Cookie: quali gli adempimenti per essere conformi alle linee guida
Le Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento emanate dal Garante per la protezione dei dati personali lo scorso 10.06.2021 sono diventate operative. Sono, infatti, scaduti i 6 (sei) mesi di tempo concessi dall’Autorità Garante per consentire a tutti i Titolari del trattamento di adeguare i propri siti web.
Di seguito, quindi, un breve riepilogo dei principali accorgimenti da attuare al fine di garantire il rispetto del nuovo quadro normativo.
- INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
Nell’ottica di garantire una maggior trasparenza sul trattamento dei dati personali nei confronti degli utenti, l’Autorità Garante chiede ai Titolari del trattamento di predisporre un’informativa chiara, semplice e multilayer (dislocata su più livelli o resa tramite più canali, come pop-up informativi, interazioni vocali, chatbot, ecc.). Nel predisporre la predetta informativa, i Titolari del trattamento dovranno altresì valutare che tipo di cookie o di sistemi di tracciamento sono presenti nei relativi siti web. Infatti, se i siti web installano:
- solo cookie tecnici, l’informazione può essere collocata nella home page o integrata nell’informativa generale dei siti web (per intenderci la c.d. privacy policy);
- altri cookie o identificatori non tecnici, è necessario prevedere l’utilizzo di un banner a scomparsa immediata, di adeguate dimensioni.
- BANNER E SUO CONTENUTO
Come detto, se i siti web consentono l’installazione di cookie diversi da quelli tecnici, i Titolari del trattamento dovranno prevedere l’utilizzo di un banner, che dovrà contenere:
- un comando (ad esempio, una X in alto a destra) che consenta la chiusura del banner senza la necessità per l’utente di prestare il consenso all’uso di cookie o di altre tecniche di profilazione, mantenendo così le impostazioni di default che non ne consentono l’impiego;
- l’indicazione che il sito web utilizza cookie tecnici e, se del caso previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento, con indicazione delle relative finalità (c.d. informativa breve);
- il link al testo della privacy policy contenente l’informativa estesa ove dovranno essere specificati gli eventuali soggetti destinatari dei dati, i tempi di conservazione e le modalità per consentire all’interessato l’esercizio dei diritti previsti dal Regolamento UE n. 2016/679 (di seguito “GDPR”)
- un comando per accettare tutti i cookie o anche altre tecniche di tracciamento;
- il link ad un’area specifica nella quale l’utente potrà scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter modificare le scelte già fatte, prestando il consenso all’impiego di tutti i cookie se non dato in precedenza o revocandolo, anche in unica soluzione, se già espresso.
- CONSENSO
Per essere valido, il consenso deve essere libero, specifico, informato, inequivocabile e revocabile; grava sui Titolari del trattamento l’onere di dimostrare la corretta acquisizione dello stesso. Pertanto, anche il consenso dell’utente all’installazione dei cookie o di altre tecniche di profilazione deve soddisfare i predetti requisiti.
Non sono, quindi, ritenuti adatti i sistemi di scrolling, salvo che questi non siano inseriti in un processo più articolato che consenta la generazione di un evento registrabile, documentabile e qualificabile come azione positiva a manifestare l’inequivoca volontà dell’utente di prestare il consenso al trattamento (ad esempio tramite l’utilizzo di uno specifico cookie tecnico).
I cookie wall non devono essere struttati con meccanismi (c.d. take it or leave it) che obblighino l’utente a esprimere il proprio consenso all’installazione dei cookie o di altri strumenti di tracciamento, senza avere alcuna alternativa. Il consenso così espresso deve, quindi, ritenersi illecito.
Si precisa, inoltre, che i consensi sinora espressi dagli utenti mantengono la loro validità, nel caso in cui questi abbiano i requisiti sopra indicati e siano registrati e quindi documentabili dai rispettivi Titolari del trattamento.
- REITERAZIONE DELLA RICHIESTA DI CONSENSO
Agli utenti che hanno scelto di non prestare il consenso all’installazione dei cookie o di altri sistemi di tracciamento di profilazione e abbiano, quindi, deciso di mantenere le impostazioni di default, può essere chiesto di esprimere nuovamente il consenso se:
- le condizioni di trattamento sono notevolmente variate;
- è impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo;
- sono trascorsi almeno 6 (sei) mesi dalla precedente presentazione del banner.
Per ulteriori approfondimenti, si veda la pagina dedicata al tema sul sito del Garante per la protezione dei dati personali, consultabile cliccando qui.