Il Garante della Protezione dei Dati Personali ha emesso in data 10 giugno 2021 le nuove linee guida “Linee guida sui cookie e altri strumenti di tracciamento”.
Il Garante ha concesso 6 mesi alle aziende per adeguare le proprie pagine web a quanto richiesto nelle linee guida. A partire dal prossimo 10 gennaio 2022 le nuove indicazioni dovranno essere applicate se non si vorrà essere sanzionati.
Cosa sono i cookie?
I cookie sono stringhe di testo di piccole dimensioni. I siti visitati dall’utente inviano queste stringhe al terminale (solitamente al browser), che li memorizza e li ritrasmette agli stessi siti alla visita successiva dell’utente.
Mentre naviga su un sito internet, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server esterni (c.d. “terze parti”). Tali terze parti infatti possono contenere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) usati dal sito che l’utente sta visitando.
I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.
Quante tipologie di cookie esistono?
I cookie si distinguono in
COOKIE TECNICI: sono quelli utilizzati al solo fine di «effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell´informazione esplicitamente richiesto dall’abbonato o dall´utente a erogare tale servizio».
Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.
Possono essere suddivisi in
- cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
- cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
- cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
COOKIE DI PROFILAZIONE: I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.
COOKIE DI PRIMA PARTE: I cookie sono istallati sul terminale dell’utente dallo stesso gestore del sito che l’utente sta visitando.
COOKIE DI TERZA PARTE: I cookie sono istallati sul terminale dell’utente da un sito diverso (cd. «terza parte») per tramite del sito che l’utente sta visitando.
Cosa cambia dal 10 gennaio 2022 con le nuove linee guida sui cookies?
Il 10 gennaio 2022 termina il periodo di 6 mesi (contato dalla pubblicazione in Gazzetta Ufficiale) concesso alle aziende per adeguarsi alle nuove linee guida sui Cookie.
Ma vediamo concretamente cosa si deve fare. Ogni azienda, ente o amministrazione pubblica che ha un sito web, deve modificare la politica dei Cookie e degli altri strumenti di tracciamento, nel modo seguente:
- Se si utilizzano solo cookie tecnici, si può informare l’utente, inserendo questa informazione nella home page del sito o nell’informativa privacy generale;
- Se si utilizzano anche ALTRI cookie e strumenti di tracciamento si deve:
- Informare che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
- Inserire il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali;
- Informare che la chiusura del banner (ad es. tramite la «X» in alto a destra) mantiene le impostazioni di default e quindi il proseguire la navigazione senza cookie o altri strumenti di tracciamento diversi da quelli tecnici.
- Ogni pagina del sito deve avere un banner (visibile la prima volta che si naviga sul sito) mediante il quale è possibile:
- chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default usando ad esempio una X in alto a destra ;
- accettare tutti i cookie o altre tecniche di tracciamento, attraverso un unico comando;
- scegliere in modo analitico le funzionalità, le terze parti e i cookie che l’utente vuole installare, attraverso la presenza di un link ad un’altra area. Accedendo a tale area l’utente può modificare le proprie preferenze (prestare il consenso all’impiego di tutti i cookie qualora non lo abbia fornito in precedenza o revocare il proprio consenso).
- Il Garante consiglia alle aziende/PA (come best practice) di permettere all’utente di modificare i suoi consensi mediante l’accesso tramite un segno grafico o un’icona presente nel footer di ogni pagina del dominio.
- Nelle linee guida si vieta la richiesta in maniera reiterata del consenso in caso non sia stato fornito in precedenza dall’utente. È però possibile chiederlo nuovamente se viene soddisfatta una delle tre condizioni seguenti:
- Cambiano significativamente le condizioni del trattamento;
- se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo (quando ad es. si cancellano i cookie dal dispositivo);
- sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.
- È vietato, infine, incrociare i dati relativi alla navigazione effettuata da più dispositivi di un utente registrato (con account) se non è stato rilasciato il consenso.