Lo scorso 10 giugno, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha approvato le nuove “Linee guida sui cookie”.

Con il termine cookie si intende un piccolo file di testo che un sito web (cd. publisher o “prima parte”) può autonomamente inviare al dispositivo dell’utente (ad esempio, Smartphone, Pc o Tablet) quando visualizza una pagina web ovvero siti o web server diversi (cd. “terze parti”). Solitamente i cookie consentono di memorizzare le preferenze espresse dall’utente per non dover essere reinserite successivamente. Il browser utilizzato salva l’informazione e la ritrasmette al Server del sito nel momento in cui l’utente visita nuovamente quel sito web.

Le Linee Guida, adottate dal Garante tenendo conto di quanto emerso durante la consultazione pubblica promossa alla fine dello scorso anno, hanno l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.

Di seguito le principali novità.

Informativa

Nel rispetto di quanto previsto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (meglio noto come il “GDPR”), l’informativa da rilasciare agli utenti/interessati dovrà indicare (i) tutti gli eventuali soggetti destinatari, (ii) i tempi di conservazione dei dati personali trattati nonché (iii) una descrizione di tutte le conseguenze di ogni azione compiuta dall’utente/interessato.

Il Garante raccomanda che i cookie Analytics, di cui il Titolare del trattamento si avvale per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Viene confermatoil modello di informativa multi-layer con un banner (c.d. informativa breve) all’accesso al sito contenente specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto nonché il link all’informativa estesa.

All’utente/interessato deve essere data la possibilità di scegliere tra il consenso o l’opzione di modulare le proprie preferenze rispetto al tracciamento e deve essergli fornito il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Consenso tramite scrolling

Il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.

Con riferimento al potere di autonomia del titolare nell’identificazione delle soluzioni più appropriate per conseguire la conformità alle regole dei trattamenti di dati personali effettuati, il Garante invita i titolari a valutare con estremo rigore ogni possibile soluzione. Secondo il Garante, qualora all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche, anche sotto il profilo della consapevolezza per lo stesso utente, non sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.

Rinnovo della richiesta di consenso

La raccolta del consenso ai cookie non può essere riproposta, a meno che (i) non cambino le condizioni del trattamento in modo significativo, (ii) non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo e (iii) non siano decorsi almeno 6 mesi dalla precedente richiesta.

Revisione dei consensi

Agli utenti/interessati dovrà essere fornita, in ogni momento e in maniera semplice, immediata e intuitiva, la possibilità di revisionare le scelte effettuate attraverso un’apposita area da rendere accessibile per il tramite di un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga

I titolari dei siti web avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Altri insights correlati:

L’Autorità Garante per la protezione dei dati personali (il “Garante”), il 10 dicembre 2020, ha avviato una consultazione pubblica in merito alle “Linee Guida sull’utilizzo dei cookie, o di altri strumenti di tracciamento (le “Linee Guida”) redatte il precedente 26 ottobre.

L’intervento del Garante fa seguito alle indicazioni fornite dal Comitato dei Garanti europei (“EDPB” – “European Data Protection Borard”) nelle “Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679” del 4 maggio 2020.

I cookie sono piccole stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno del dispositivo in uso (ad esempio, Smartphone, Pc o Tablet). I cookie permettono di raccogliere informazioni e migliorare la navigazione dell’utente/interessato.

Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“GDPR”), pur non modificando direttamente la disciplina relativa a detti strumenti di tracciamento, regolamenta puntualmente il consenso al trattamento dei dati personali. In particolare, viene stabilito che il consenso deve essere fornito dagli interessati tramite unamanifestazione di volontà libera, specifica, informata e inequivocabile (cfr. articolo 4, GDPR).

Quanto sopra pone l’attenzione, secondo il “principio dell’accountability”, sull’attuazione dei principi di protezione dei dati già dalla progettazione e per impostazioni predefinite (cd. “privacy by design e by default“), rendendo necessaria una analisi sulle corrette modalità di rilascio dell’informativa online agli utenti/interessati e di acquisizione, ove necessario, del loro consenso.

Ciò detto, Le Linee Guida, recependo quanto affermato dall’EDPB, chiariscono, tra le altre, che:

  • il semplice scrolling (ossia “l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente l’informativa breve”) non sarebbe mai idoneo, per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato” o
  • la reiterazione nella raccolta del consenso, qualora non siano state apportate modifiche al trattamento dei dati, attraverso una continua riproposizione del banner (c.d. informativa breve) ad ogni accesso, risulta “ridondante ed invasiva”.

Le Linee Guida chiariscono, altresì, che ciascun Titolare del trattamento ha il dovere di fornire ai propri interessati/utenti puntuali informazioni sul trattamento effettuato con i loro dati. Informativa questa che deve essere fornita su un doppio livello: (i) informativa c.d. breve o banner che contenga il link di rinvio (ii) all’informativa estesa.

Al termine della consultazione pubblica diretta ad imprenditori, consumatori, utenti ed operatori del settore e dell’analisi, seguita dell’eventuale recepimento, delle osservazioni pervenute, l’Autorità provvederà emettere il provvedimento finale.

Altri insights correlati: