Cookie policy 2022

Il Garante per la protezione dei dati personali ha pubblicato (Gazzetta Ufficiale n. 163 del 9 luglio 2021) le Linee Guida sui cookies e altri strumenti di tracciamento adottati sui siti internet (10 giugno 2021), con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano in internet. ll documento è volto ad aggiornare le indicazioni contenute nel provvedimento n. 229/2014 alla luce delle novità introdotte dal GDPR 679/2016 (in considerazione dell’evoluzione comportamentale degli stessi utenti della rete sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall’accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network), dalle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e delle indicazioni che sono emerse dalla consultazione pubblica promossa alla fine dello scorso anno.

Obbligo Normativo

Secondo quanto previsto dalle linee guida, per l’utilizzo di cookie e degli altri identificatori di tipo tecnico il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa generale (CD Privacy Policy). Per finalità diverse da quelle meramente tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso informato dell’interessato, anche in base a quanto già previsto dall’art. 122 del D. Lgs 196/03. Non potranno essere utilizzate tecniche come lo Scroll Down (scorrimento della pagina web) in quanto non ritenute idonee a raccogliere i consensi dell’interessato, né le tecniche del Cookie Wall, intendendosi con tale espressione un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad accettare o negare in blocco tutti gli identificatori, pena l’impossibilità di accedere al sito.

il Garante si sofferma, anche, sulla questione della reiterazione delle richieste di consenso. Anche la continua comparsa del banner contenente l’informativa breve può infatti essere invasiva per gli utenti e incidere sulla loro libertà nella prestazione del consenso, portandoli ad accettare trattamenti cui altrimenti non avrebbero acconsentito pur di fare sparire il banner. L’Autorità individua solo alcuni casi in cui sia possibile reiterare la richiesta, ossia quando vi sia una specifica e necessaria finalità informativa dovuta a mutamenti significativi di una o più condizioni del trattamento, quando sia impossibile per il titolare tenere traccia del fatto che un cookie sia già stato installato sul terminale dell’utente (ad esempio quando questi abbia cancellato i cookie memorizzati), oppure quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner. Da ciò necessita che il meccanismo per i consensi da adottare deve essere in grado di memorizzare la scelta effettuata dall’utente pagina per pagina e riproporla solo se mutano le tecnologie adottate.

L'impostazione predefinita (privacy by Default), al momento del primo accesso dell’utente ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di tracciamento. Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente. Invece, in presenza di strumenti di tracciamento dovrà essere presente un banner tecnologico in grado di rilevare e memorizzare le scelte dell’utente, anche nel rispetto della eventuale granularità del consenso, e una informativa descrittiva delle tecnologie di tracciamento utilizzata (cd Cookie Policy) che descriva tali tecnologie, da chi sono fornite, la finalità, le tempistiche di conservazione, l’eventuale invio di dati e/o informazioni intra – extra EU, la base giuridica di tali trattamenti, etc...

I titolari del trattamento che non avessero ancora adempiuto a quanto previsto dalle linee guida avranno tempo sino al 9 gennaio 2022 per conformarsi ai principi in esse contenuti.

Le Sanzioni

Il mancato rispetto delle nuove linee guida del Garante della Privacy sull’utilizzo dei cookie e degli altri strumenti di tracciamento espone il titolare del sito web a sanzioni pecuniarie. Gli scenari sono due:

• omessa o inidonea informativa per cui scatta una sanzione da 6.000 a 36.000 euro;
• installazione di cookie senza consenso per cui si applica una sanzione da 10.000 a 120.000 euro.

I consigli

Iniziamo con il dire che: per i cookie definiti “tecnici” e per quelli legati alle statistiche non è necessario alcun consenso, a patto che i dati siano raccolti in forma anonima. Questo significa, per esempio, che gli indirizzi IP degli utenti non possono essere raccolti o devono esserlo in forma parziale. La maggior parte delle piattaforme di terze parti è già impostata in modo da rispondere alla normativa. Le cose si fanno più complesse se il sito web usa strumenti più evoluti, per esempio reti pubblicitarie o il commercio elettronico. In quel caso, se si ha un minimo di conoscenza tecnica si può optare per soluzioni "fai da te" che si possono trovare su internet. Ovviamente tutte le opzioni, di questi siti che offrono tale servizio, sembrano gratuite ma tali non sono e perciò bisogna pagare la versione pro per non incappare nelle suddette possibili sanzioni. Quindi, con l’incremento della complessità della normativa, la complessità e la delicatezza dell'argomento è consigliabile prima o poi rivolgersi ad uno specialista.