’utente decida di mantenere le così dette “impostazioni di default” ovvero acconsenta ai soli cookie tecnici e dunque non acconsenta all’impiego di altri sistemi di tracciamento, così come nel caso in cui abbia già acconsentito solo all’impiego di alcuni cookie, tale scelta dovrà essere debitamente registrata in un cookie tecnico e la prestazione del consenso non più nuovamente sollecitata, se non in uno dei casi sopra citati.

 

Scrolling e consenso ai Cookie

Con il termine “scrolling” s’intende lo scorrimento della pagina, dopo aver visualizzato il cookie banner. Con le nuove disposizioni, lo scrolling, da solo, non è più una manifestazione di consenso valida.

Nelle linee guida del 10 giugno 2021 il Garante della Privacy ha definito lo scrolling di per sé inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento, salva la sola ipotesi in cui venga inserito in un processo più articolato. Lo scrolling può essere considerato valido solo se interviene e costituisce una delle componenti di un più articolato processo di acquisizione del consenso, dove viene gestito un preciso pattern che consente all’utente di segnalare la sua scelta come inequivoca e consapevole, e che tale scelta sia al tempo stesso registrabile e documentabile.

Nel caso contrario, quando il semplice scroll dell’utente non possa essere collegato ad un’azione consapevole e ad un evento informatico inequivoco e documentabile, allora in nessun modo sarà possibile attribuire a tale azione la validità del consenso: in questi casi, non sarà più possibile raccogliere il consenso dell’utente tramite una semplice interazione ma per ottenere un consenso valido sarà necessario che l’utente clicchi sul pulsante “Accetta”.

 

Modifica del consenso all’uso dei cookie

Nelle Linee guida aggiornate, il Garante ha elencato e riconfermato gli elementi necessari per rendere un’informativa completa e corretta dei cookie, sottolineando l’importanza di rendere accessibile il pannello delle preferenze e la cookie policy da ogni pagina per permettere all’utente di modificare in qualsiasi momento il consenso e le preferenze.

Una soluzione potrebbe essere quella di inserire nel footer di qualsiasi pagina del dominio il link alla cookie policy.

 

Per saperne di più, leggi l'articolo Cookie Consent e prova del consenso.

 

Cookie Policy e informativa più chiara e completa

Per quanto riguarda in particolare l’informativa estesa (Cookie Policy), il Garante indica alcuni miglioramenti che i titolari potranno adottare al fine di rendere agli utenti una informativa conforme ai rinnovati requisiti di trasparenza imposti dagli Art 12 e 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali ed i tempi di conservazione delle informazioni acquisite.

È inoltre necessario fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’Autorità di controllo.

In generale, ogni informativa deve :

  • usare un linguaggio semplice ed accessibile;
  • essere fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari;
  • essere anche in modalità multilayer (cioè dislocata su più livelli affinché possa essere resa in relazione a specifiche necessità)
  • essere anche in modalità multichannel (cioè dislocata su più canali);
  • L’informativa completa (Cookie Policy) deve quindi includere gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento.

Sarà allora onere del titolare, cui è rimessa la scelta in ordine alla modalità ovvero all’impiego combinato delle modalità ritenute più idonee, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti imposti dal Regolamento.

Nel caso di utenti provvisti di account (cd. utenti autenticati),  è fatto divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi, se non previo consenso e specificandolo adeguatamente nelle informative.

 

Per saperne di più, leggi l'articolo Cookie Policy e Cookie Banner.

 

Cookie Analitici di prima parte e terza parte

Secondo le indicazioni del Garante Italiano, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente, quando equiparabili ai cookie tecnici. Anche i cookie statistici di terza parte, quando vengono opportunamente minimizzati e utilizzati per meri fini statistici, possono essere assimilati a cookie tecnici.

In questi casi quindi, possono essere installati senza il consenso dell’utente ma solo a determinate condizioni.

Tali condizioni sono le seguenti.

Se il cookie analitico è di prima parte e:

  1. Viene utilizzato unicamente per produrre statistiche interne (aggregate o con dati in chiaro, nel rispetto del vincolo di finalità) relative ad un singolo sito o una sola applicazione mobile, oppure relative a più domini, siti web o app riconducibili però sempre allo stesso titolare (prima parte).

Se il cookie analitico è di terza parte e:

  • Viene utilizzato unicamente per produrre statistiche aggregate in relazione ad un singolo sito o una sola applicazione mobile
  • Viene minimizzato (mascherandone almeno la quarta componente dell’indirizzo IP)
  • I dati raccolti non sono condivisi o comunicati a terzi
  • I dati raccolti non sono combinati con altri dati

Le terze parti devono quindi elaborare statistiche aggregate e si devono astenere dal combinare i cookie di analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche (con dati sempre minimizzati) relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale.

Le nuove misure si allineano alle disposizioni dell’Art. 25, paragrafo 1, del Regolamento in materia di privacy by design, tali da “attuare in modo efficace i principi di protezione dei dati”:  obiettivo conseguibile attraverso il ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti“.

 

Per saperne di più, leggi l'articolo Cosa sono i Cookie di Analytics .

 

Conclusioni

Nella stesura di questo articolo abbiamo cercato di integrare più fonti: dalle fonti normative a quanto riportato nelle nuove linee guida, da informazioni descritte in nostri precedenti articoli alla nostra esperienza sul campo. Concludiamo questa trattazione riportando quanto descritto al paragrafo 8.2 delle nuove linee guida, che parlano della necessità di una integrazione delle informazioni da comunicare agli utenti.

La pratica operativa degli ultimi anni ha evidenziato come il sistema difetti di un elemento di cruciale rilievo, specie a fini di enforcement.

Ci si riferisce al fatto che non esiste ancora, ad oggi, un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analytics o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy.

È stato riscontrato, inoltre, che le interrogazioni e le verifiche circa il posizionamento di cookie da parte di uno specifico sito web possono avere esiti diversi a seconda del browser considerato.

In tale situazione, e con l’auspicio che si addivenga in tempi rapidi ad una codifica di carattere generale, tanto più importante specie nell’attuale mondo connesso online, nel quale le distanze geografiche perdono rilevanza a fronte delle sempre più accentuate potenzialità della rete, il Garante intende richiamare i titolari che facciano impiego di tali strumenti alla necessità di rendere manifesti, mediante apposita, opportuna integrazione dell’informativa, almeno i criteri di codifica degli identificatori adottati da ciascuno. In alternativa, i titolari potranno valutare di posizionare tale codifica anche all’interno della privacy policy.

Tali criteri potranno, inoltre, a richiesta, costituire oggetto di comunicazione all’Autorità, quale strumento di ausilio alle attività di carattere istruttorio che saranno intraprese con riguardo al fenomeno in considerazione.

 

Consulenza GDPR per l'adeguamento ai cookie

In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.

Contattaci per saperne di più.

 

Guide alla gestione dei Cookie sul nostro sito 

 

Fonti Articolo

Fonti ufficiali e altri articoli di riferimento

Linee guida cookie e altri strumenti di tracciamento
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 [9677876]

Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016

Sito del Garante Italiano: are dedicata ai cookie
Cookie e privacy: istruzioni per l´uso

Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante

Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)

Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679

 

Contattaci per saperne di più

Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.