Cookie di profilazione: nuove linee guida

Cookie di Profilazione: nuove linee guida del Garante.

In data 09/07/2021 sono state pubblicate in Gazzetta Ufficiale le nuove “Linee guida” emanate dal Garante per la protezione dei dati personali, relative all’utilizzo dei c.d. “cookie di profilazione” e di altri strumenti di tracciamento aventi finalità analoghe.

Vengono quindi dettate nuove regole per impiegare correttamente i suddetti strumenti, alla luce del mutato quadro giuridico europeo, aggiornando le indicazioni contenute nel precedente Provvedimento del Garante dell’8 maggio 2014.

Le aziende che utilizzano i cookie di profilazione nei propri siti web avranno tempo fino al 09/01/2022 per adeguarli alle recenti disposizioni del Garante.

 

Definizione di “cookie”.

Si rammenta anzitutto che i cookie sono stringhe di testo che i siti web visitati dall’utente, direttamente o tramite siti o web server diversi (c.d. “terze parti”), posizionano edarchiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo (es. computer, tablet, smartphone, ecc.), per essere poi ritrasmessi nuovamente ai siti che li hanno generati in occasione di visite successive.

Le informazioni codificate nei cookie possono includere dati personali, quali indirizzi IP, nomi utente, identificativi univoci od indirizzi e-mail, ma possono anche contenere dati non personali, come ad esempio le impostazioni della lingua od informazioni sul tipo di dispositivo utilizzato per la navigazione.

I cookie possono quindi essere utilizzati per svolgere svariate edimportanti funzioni connesse all’operatività dei siti web, quali il monitoraggio di sessioni, la memorizzazione di specifiche configurazioni, l’agevolazione nella fruizione dei contenuti on-line, ecc., ma anche perveicolare la pubblicità comportamentale e misurare poi l’efficacia del messaggio promozionale, ovvero adeguare ai comportamenti dell’utente la tipologia e la modalità dei servizi resi tramite i siti web. 

 

Tipologie di cookie.

Ad oggi, la classificazione dei cookie a livello giuridico/normativo definisce due macro categorie:

• cookie tecnici, utilizzati per ottimizzare e velocizzare la navigazione sui siti web, nonché per fornire eventuali servizi richiesti dall’utente, consentendo ad esempio di effettuare un acquisto o di autenticarsi per accedere ad aree riservate. In pratica, si tratta di strumenti che permettono il corretto funzionamento dei siti web.

Per l’installazione di tali cookie, la normativa sostanzialmente non è mutata edè quindi necessario e sufficiente fornire all’utente una specifica informativa, mentre non occorre l’acquisizione del consenso dell’interessato.

Quanto ai cookie analytics, impiegati per produrre statistiche anonime ed aggregate, si precisa che oggigiorno essi possono essere ricompresi nella categoria di quelli tecnici e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato;

• cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali nell’uso delle funzionalità offerte, al fine del raggruppamento dei diversi profili all’interno di “cluster” omogenei, allo scopo di modulare la fornitura del servizio in modo personalizzato ed inviare messaggi pubblicitari mirati, in linea con le preferenze dell’utente.

Per l’installazione di questa categoria di cookie, in base alle nuove indicazioni normative,oltre al rilascio di una specifica informativa,è necessario acquisire preventivamente il consenso dell’utente.

 

Cookie di profilazione: acquisizione del consenso tramite “banner”.

In continuità con il precedente Provvedimento del Garante, il consenso all’installazione dei cookie di profilazione dovrà essere richiesto tramite la presentazione, al momento del primo accesso dell’utente al sito web, di un banner che preveda un’azione positiva ed inequivocabile dell’utente.

Per la corretta creazione del banner, che dovrà avere dimensioni congrue ed adeguate alla consultazione dello stesso e che non potrà installare di default nessun cookie diverso da quelli tecnici, il nuovo Provvedimento stabilisce delle Linee guida caratteristiche ben precise.

La nuova tipologia di banner quindi dovrà contenere:

• l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla “X” posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione con la sola presenza di cookie tecnici;
• un’informativa minimarelativa al fatto che il sito utilizza cookie tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente, utilizzare anche cookie di profilazione od altri strumenti di tracciamento;
• il link ad un’Informativa Privacy estesa, che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel “footer”;
• un comando tramite il quale l’utente possa esprimere il proprio consenso accettando il posizionamento di cookie di profilazione;
• il link ad un’ulteriore area dedicata dove sia possibile selezionare, in modo analitico, solo le funzionalità, le terze parti ed i cookie al cui utilizzo l’utente scelga di acconsentire.

Si precisa inoltre che, in base alle Linee guida:

• il banner è obbligatorio solo ed esclusivamente per l’installazione dei cookie di profilazione od altri strumenti similari, mentre non deve essere proposto nel caso in cui sia prevista la sola presenza di cookie tecnici o strumenti analoghi;
• il banner non deve essere riproposto ad ogni visita dell’utenteal sito, ma potrà essere ripresentato solo in determinate e precise circostanze:
• significativa mutazione della condizioni del trattamento;
• cancellazione dei cookie da parte dell’utente;
• decorrenza di almeno 6 mesi dalla precedente presentazione del banner.

 

Consenso validamente espresso.

Il consenso potrà ritenersi validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, in linea con tutti i requisiti previsti dal GDPR, come ad esempio la selezione di apposite caselle.

Non può dunque configurare consenso il silenzio, l’inattività o la preselezione di caselle.

Le Linee guida sanciscono inoltre i seguenti principi:

• il semplice “scroll down” del cursore di pagina non può essere di per sé considerato idoneo alla raccolta di un valido consenso, in quanto non rappresenta un’azione positiva che manifesta inequivocabilmente la volontà dell’interessato;
• non risulta idoneo all’acquisizione del consenso neanche il c.d. “cookie wall”, inteso come meccanismo vincolante nel quale l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie od altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.

Gli utenti devono poi avere sempre la possibilità di modificare agevolmente le scelte compiute, attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito. Chiaramente il gestore del sito web dovrà essere in grado, a livello tecnico, di memorizzare ed aggiornare le decisioni dell’utente. 

 

Altri strumenti di tracciamento.

Le regole dettate dalle Linee guida ed esposte nei precedenti punti, sono applicabili anche agli altri strumenti di tracciamento eventualmente utilizzati dal Titolare. Tra questi si annoverano i c.d. sistemi di tracciamento “passivi” (es. “fingerprinting”) che consentono di effettuare trattamenti analoghi a quelli sopra indicati ma, diversamente dai cookie, si basano sulla mera osservazione dei comportamenti e non implicano l’archiviazione di informazioni all’interno del dispositivo dell’utente.