Privacy e cookie: come adeguarsi alle nuove norme 2021

Posted onAuthorStefano BendandiLeave a comment

Le regole per la gestione dei cookie dei siti web in relazione alla tematica della privacy sono cambiate di recente con il provvedimento del garante n. 231 del 10 giugno 2021.

Le nuove linee guida integrano e specificano ulteriormente i contenuti del precedente provvedimento n. 229 dell’8 maggio 2014, in relazione all’entrata in vigore del Regolamento UE 679/2016 (RGPD).

In questo post vedremo “chi deve fare e cosa” per adeguarsi alle nuove regole nel termine stabilito di 6 mesi decorrenti dalla pubblicazione del provvedimento sulla gazzetta ufficiale. Quindi, salvo eventuali proroghe, il 10 gennaio 2022.

1 Privacy e cookie: chi e cosa riguardano le nuove norme

Le nuove norme interessano i siti web che inseriscono e memorizzano cookie o altri strumenti di tracciamento all’interno di un dispositivo dell’utente (es. computer, smartphone, tablet, ecc.).

I cookie sono frammenti di informazioni codificate che possono comprendere sia dati non personali (es. preferenze di lingua) che dati personali (es. indirizzo IP, email, ecc.).

I cookie possono svolgere funzioni diverse in relazione ai meccanismi e ai processi di gestione di un sito web. Ad esempio, i cookie possono memorizzare le informazioni di configurazione degli utenti, controllare le sessioni oppure tracciare gli articoli da acquistare in un apposito carrello virtuale, ecc..

Ma possono anche costituire un veicolo per la pubblicità comportamentale e creare dei rischi maggiori per la riservatezza dei dati personali degli interessati. Infatti, gli identificativi contenuti in tali cookie possono combinarsi ad altri identificativi e informazioni ricevute dai server per identificare le persone fisiche e inquadrarle all’interno di specifici profili.

1.1 Cookie e altri strumenti tecnici e non tecnici

In generale i cookie si distinguono per la loro natura tecnica oppure non tecnica. Per semplificare, diciamo che sono “tecnici” i cookie e gli altri strumenti strettamente necessari per erogare servizi richiesti dagli utenti o per comunicare su una rete di comunicazione elettronica.

Tutti gli altri, in senso lato, che non rientrano in questa definizione si definiscono “non tecnici”. In questo ambito rientrano i cookie di profilazione. E, in alcuni casi, anche quelli con finalità statistiche (“analytics”).

Questa distinzione riguarda anche gli strumenti di tracciamento che le nuove linee guida definiscono “identificatori passivi” perché basati sulla raccolta e l’analisi di informazioni (es. fingerprinting) dal dispositivo dell’utente.

2 Privacy e cookie: quali sono gli obblighi principali

Gli obblighi principali per i siti web che impostano cookie e altri strumenti di tracciamento sui dispositivi degli utenti continuano ad essere quelli previsti dalla direttiva ePrivacy (art. 122 del D.Lgs. 196/2003 modificato dal D.Lgs. 101/2018), cioè:

  1. l’obbligo di informare gli utenti;
  2. l’obbligo di acquisire un valido consenso degli utenti;

Mentre il primo riguarda tutti i cookie, il secondo interessa soltanto i cookie e gli altri strumenti di tracciamento che hanno uno scopo diverso da quello tecnico.

ll provvedimento dell’autorità garante n. 229 dell’8 maggio 2014 ha già indicato le modalità semplificate per fornire l’informativa agli utenti e per acquisire un consenso da parte degli stessi.

Tuttavia le novità introdotte successivamente dall’RGPD hanno reso necessario integrare le disposizioni attuali con i seguenti principi:

  1. necessità di integrare l’informativa di trattamento,

rispetto del carattere inequivocabile che il consenso deve avere per essere considerato valido,

  1. principio della responsabilizzazione del titolare (accountability),
  2. principi di privacy by designby default

2.1 Privacy e cookie: come integrare l’informativa di trattamento

La necessità di integrare l’informativa di trattamento deriva, innanzitutto, dall’obbligo di trasparenza introdotto dall’RGPD.

Tale obbligo prevede che il titolare adotti le misure adeguate per fornire l’informativa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Perciò, l’informativa dovrà contenere indicazioni aggiuntive relative a:

  • eventuali soggetti destinatari dei dati personali,
  • tempi di conservazione dei dati,
  • modalità con cui gli interessati possono esercitare i loro diritti

Il titolare dei dati dovrà inoltre adottare le misure per garantire che le informazioni siano utilizzabili, senza discriminazioni, anche dalle persone che abbiano bisogno di tecnologie assistive o configurazioni particolari a causa di disabilità.

Un ultimo aspetto riguarda il posizionamento delle informazioni. Se il sito usa soltanto cookie ed altri strumenti tecnici, le informazioni potranno essere collocate nella home page o nella informativa generale del sito.

In tutti gli altri casi, invece, le informazioni potranno essere incluse all’interno di un banner a comparsa immediata.

2.2 Come acquisire un valido consenso per i cookie ai fini della privacy

Il garante ritiene tuttora valido il meccanismo di acquisizione del consenso degli utenti basato sulla presentazione di un banner e descritto nel provvedimento n. 229 dell’8 maggio 2014.

Pertanto, non sarà necessario acquisire nuovi consensi da parte degli utenti se quelli acquisiti in precedenza sono documentabili e rispettino tutte le caratteristiche, compreso il requisito dell’inequivocabilità, previste dall’RGPD.

2.2.1 Inequivocabilità del consenso

Prima dell’entrata in vigore dell’RGPD il consenso era definito come una manifestazione di volontà dell’interessato libera, specifica ed informata.

Il regolamento europeo ha ampliato questa definizione. E il considerando 32 prevede che il consenso sia anche espresso, per tutte le finalità del trattamento, attraverso una azione positiva.

Le azioni positive possono essere una dichiarazione scritta, la selezione di una casella di un sito, la scelta di impostazioni tecniche. Oppure qualsiasi altro comportamento, purché indichi con chiarezza la volontà dell’interessato di accettare il trattamento dei suoi dati personali.

Non sono invece azioni positive il silenzio, l’inattività, la preselezione di caselle e il semplice “scroll down” del cursore di una pagina. E nemmeno l’impiego di un “cookie wall“, cioè di un meccanismo con cui l’utente sia “obbligato” a consentire la ricezione dei cookie dato che, altrimenti, non potrebbe accedere al sito.

2.2.2 Cookie e privacy by design

Il titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità.

L’obbligo è applicabile a tutti i trattamenti di dati personali. Per i cookie e gli altri strumenti di tracciamento questo comporta che l’utilizzo di informazioni per l’accesso ad un sito web deve essere limitato al minimo indispensabile per consentirne l’uso.

Perciò, nessun cookie o altro strumento “non tecnico” può essere impostato all’interno di un dispositivo dell’utente quando accede per la prima volta ad un sito web. E nessuna tecnica di tracciamento, attiva o passiva, può essere utilizzata. Il mancato adempimento di tale condizione è sanzionabile ai sensi dell’RGPD.

In questo modo all’utente viene garantito un effettivo potere di scelta relativo alla possibilità di consentire o meno un utilizzo più ampio dei suoi dati.

2.2.3 Proposta di un modello per l’acquisizione del consenso

Il garante propone l’adozione di un meccanismo specifico per acquisire un consenso valido.Tale meccanismo prevede la visualizzazione in fase di primo accesso alla home page o altra pagina del sito di un area o banner.

Le dimensioni dell’area o banner dovrebbero essere sufficienti da creare una percezione di discontinuità rispetto alla navigazione dei contenuti della pagina web. E evitare il rischio che l’utente faccia delle scelte indesiderate o inconsapevoli.

La funzione di questo meccanismo è garantire, di default, che gli utenti che non vogliano prestare il consenso non siano profilati o tracciati. Essi, infatti, possono limitarsi a chiudere il banner e proseguire, se vogliono, la navigazione.

Al tempo stesso questo meccanismo non impedisce agli utenti che vogliano dare un consenso di esprimerlo attraverso una azione positiva al momento del primo accesso.

2.2.3.1 Quali caratteristiche deve avere l’area banner

All’interno dell’area o banner dovrebbero esserci un comando contraddistinto da una X, posizionata in alto a destra, e le seguenti informazioni ed opzioni:

  1. l’avvertenza che la chiusura del banner mediante il click sulla X comporta la possibilità di proseguire la navigazione senza che siano installati cookie o altri strumenti di tracciamento, tranne quelli tecnici;
  2. una informativa minima sul fatto che il sito impiega cookie o altri strumenti di tracciamento tecnici e che, con il consenso dell’utente, potrà utilizzare anche cookie di profilazione;
  3. un link ad una informativa estesa di trattamento (privacy policy) accessibile con un solo click, nella quale devono essere riportate tutte le informazioni richieste dagli art. 12 e 13 dell’RGPD;
  4. un comando per esprimere il consenso e accettare l’installazione di tutti i cookie o l’impiego di altri strumenti di tracciamento;
  5. un link ad un altra area nella quale l’utente può selezionare le funzionalità, le cd. terze parti ed i cookie per i quali sceglie di dare il proprio consenso
2.2.3.2 Come permettere agli utenti la possibilità di modificare le proprie scelte

Gli utenti devono avere anche la possibilità di cambiare, in qualsiasi momento ed in modo semplice, le scelte fatte in precedenza. Ad esempio, prestare un consenso negato oppure revocare un consenso prestato. Questa possibilità può essere offerta in due modi:

  1. con un link da posizionare nella parte inferiore della struttura del sito (footer), avente una indicazione chiara ed esplicita
  2. con un segno grafico, un icona o un altro accorgimento, da posizionare in ogni pagina del dominio web, per indicare lo stato dei consensi e permettere all’utente di aggiornarli
2.2.3.3 Come memorizzare le scelte fatte dagli interessati

Un ultimo aspetto, non meno importante, riguarda le decisioni che il gestore del sito deve prendere in relazione alla scelta dei meccanismi o strumenti per memorizzare le azioni e le scelte compiute dagli utenti.

Una prima opzione include la possibilità di ricorrere per tale scopo a cookie tecnici. Tuttavia, il gestore può anche adottare, in alternativa, altre modalità nell’ambito della sua autonomia decisionale e nel rispetto del principio di responsabilizzazione (accountability).

2.2.4 Quali alternative al modello proposto dal garante

Ogni titolare del trattamento è libero di adottare soluzioni diverse dal modello proposto, nell’ambito della propria autonomia decisionale e del principio di responsabilizzazione (accountability). Il garante, tuttavia, invita a valutare con estremo rigore le alternative e a considerarle valide soltanto se:

  • producano eventi informatici documentabili,
  • tali eventi non lascino spazio per l’utente ad equivoci sugli effetti della propria manifestazione di volontà

2.3 Privacy: come gestire i cookie analytics

Sono analytics quei cookie utilizzati con lo scopo di valutare un servizio offerto, di progettare un sito o di misurare il numero di visitatori del sito stesso.

Questi cookie possono considerarsi tecnici e, quindi, non richiedere il consenso dell’utente, soltanto se sono rispettate le seguenti condizioni:

  1. l’utilizzo deve avvenire con lo scopo di produrre statistiche aggregate in relazione ad un singolo sito o una sola applicazione mobile;
  2. devono essere applicate misure per ridurre al minimo i dati nel caso di utilizzo ad opera di terze parti

In particolare, le misure di riduzione dei dati devono precludere la possibilità di individuare direttamente l’interessato.

Per raggiungere questo obiettivo si propone di mascherare almeno la quarta parte dell’indirizzo IPv4 in modo tale da creare una incertezza sull’identità del ricevente.

Questa misura, tuttavia, non è applicabile al titolare del trattamento che esegua in proprio una elaborazione statistica dei dati, anche se relativi a più domini, siti web e applicazioni.

Infine, le terze parti dovranno evitare di combinare i dati minimizzati con altre fonti di elaborazione e di trasmetterli ad altri terzi. Il rispetto di questa specifica condizione potrebbe richiedere adeguate previsioni o garanzie contrattuali a carico delle terze parti.

2.4 Una checklist per adeguarsi

La seguente lista di verifica è proposta per agevolare il processo di adeguamento alle nuove norme del garante privacy sull’utilizzo dei cookie e degli altri strumenti di tracciamento:

  1. identificare e analizzare i cookie e gli altri strumenti di tracciamento utilizzati dal sito,
  2. distinguere i cookie e altri strumenti tecnici dai “non tecnici” e quelli usati da terze parti rispetto a quelli usati dal sito web,
  3. nel caso in cui il sito utilizzi cookie e altri strumenti “non tecnici”:
    • verificare la validità degli eventuali consensi già raccolti (se sono validi non è richiesto un ulteriore consenso),
    • decidere se adottare il meccanismo dell’area/banner proposto dal garante oppure un alternativa altrettanto valida,
    • implementare la soluzione scelta per acquisire un valido consenso dagli utenti
  4. verificare la completezza dell’informativa di trattamento ed, eventualmente, integrarla con le informazioni mancanti,
  5. verificare il corretto posizionamento e la visibilità dell’informativa,
  6. assicurarsi che le informazioni offerte siano utilizzabili anche da parte di persone che richiedono tecnologie assistive o configurazioni particolari a causa della loro disabilità
Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.