Cookie, le nuove linee guida del Garante Privacy: novità ed adeguamento

Ma cosa sono i cookie? In estrema sintesi, essi sono dei file immessi sul browser dell’utente quando visita un sito web o utilizza un social network da pc, smartphone o tablet. Ogni cookie contiene/raccoglie diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc.

I cookie poi possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico.

Lo scopo di queste nuove linee guida è quindi quello di aumentare la tutela degli utenti rafforzando il loro potere decisionale circa l’uso dei dati personali raccolti dai cookies.

Le principali novità sono:

Ribadita l’inidoneità del legittimo interesse a fungere da condizione di liceità del trattamento. Richiamando la direttiva e Privacy che non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato.‍

Confermato il meccanismo dell’OPT-IN, laddove all’utente che non esprime alcuna scelta non potrà essere applicato alcun cookie (ad eccezione di quelli meramente tecnici).

Banner

Perché l’utente sia messo in condizione di decidere se accettare o meno l’installazione dei cookie, è necessario che sia adeguatamente informato e possa prestare liberamente e in modo consapevole il proprio consenso.

Solo nel caso in cui il sito utilizzi esclusivamente dei cookie tecnici, non sarà necessaria la predisposizione del banner poiché l’installazione di questi cookie non necessita di consenso.

In questa ipotesi, quindi, sarà obbligatorio e sufficiente indicare nell’home page del sito oppure all’interno dell’informativa privacy che il sito utilizza esclusivamente cookie tecnici.

Invece, il sito che intenda utilizzare dei cookie diversi da quelli tecnici dovrà presentare, alla prima visita da parte dell’utente, un banner di congrue e adeguate dimensioni che non impedisca la consultazione dello stesso e che, per impostazione predefinita, non installi nessun cookie diverso da quelli necessari, né utilizzi alcuna altra tecnica di tracciamento.

Ecco, dunque, che anche i famosi banner che compaiono al momento dell’apertura di una pagina web devono essere interamente rivisti. D’ora in poi infatti dovranno prevedere:

• il tasto “accetta tutti i cookies” (o una formula con significato analogo);
• il tasto “personalizza” (o una formula con significato analogo che quindi permetta all’utente di scegliere quali cookies accettare e quali no);
• la presenza, in alto a destra, della iconica X la quale oltre a chiudere il banner, dovrà equivalere al rifiuto di tutti i cookies (eccezion fatta per quelli tecnici).

Considerato che quindi l’utente è chiamato in ogni caso ad esprimere una scelta, sul footer di ogni pagina web dovrà essere implementato un link che rimandi alla gestione dei consensi relativi ai cookies.

In relazione al suddetto banner però vanno chiariti alcuni aspetti:

• ‍Non è più valido il meccanismo dello scroll down (ossia il semplice spostamento in basso del cursore), quale modalità di espressione del consenso, ma sarà sempre richiesta un’azione da parte dell’utente volta a manifestare in modo univoco la sua volontà;
• Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso al fine di poter proseguire con la navigazione nella pagina, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo;
• Nelle nuove linee guida viene inoltre affermato che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato, non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il consenso, quindi, potrà dirsi validamente prestato solo se è conseguenza di un’azione positiva e consapevole che sia riscontrabile e dimostrabile.

Inoltre, deve essere specifico e cioè espresso in relazione a ciascuna diversa finalità del trattamento.

Ecco, quindi, che diventa essenziale per ogni titolare di pagine web avere un sistema di tracciamento dei consensi/rifiuti espressi dagli utenti (se ci sono cookie diversi da quelli tecnici).

I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.