30 luglio 2021
Privacy online, le nuove linee guida del garante
Scritto daAlex Baldarelli
Nuove linee guida privacy: i motivi della scelta del garante
La decisione di adottare nuove linee guida è dovuta dal lungo periodo trascorso dall’ultimo provvedimento, che risale al 2014.
Negli anni, numerose sono state le segnalazioni, le richieste e i reclami ricevuti. Era perciò importante integrare le novità normative e rivedere le precedenti linee.
In questo ultimo provvedimento, infatti, si decretò l’importanza di “individuare le modalità" più semplici per far comprendere agli utenti l’archiviazione dei cookie da parte dei siti internet visualizzati. Il provvedimento ha rivelato le indicazioni utili per riportare agli utenti le modalità adottate per acquisire il consenso, dove richiesto dalla legge. Il Garante ha richiesto l’utilizzo di indicazioni precise, con riferimenti specifici, così da far comprendere al meglio il quadro regolamentare all’utente.
Negli ultimi anni è aumentata la presenza di fruitori orientati a quella che viene definita dal garante stesso come “moltiplicazione delle proprie identità digitali”, ovvero quegli utenti che accedono contemporaneamente a differenti servizi, funzioni e social network.
Per questi motivi, si è stabilita l’importanza di rafforzare le tutele nei confronti del controllo delle informazioni personali degli utenti.
I cookie: definizione e funzionalità
Parlando di cookie, facciamo riferimento a stringhe di testo rilasciate, posizionate e poi archiviate dai siti web visitati dagli utenti. Ogni sito, appunto, è in grado di memorizzare i cookie e trasmetterli nuovamente, nel qual caso l’utente decida di visitarlo ancora.
Nella ricezione dei dati, possono essere inclusi sia quelli personali che quelli generali. Per dati personali si intende l’indirizzo IP, il nome dell’utente, l’identificativo univoco oppure l’indirizzo email, mentre per i dati non personali ci si riferisce alle impostazioni di lingua e altre informazioni sul dispositivo del fruitore.
L'importanza della gestione dei cookie non dipende solo dal monitoraggio di questi, ma si rivelano essenziali per agevolare la fruizione dei contenuti online, permettendo anche di caricare più velocemente le pagine ricercate e, grazie alla memorizzazione dei dati degli utenti, si può veicolare pubblicità comportamentale, per poi misurarne l’efficacia, basandosi proprio sulla ricerca dei fruitori. I cookie sono quindi elementi di primaria importanza per la privacy online, tanto che vengono utilizzati anche per tenere traccia degli articoli inseriti dai consumatori nei carrelli di acquisti sul web.
“Altri strumenti di tracciamento”: differenze rispetto ai cookie
Oltre ai cookie, definiti come “identificatori attivi”, vengono utilizzati anche “identificatori passivi”, trattati in modo analogo ma che vengono utilizzati per scopi meramente osservativi.
Il Garante della privacy si è dichiarato, nel caso degli identificatori passivi, sul “fingerprinting", ovvero la tecnica che permette di identificare il dispositivo dell’utente grazie alle informazioni raccolte dalla configurazione del dispositivo stesso.
Si tratta di un’ulteriore raccolta di informazioni, volta alla costruzione e divulgazione di pubblicità comportamentali che vengono così personalizzate in base alle informazioni dell’utente, in modo da poter analizzare e comprendere al meglio i comportamenti del fruitore.
Proprio a causa del potere in loro possesso, si rivela essere importante inserirli all’interno delle linee guida.
Tramite l’utilizzo dell’impronta digitale del browser, si possono raccogliere informazioni anche nel caso di disattivazione dei cookie.
La raccolta di queste informazioni verrano però esclusivamente visualizzate e osservate solo dal titolare del sito. L’utente non può perciò negare l’approvazione all’identificatore e non può nemmeno avere accesso alle informazioni rilevate.
Cookies tecnici, di profilazione e altre classificazioni degli identificatori
La classificazione degli identificatori, oltre alla differenziazione tra “attivi” e “passivi”, è decretata da ulteriori fattori.
Una prima diversificazione è la durata. Principalmente i cookie, ma così anche gli altri strumenti di tracciamento, possono essere differenziati tra loro, dividendoli tra quelli “di sessione” e quelli “permanenti”, una scelta soggettiva.
Ma la classificazione principale differenzia i cookie definiti come “tecnici", rispetto a quelli citati come “di profilazione”.
I cookie tecnici si definiscono per la trasmissione di comunicazioni elettroniche all’interno del web da parte del titolare del servizio, mentre i cookie di profilazione vengono utilizzati per creare specifiche funzionalità completamente personalizzate e mirate grazie alla raccolta delle preferenze riscontrate nel fruitore.
All’interno dei cookie definiti tecnici ritroviamo anche i cosiddetti “cookie analytics”. Questi vengono utilizzati per analizzare il traffico all’interno di un sito web, riportandolo con la suddivisione per area geografica, fasce orarie di navigazione e altre caratteristiche. All’interno della nuova normativa, il Garante ha specificato che sarà possibile applicarli solo a fini statistici.
La classificazione definita “di profilazione” può essere applicata anche agli altri strumenti di tracciamento, che vengono perciò differenziati in base alla definizione di “tecnico” e “non tecnico”. Questa seconda classificazione deve però essere intesa in senso più ampio, poiché in base alla legge, non è consentito il trattamento dei dati visualizzabili.
Opportuno, secondo il Garante, integrare dei criteri in grado di far riconoscere all’utente le differenti classificazioni, per salvaguardare la sua privacy online.
Normative vigenti e aggiornamenti
Il titolare del sito web è obbligato, in base alle normative, a produrre e divulgare l’informativa.
Per quanto riguarda i cookie riferibili alla categoria “tecnici”, i titolari non sono soggetti al consenso dell’utente per poterli utilizzare. L’unico obbligo è quello di divulgare l’informativa, che può essere inserita anche all’interno di quella di carattere generale, come specificato nella stessa normativa.
Nel caso dell’utilizzo dei cookie di profilazione, al contrario, il titolare è obbligato a ottenere il consenso del fruitore. Infatti, secondo la legge, il titolare può fruire dei dati solo per archiviazione tecnica oppure su dati precedentemente archiviati, sotto consenso dell’utente, per attuare la trasmissione di una comunicazione, oppure per trasmettere una comunicazione al fine di erogare un servizio richiesto direttamente dal fruitore.
Opportuni metodi di acquisizione del consenso online
Il Garante della privacy si è espresso chiaramente anche sui vari metodi di acquisizione del consenso, trattando così metodi quali lo “scrolling” e il “cookie wall”.
Ha così imposto il divieto di recepire lo scrolling del sito in navigazione come consenso da parte dell’utente per la raccolta e per l’utilizzo dei propri dati e ha decretato la necessità di eliminare il cosiddetto “cookie wall”, ovvero una tecnica che obbliga il fruitore ad accettare, senza alcuna possibilità di modifica, il tracciamento dei propri dati. Non si permette, cioè, all’utente di esprimere il proprio consenso con libertà, altrimenti verrà reso impossibile l’accesso al sito, andando così contro al principio di “laicità, correttezza e trasparenza” richiesto nella normativa.
Banner ridondanti e invasivi: la reiterazione della richiesta di consenso
Ulteriore implementazione da parte del Garante della privacy si basa sulla reiterazione della richiesta di consenso nel caso in cui l’utente decida di visualizzare un sito precedentemente utilizzato.
Infatti, la normativa vigente richiede di limitare la riproposizione del banner di richiesta di consenso nei siti già visitati in passato.
La presenza viene percepita come ridondante e potrebbe indurre l’utente ad acconsentire a raccolte dati in passato negate, poiché potrebbe essere intesa come una limitazione della propria navigazione.
È perciò decretato che, nel caso in cui l’utente non acconsenta all’utilizzo di cookie o altri strumenti o anche nell'eventualità che decida di acconsentire solo per una limitata parte, la scelta dell’utente deve essere registrata e non più riproposta allo stesso, se non per determinati e specifici casi: non dovrà essere più riproposto tranne nel caso in cui si presentino delle modifiche dell’informativa e che, perciò, richiederà una nuova scelta per il fruitore. Ancora, nel caso in cui ci siano delle impossibilità nella registrazione da parte del gestore, ad esempio a causa di alcune modifiche dei cookie installati dall’utente.
Ultima precisazione, il banner può essere riproposto all’utente solo dopo 6 mesi dalla precedente presentazione.
Costruzione standardizzata del banner
Il Garante della privacy rimane fedele alla presentazione dell’acquisizione del consenso sotto forma di banner ma è dell’idea di apportare alcune modifiche.
Infatti, si rivela necessario introdurre una forma e una struttura standardizzata di banner, così da non incidere negativamente nella navigazione dell’utente: uno spazio adeguato per la comprensione dell’informativa senza però diminuire la user experience del fruitore, rendendo però un’informativa trasparente e precisa.
Anche la configurazione della struttura di colori utilizzati per i pulsanti e le modalità utilizzate potrebbe risultare più chiara agli occhi dell’utente. L’utilizzo di link pre-impostati e obbligatori, pulsanti per esprimere o meno il proprio consenso, ulteriori link per permettere di acconsentire o meno a determinate funzionalità renderanno più chiaro e legittimo il consenso del fruitore.
Il Garante impone oltretutto di dichiarare l’utilizzo dei dati dell’utente nelle dirette specifiche, limitando l’acquisizione al minimo indispensabile (oltre a quelli tecnici) così da rendere completamente il potere di scelta all’utente.
Importante dichiarare e attuare che al primo accesso “nessun cookie o altro strumento diverso da quelli tecnici verrà posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di tracciamento”. Nel caso contrario, sarà sanzionatbile ai sensi del Regolamento.
Secondo il Garante, importante anche l’utilizzo e l’applicazione di un pulsante apposito destinato alla chiusura del banner, nel caso in cui l’utente decida di non acconsentire all’utilizzo dei propri dati, così da rendere la completa libertà.
D’altra parte, ha aggiunto l’importanza di inserire un piccolo banner a scomparsa che permetta, nel qual caso l’utente lo desideri, di modificare i propri consensi, in qualsiasi momento.
Realizziamo siti web già a norma con la cookie law: contattaci per un approfondimento!
La decisione di adottare nuove linee guida è dovuta dal lungo periodo trascorso dall’ultimo provvedimento, che risale al 2014.
Negli anni, numerose sono state le segnalazioni, le richieste e i reclami ricevuti. Era perciò importante integrare le novità normative e rivedere le precedenti linee.
In questo ultimo provvedimento, infatti, si decretò l’importanza di “individuare le modalità" più semplici per far comprendere agli utenti l’archiviazione dei cookie da parte dei siti internet visualizzati. Il provvedimento ha rivelato le indicazioni utili per riportare agli utenti le modalità adottate per acquisire il consenso, dove richiesto dalla legge. Il Garante ha richiesto l’utilizzo di indicazioni precise, con riferimenti specifici, così da far comprendere al meglio il quadro regolamentare all’utente.
Negli ultimi anni è aumentata la presenza di fruitori orientati a quella che viene definita dal garante stesso come “moltiplicazione delle proprie identità digitali”, ovvero quegli utenti che accedono contemporaneamente a differenti servizi, funzioni e social network.
Per questi motivi, si è stabilita l’importanza di rafforzare le tutele nei confronti del controllo delle informazioni personali degli utenti.
I cookie: definizione e funzionalità
Parlando di cookie, facciamo riferimento a stringhe di testo rilasciate, posizionate e poi archiviate dai siti web visitati dagli utenti. Ogni sito, appunto, è in grado di memorizzare i cookie e trasmetterli nuovamente, nel qual caso l’utente decida di visitarlo ancora.
Nella ricezione dei dati, possono essere inclusi sia quelli personali che quelli generali. Per dati personali si intende l’indirizzo IP, il nome dell’utente, l’identificativo univoco oppure l’indirizzo email, mentre per i dati non personali ci si riferisce alle impostazioni di lingua e altre informazioni sul dispositivo del fruitore.
L'importanza della gestione dei cookie non dipende solo dal monitoraggio di questi, ma si rivelano essenziali per agevolare la fruizione dei contenuti online, permettendo anche di caricare più velocemente le pagine ricercate e, grazie alla memorizzazione dei dati degli utenti, si può veicolare pubblicità comportamentale, per poi misurarne l’efficacia, basandosi proprio sulla ricerca dei fruitori. I cookie sono quindi elementi di primaria importanza per la privacy online, tanto che vengono utilizzati anche per tenere traccia degli articoli inseriti dai consumatori nei carrelli di acquisti sul web.
“Altri strumenti di tracciamento”: differenze rispetto ai cookie
Oltre ai cookie, definiti come “identificatori attivi”, vengono utilizzati anche “identificatori passivi”, trattati in modo analogo ma che vengono utilizzati per scopi meramente osservativi.
Il Garante della privacy si è dichiarato, nel caso degli identificatori passivi, sul “fingerprinting", ovvero la tecnica che permette di identificare il dispositivo dell’utente grazie alle informazioni raccolte dalla configurazione del dispositivo stesso.
Si tratta di un’ulteriore raccolta di informazioni, volta alla costruzione e divulgazione di pubblicità comportamentali che vengono così personalizzate in base alle informazioni dell’utente, in modo da poter analizzare e comprendere al meglio i comportamenti del fruitore.
Proprio a causa del potere in loro possesso, si rivela essere importante inserirli all’interno delle linee guida.
Tramite l’utilizzo dell’impronta digitale del browser, si possono raccogliere informazioni anche nel caso di disattivazione dei cookie.
La raccolta di queste informazioni verrano però esclusivamente visualizzate e osservate solo dal titolare del sito. L’utente non può perciò negare l’approvazione all’identificatore e non può nemmeno avere accesso alle informazioni rilevate.
Cookies tecnici, di profilazione e altre classificazioni degli identificatori
La classificazione degli identificatori, oltre alla differenziazione tra “attivi” e “passivi”, è decretata da ulteriori fattori.
Una prima diversificazione è la durata. Principalmente i cookie, ma così anche gli altri strumenti di tracciamento, possono essere differenziati tra loro, dividendoli tra quelli “di sessione” e quelli “permanenti”, una scelta soggettiva.
Ma la classificazione principale differenzia i cookie definiti come “tecnici", rispetto a quelli citati come “di profilazione”.
I cookie tecnici si definiscono per la trasmissione di comunicazioni elettroniche all’interno del web da parte del titolare del servizio, mentre i cookie di profilazione vengono utilizzati per creare specifiche funzionalità completamente personalizzate e mirate grazie alla raccolta delle preferenze riscontrate nel fruitore.
All’interno dei cookie definiti tecnici ritroviamo anche i cosiddetti “cookie analytics”. Questi vengono utilizzati per analizzare il traffico all’interno di un sito web, riportandolo con la suddivisione per area geografica, fasce orarie di navigazione e altre caratteristiche. All’interno della nuova normativa, il Garante ha specificato che sarà possibile applicarli solo a fini statistici.
La classificazione definita “di profilazione” può essere applicata anche agli altri strumenti di tracciamento, che vengono perciò differenziati in base alla definizione di “tecnico” e “non tecnico”. Questa seconda classificazione deve però essere intesa in senso più ampio, poiché in base alla legge, non è consentito il trattamento dei dati visualizzabili.
Opportuno, secondo il Garante, integrare dei criteri in grado di far riconoscere all’utente le differenti classificazioni, per salvaguardare la sua privacy online.
Normative vigenti e aggiornamenti
Il titolare del sito web è obbligato, in base alle normative, a produrre e divulgare l’informativa.
Per quanto riguarda i cookie riferibili alla categoria “tecnici”, i titolari non sono soggetti al consenso dell’utente per poterli utilizzare. L’unico obbligo è quello di divulgare l’informativa, che può essere inserita anche all’interno di quella di carattere generale, come specificato nella stessa normativa.
Nel caso dell’utilizzo dei cookie di profilazione, al contrario, il titolare è obbligato a ottenere il consenso del fruitore. Infatti, secondo la legge, il titolare può fruire dei dati solo per archiviazione tecnica oppure su dati precedentemente archiviati, sotto consenso dell’utente, per attuare la trasmissione di una comunicazione, oppure per trasmettere una comunicazione al fine di erogare un servizio richiesto direttamente dal fruitore.
Opportuni metodi di acquisizione del consenso online
Il Garante della privacy si è espresso chiaramente anche sui vari metodi di acquisizione del consenso, trattando così metodi quali lo “scrolling” e il “cookie wall”.
Ha così imposto il divieto di recepire lo scrolling del sito in navigazione come consenso da parte dell’utente per la raccolta e per l’utilizzo dei propri dati e ha decretato la necessità di eliminare il cosiddetto “cookie wall”, ovvero una tecnica che obbliga il fruitore ad accettare, senza alcuna possibilità di modifica, il tracciamento dei propri dati. Non si permette, cioè, all’utente di esprimere il proprio consenso con libertà, altrimenti verrà reso impossibile l’accesso al sito, andando così contro al principio di “laicità, correttezza e trasparenza” richiesto nella normativa.
Banner ridondanti e invasivi: la reiterazione della richiesta di consenso
Ulteriore implementazione da parte del Garante della privacy si basa sulla reiterazione della richiesta di consenso nel caso in cui l’utente decida di visualizzare un sito precedentemente utilizzato.
Infatti, la normativa vigente richiede di limitare la riproposizione del banner di richiesta di consenso nei siti già visitati in passato.
La presenza viene percepita come ridondante e potrebbe indurre l’utente ad acconsentire a raccolte dati in passato negate, poiché potrebbe essere intesa come una limitazione della propria navigazione.
È perciò decretato che, nel caso in cui l’utente non acconsenta all’utilizzo di cookie o altri strumenti o anche nell'eventualità che decida di acconsentire solo per una limitata parte, la scelta dell’utente deve essere registrata e non più riproposta allo stesso, se non per determinati e specifici casi: non dovrà essere più riproposto tranne nel caso in cui si presentino delle modifiche dell’informativa e che, perciò, richiederà una nuova scelta per il fruitore. Ancora, nel caso in cui ci siano delle impossibilità nella registrazione da parte del gestore, ad esempio a causa di alcune modifiche dei cookie installati dall’utente.
Ultima precisazione, il banner può essere riproposto all’utente solo dopo 6 mesi dalla precedente presentazione.
Costruzione standardizzata del banner
Il Garante della privacy rimane fedele alla presentazione dell’acquisizione del consenso sotto forma di banner ma è dell’idea di apportare alcune modifiche.
Infatti, si rivela necessario introdurre una forma e una struttura standardizzata di banner, così da non incidere negativamente nella navigazione dell’utente: uno spazio adeguato per la comprensione dell’informativa senza però diminuire la user experience del fruitore, rendendo però un’informativa trasparente e precisa.
Anche la configurazione della struttura di colori utilizzati per i pulsanti e le modalità utilizzate potrebbe risultare più chiara agli occhi dell’utente. L’utilizzo di link pre-impostati e obbligatori, pulsanti per esprimere o meno il proprio consenso, ulteriori link per permettere di acconsentire o meno a determinate funzionalità renderanno più chiaro e legittimo il consenso del fruitore.
Il Garante impone oltretutto di dichiarare l’utilizzo dei dati dell’utente nelle dirette specifiche, limitando l’acquisizione al minimo indispensabile (oltre a quelli tecnici) così da rendere completamente il potere di scelta all’utente.
Importante dichiarare e attuare che al primo accesso “nessun cookie o altro strumento diverso da quelli tecnici verrà posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di tracciamento”. Nel caso contrario, sarà sanzionatbile ai sensi del Regolamento.
Secondo il Garante, importante anche l’utilizzo e l’applicazione di un pulsante apposito destinato alla chiusura del banner, nel caso in cui l’utente decida di non acconsentire all’utilizzo dei propri dati, così da rendere la completa libertà.
D’altra parte, ha aggiunto l’importanza di inserire un piccolo banner a scomparsa che permetta, nel qual caso l’utente lo desideri, di modificare i propri consensi, in qualsiasi momento.
Realizziamo siti web già a norma con la cookie law: contattaci per un approfondimento!
