Drag

Chiama adesso!
800 93 1196

10 gennaio 2022

Nuove Linee Guida sui cookie: il tuo sito è a norma?

Alex Baldarelli

Scritto daAlex Baldarelli

Tempo stimato per la lettura8 minuti

Dal 9 gennaio 2022, tutti i siti devono obbligatoriamente essere in regola con le nuove Linee Guida sui cookie e altri strumenti di tracciamento, emanate lo scorso 10 giugno.
Il provvedimento del Garante della Privacy contiene le regole da applicare in modo mandatorio - pena sanzione da parte della stessa autorità – a tutte le operazioni di lettura e scrittura che coinvolgono l’utente, nello specifico per quanto riguarda i cookie.
Le Linee Guida indicano, inoltre, le modalità di acquisizione del consenso online appropriate, secondo le norme del Regolamento in materia di protezione dei dati personali (GDPR). A tal proposito, secondo il principio “privacy by design”, si dovrà garantire che sul dispositivo dell’utente non verranno installati cookie diversi da quelli tecnici e neanche altri strumenti di tracciamento.

Cookie: la definizione del Garante
Il Garante, nelle Nuove Linee Guida, definisce cookie stringhe di testo che i siti web visitati dall’utente, nonché siti o web server diversi (cd. ‘terze parti’) posizionano e archiviano – direttamente, nel caso dei siti web visitati, e indirettamente, cioè per il tramite di questi ultimi nel caso delle ‘terze parti’ - all’interno del dispositivo di navigazione dell’utente.
I browser utilizzati dagli utenti per la navigazione memorizzano quindi i cookie e li rispediscono ai siti che li hanno prodotti, cosicché possano riutilizzarli nel momento della successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.

Questo sembrerebbe un enorme facilitatore per la navigazione dell’utente, che alla seconda visita avrà un vantaggio nella velocità di caricamento. Inoltre, permettono di tener traccia dei prodotti nel carrello negli ecommerce, cosicché alla successiva visita l’utente possa completare l’acquisto più celermente.
Tuttavia, i cookie contengono informazioni molto personali come indirizzo IP, nome utente, un identificativo univoco e talvolta anche indirizzi email, oltre a dati meno personali come l’impostazione della lingua e il tipo di dispositivo utilizzato per la navigazione. Queste informazioni vengono utilizzate per veicolare la cosiddetta pubblicità comportamentale - mostrando prodotti e servizi in linea con le preferenze dell’utente – misurando poi l’efficacia del messaggio pubblicitario veicolato. Proprio l’aggiunta di un prodotto nel carrello o di un luogo visitato su un sito di viaggi può essere un dato “sfruttabile”. In sostanza, esistono comunque diverse tipologie di cookie e altri strumenti di tracciamento dei dati e del comportamento dell’utente che mettono a rischio la sua privacy.

Tipologie di cookie
Ogni tipologia di cookie permette diverse funzioni. Proprio in base alla funzione, vengono suddivisi in tre macrocategorie: cookie tecnici, di profilazione e analytics.

  • Cookie tecnici: permettono di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice della Privacy). Questo tipo di cookie non richiede l’acquisizione del consenso, ma è obbligatorio esplicitarli nell’informativa.
  • Cookie di profilazione: servono a spingere soggetti perfettamente identificabili verso specifiche azioni o comportamenti, “in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete” (nuove linee guida, par. 4).
  • Cookie analytics: vengono impiegati per una valutazione del servizio fornito dal titolare di un sito, ma anche per le misurazioni del traffico di un sito web comprensivo di tutti i dati relativi all’area geografica e altre caratteristiche relative alle abitudini di navigazione, come la fascia oraria di connessione. In questo caso, non è necessario richiedere il consenso dell’utente, a patto che i cookie vengano utilizzati esclusivamente per stilare delle statistiche. Per quanto concerne i cookie di terze parti viene nascosta almeno la quarta componente dell’indirizzo IP: è consentito produrre statistiche con dati relativi a più siti web riconducibili allo stesso titolare, ma le terze parti non possono combinare i cookie analytics con dati estrapolati da altre elaborazioni, come statistiche di visite ad altri siti.





Non solo cookie: altri strumenti di tracciamento
Tra gli altri strumenti di tracciamento, il Garante identifica il cosiddetto “fingerprinting”, una tecnica di tracciamento che consiste nel rilevare il dispositivo utilizzato dall’utente mediante la raccolta delle informazioni relative alla configurazione del dispositivo stesso. In sostanza, l’obiettivo resta la profilazione dell’utente, con visualizzazione della pubblicità personalizzata e monitoraggio di ogni comportamento del visitatore. Mediante questa tecnica, il titolare del sito web riesce poi a produrre e declinare i prodotti e i servizi, in linea con le preferenze e i trend del momento.

L’Autorità Garante fa rientrare il fingerprinting nella categoria delle tecniche passive, mentre i cookie in quelle attive. La differenza sta nel fatto che nel secondo caso l’utente può rifiutare il consenso alla profilazione, ricorrere alle tutele giuridiche legate all’esercizio dei diritti espressi dal GDPR, nonché di rimuovere direttamente i cookie in autonomia, poiché memorizzati sul proprio dispositivo. Per quanto concerne, invece, il fingerprinting, così come gli altri identificatori passivi, ogni utente non può agire in autonomia, poiché la tecnica non prevede l’archiviazione di informazioni all’interno del device terminale. In sostanza, deve per forza ricorrere all’azione del titolare del sito, per far valere i propri diritti. Il visitatore, infatti, si limita a poter cambiare le configurazioni sfruttate dal titolare per il tracciamento e che sfociano in un profilo, ma quest’ultimo resta della piena disponibilità esclusiva del titolare.

Nuove Linee Guida Cookie: cosa cambia
Le nuove Linee Guida sui Cookie che sono entrate in vigore dal 9 gennaio 2022 si soffermano e introducono diverse modalità di gestione dei dati e di acquisizione del consenso del visitatore. Per l’acquisizione del consenso è indispensabile che il titolare del sito fornisca all’utente l’informativa completa che consenta all’interessato di decidere in modo consapevole se accettare l’installazione dei cookie e dare il via libera con il consenso. Ecco cosa cambia nello specifico:
  • Banner. Per quanto riguarda i siti web che si limitano all’utilizzo dei cookie tecnici, il banner informativo sarà facoltativo, pertanto è sufficiente indicare nell’home page oppure nell’informativa privacy che il sito utilizza solo cookie tecnici, mentre negli altri casi è assolutamente mandatorio un banner che però non impedisca la normale fruizione del contenuto e non installi nessun cookie diversi da quelli necessari, né utilizzi altri strumenti di tracciamento.
Nello specifico deve essere presente:
  • un comando per esprimere il consenso, accettando l’installazione di tutti i cookie e altri strumenti di tracciamento.
  • l’avvertenza che la chiusura del banner mediante l’apposita X in alto a destra determina il permanere delle impostazioni di default, senza pregiudicare la continuazione della navigazione, nel caso di siti con cookie esclusivamente tecnici.
  • il link alla privacy policy
  • un link ad una ulteriore area nella quale selezionare solo i cookie a cui preferisce dare il consenso.
  • Acquisizione tramite scrolling non è sufficiente per esprimere esplicitamente il consenso, ma è solo una componente della segnalazione da parte dell’utente del consenso stesso. Il cookie wall è illecito nella maggior parte dei casi, a esclusione di quando il titolare offre l’accesso a un contenuto senza richiedere il consenso all’installazione dei cookie. In sostanza, il consenso deve essere acquisito mediante una scelta inequivoca e documentabile, nonché espressa in relazione a ciascuna diversa finalità del trattamento.
  • Rinnovo del consenso e rettifica: il sito deve essere in grado di non solo di registrare i consensi acquisiti ma anche di sovrascrivere eventuali rettifiche da parte degli utenti. La richiesta di consenso ai cookie può essere riproposta solo dopo sei mesi dalla precedente richiesta, ma anche prima dei sei mesi se cambiano nettamente le condizioni del trattamento. E’ obbligatorio posizionare nel footer del sito un’area dove l’utente abbia la possibilità di rivedere le preferenze già prestate in materia di cookie.
  • Informativa chiara, multilayer e multichannel. Il Garante ha voluto sottolineare che l’informativa deve essere esplicitata in un linguaggio chiaro e leggibile a chiunque e dislocata su più livelli (multilayer) , ossia banner all’accesso del sito; informativa che istruisca l’utente sulle conseguenze di ogni azione e la possibilità di esprimere il consenso completo oppure modulato; i link a un’area in cui l’utente può selezionare i cookie anche per categorie omogenee. L’informativa può essere espressa anche su più canali o modalità, per questo viene detta multichannel.
Concludendo, adattare il sito web alle Linee Guida del Garante non è soltanto obbligatorio per legge, ma è lo spunto per un miglioramento effettivo del sito dal punto di vista strettamente tecnico, consentendo ai visitatori una migliore fruizione dei contenuti, non eccessivamente “disturbati” dai banner a comparsa. Per quanto riguarda il banner, infatti, la sua riproposizione a ogni accesso dell’utente, finalizzata all’acquisizione di un consenso in precedenza negato o concesso parzialmente in relazione ad alcune tipologie di cookie è considerabile oggi pratica non conforme al GDPR. Capita spesso, infatti, che, pur di non ritrovarsi nuovamente il banner, l’utente dia il consenso, seppur malvolentieri.

Doweb realizza siti web in linea con le disposizioni del Garante in materia di privacy e soprattutto senza utilizzare servizi esterni, come ad esempio Iubenda. Come sapere se il tuo sito è a norma? Utilizza Cookiemetrix, uno strumento semplicissimo ed efficace che verifica l'adeguamento del tuo sito alla cosiddetta Cookie Law, verificando se è presente il banner, se vi sono cookie di terze parti, nonché quali cookie vengono inviati all’utente.

Il tuo sito non è a norma con le Nuove Linee Guida sui Cookie? Contattaci subito!