Il recente GDPR 2022 contiene le nuove linee guida del Garante Privacy ed è volto ad aggiornare le indicazioni, contenute nel precedente provvedimento n. 229/2014, sulla base di alcune novità introdotte dal Regolamento europeo 679/2016.
Il provvedimento del 10 giugno 2021, n. 231, emanato dal Garante per la protezione dei dati personali, recante “Linee Guida cookie e altri strumenti di tracciamento” (doc. web n. 9677876), è stato pubblicato sulla Gazzetta Ufficiale n. 163 il 9 luglio 2021.
Il tuo sito web rispetta tutte le Linee Guida emanate dal nuovo provvedimento? Vediamo come essere in regola con i Cookie e gli altri strumenti di tracciamento dei dati personali.
Prima di tutto, è necessario precisare che il Garante della Privacy ha riconosciuto che dalle sue nuove Linee Guida potrebbero derivare interventi tecnici, sui siti web, piuttosto complessi. I Titolari del trattamento dei dati, quindi, avranno un termine di 6 mesi, per adeguare la struttura digitale al nuovo regolamento.
Infatti, da quanto emerge dalle nuove disposizioni, le parti rilevanti inerenti la Direttiva e-Privacy del 2002 (Direttiva 2002/58/CE), forniscono più che altro un quadro aggiornato su alcuni sviluppi tecnici di natura giuridica, che potevano essere stati poco chiari in precedenza e li sviscera in maniera molto più precisa.
Cos’è un Cookie
I cookie sono stringe di dati, memorizzati sul computer e contenenti informazioni sugli utenti web. I cookie sono principalmente utilizzati, per migliorare la navigazione su internet. Quelli presenti sulla rete web, prendono il nome di: cookie HTTP, cookie web, cookie internet o cookie del browser e vengono creati dai server hosting dei siti web, visitati dall’utente e archiviati nel browser (strumento per la navigazione in internet).
Lo scambio di informazioni, relativo ai cookie archiviati, consente ai siti web di riconoscere un computer e quindi, in un certo senso, ledere la privacy dell’utente (per esempio, viene scoperto quali siti web sono stati visitati prima di approdare a quello in corso).
Cookie e altri strumenti di tracciamento
Le Linee Guida fanno riferimento a tutti gli strumenti di tracciamento. Nonostante le differenze che ci sono dal punto di vista tecnico-informatico, le finalità nel tracciare i dati dell’utente web sono quelle di studiare ed esaminare il profilo comportamentale.
Tuttavia, gli strumenti principali per tracciare un profilo web, sono i Cookie. Ma, come detto in precedenza, un cookie è composto da un semplice testo, contenente dati che possono essere cancellati dall’utente, attraverso le impostazioni del proprio browser (strumento per la navigazione in internet).
Però esistono anche altri strumenti di tracciamento, che possono avere una natura diversa, nei quali vengono raccolte molte più informazioni sul comportamento dell’utente e che rimangono nella disponibilità del Titolare del trattamento dei dati personali.
Per questo motivo il Garante distingue i sistemi di tracciamento attivi rispetto a quelli passivi. Quindi, i cookie tecnici, comunemente detti strumenti di funzionamento “attivi”, che servono al fornitore del servizio del sito web per la corretta navigazione, vengono classificati dal Garante meno pericolosi. Invece si pone l’accento sui cookie “passivi”, in cui il Titolare è tenuto a dare avviso della conservazione e delle finalità.
Inoltre esiste una terza categoria dei cookie, detta “analitica”, che era già stata trattata nel provvedimento del 2014 e che viene nominata dal Garante in un paragrafo a parte in chiusura delle Linee Guida.
Rimane il fatto che non esiste ancora un sistema universalmente accettato per la codifica semantica dei cookie e degli altri strumenti di tracciamento, per cui la distinzione tra le varie categorie viene determinata dai singoli Titolari del trattamento.
Rimane altresì l’obbligo di tutelare gli utenti nel caso in cui i dati personali vengano, in qualche modo, ceduti a terzi. Soprattutto è necessario indicare nell’informativa i criteri che il Titolare ha utilizzato, per classificare i cookie e gli altri strumenti di tracciamento.
Aggiornare i siti web con il nuovo GDPR 2022
L’utilizzo dei cookie e degli altri strumenti di tracciamento è disciplinato dalla Direttiva e-Privacy del 2002, che si pone come criterio specifico rispetto al GDPR, integrandone e precisandone le disposizioni.
Tuttavia, alcuni elementi innovativi, contenuti nel Regolamento europeo, impongono delle rivisitazioni. Anche se la Direttiva resta al momento invariata, le prassi operative si sono evolute notevolmente in questo settore e devono essere approfondite.
Per esempio, il consenso al trattamento dei dati personali, per essere valido, deve essere inequivocabile. Il design relativo all’informativa, che deve apparire quando l’utente approda sul sito web, deve essere progettato a tutela dell’utente stesso.
Inoltre, l’evoluzione comportamentale degli internauti, per il semplice principio che ogni persona possiede ormai più di un dispositivo (basti pensare che ogni apparecchio elettrico-elettronico come Computer e Cellulari, ma ad oggi, anche TV, Decoder, Console dei Videogame e persino Frigoriferi e Lavatrici hanno accesso ad internet e sono quindi collegati in rete), comporta una multi identità digitale.
Se tutto questo, da un certo punto di vista, aiuta la domotica ambientale ad essere sempre più “smart” e digitalizzata, dall’altro ne deriva il rischio, per gli utenti, di essere soggetti a “profili utente” estremamente specifici e dettagliati.
Infatti, grazie all’incrocio dei dati raccolti su più terminali, gli internauti sono identificati grazie alle rivelazioni statistiche. È quindi necessario, secondo il Garante, un ripensamento dell’utilizzo dei cookie e degli strumenti di tracciamento, incentrato sulla tutela dell’utente, in una società sempre più interconnessa.
Il tracciamento e il consenso
Le Linee Guida impongono, quindi, ai Titolari del trattamento dei dati personali dei siti web, di chiedere quali finalità verranno perseguit,e se i cookie sono diversi da quelli tecnici (ribadiamo i cookie tecnici sono quelli inerenti al funzionamento del sito web, senza i quali la struttura digitale non funzionerebbe in maniera corretta).
Il Garante precisa che in questi casi non è lecito invocare il legittimo interesse del Titolare, quale condizione di liceità del trattamento. Infatti, dalle verifiche eseguite dall’Autorità, è emerso che questa era una prassi molto diffusa sul web.
Dunque, entriamo nel dettaglio:
- per i cookie tecnici, il Titolare dovrà unicamente fornire l’informativa sul trattamento dei dati personali, inserendola nella pagina Privacy Policy del sito web.
- per i cookie di profilazione (cioè quelli che creano un profilo utente) e per tutti gli strumenti di tracciamento non tecnici, sarà necessario chiedere il consenso all’utente.
Una delle novità tecniche più significative, deriva dalla possibilità di accettare il consenso tramite “scrolling” (scorrimento rapido della pagina web), che presenta rilevanti criticità sul discorso: “inequivocabilità” dell’azione.
Come già rilevato dal Garante privacy, questa azione risulta essere inadatta ad esprimere un consenso valido ai sensi del Regolamento GDPR, in quanto l’utente non manifesta un consenso informato inequivocabile e soprattutto documentabile.
Sempre secondo il Garante, l’interessato deve essere consapevole delle conseguenze derivanti dalla propria azione. Quindi secondo quanto rilevato, un pulsante di accettazione è più chiaro e quindi più adatto.
Riguardo al requisito inerente alla libertà del consenso, la problematica che è emersa, riguarda il blocco di proseguire la navigazione attraverso un “cookie wall”, ossia quel meccanismo di sbarramento presente sul frontespizio del sito web per cui l’utente, per accedere al servizio, deve necessariamente prestare il proprio consenso al trattamento dei dati personali.
Al momento, da quanto si legge sulla normativa, non è chiaro quanto la scelta dell’utente possa essere libera. D’altronde l’interessato non ha molte alternative. Infatti, in questo caso, il Garante non esprime una invalidità, in senso assoluto sul fatto che si raccolga il consenso tramite cookie-wall, visto che il Titolare del trattamento è impossibilitato a fornire un servizio equivalente senza che l’utente, presti il consenso. Tuttavia, in concreto, la situazione che si crea è piuttosto ambigua.
Infine, il Garante si sofferma sulla questione della reiterazione delle richieste di consenso. Ossia: Quante volte deve apparire la richiesta di consenso sul sito web?
La continua comparsa del popup o cookie-wall (chiamatelo come volete), contenente l’informativa breve, può infatti essere invasiva per gli utenti e incidere sulla loro libertà nella prestazione del consenso, portandoli ad accettare pur di fare sparire il banner.
L’Autorità individua solo alcuni casi in cui sia possibile reiterare la richiesta, ossia quando vi sia una specifica e necessaria finalità informativa dovuta a mutamenti significativi di una o più condizioni del trattamento. Quindi all’interno del sito web, nel caso ci siano alcune pagine che prevedono un trattamento dei dati diverso dalle precedenti, deve prevedere ad una nuova richiesta.
Nel momento in cui il “software scan” dei cookie rileva che l’utente non abbia mai proceduto a dare il consenso o trascorsi almeno sei mesi dalla precedente presentazione del banner, allora il consenso può essere riproposto.
Il banner relativo ai Cookie
In base all’articolo 25 del GDPR i Titolari del trattamento devono incorporare, a tutela dei dati personali degli utenti e fin dalla progettazione, una protezione predefinita, riguardante il primo accesso da parte dell’utente.
In sostanza, quando un utente web approda sul sito web per la prima volta, non devono essere usati cookie o altri strumenti di tracciamento, che non siano di natura tecnica. In tale modo, il titolare potrà assicurare che i dati trattati sono esclusivamente necessari al funzionamento del sito web.
Solo in seguito, può essere chiesto all’utente di prestare il consenso all’utilizzo dei cookie di profilazione o altri strumenti di tracciamento non tecnici. Attraverso l’apposito banner, verrà quindi raccolto il consenso con l’informativa breve. Questo è quanto indicato nell’ultimo aggiornamento relativo al precedente provvedimento del 2014.
La normativa, inoltre, si spinge nello specifico e detta alcune indicazioni, che devono essere rispettate. Per esempio, le dimensioni del banner devono essere tali da costituire una “percettibile discontinuità nella fruizione dei contenuti”, evitando allo stesso tempo il rischio che l’utente possa cliccare in modo inconsapevole sulla “X” di chiusura. Per questi motivi, le dimensioni dovranno essere “responsive” (si devono adattare nelle dimensioni), in base ai diversi dispositivi dell’utilizzatore del sito web.
Il banner dovrà permettere sia di proseguire la navigazione senza prestare alcun consenso, sia di acconsentire all’utilizzo di cookie di profilazione o strumenti di tracciamento non tecnici. A tal fine il Garante richiede che sia posizionata una “X” all’interno del banner per poterlo chiudere con facilità. La “X” dovrà avere la stessa evidenza grafica degli altri pulsanti presenti sul banner.
Per dare seguito al principio per cui il banner deve “causare” una percettibile discontinuità nella fruizione del sito web e per le considerazioni specifiche tecniche sopra citate, il Garante aggiunge che la riproposizione del banner deve avvenire non prima di sei mesi.
Solo in caso di pagine all’interno del sito web, che prevedono altri tipi di tracciamento dei dati, allora la richiesta a mezzo del banner, può essere reiterata. In questo modo si evita di soffocare l’utente con eccessive richieste che rischierebbero di minare la percezione del valore del contenuto del banner stesso.
Gli elementi elencati dal Garante che il banner deve contenere sono:
- l’avvertenza che la chiusura del banner, cliccando sulla “X”, comporterà il permanere delle impostazioni predefinite (solo cookie o strumenti di tracciamento di tipo tecnico);
- l’informativa minima, che specifica se vengono usati cookie o altri strumenti tecnici e che cookie e strumenti di altro tipo potranno essere selezionati tramite i comandi appositamente forniti;
- il link all’informativa estesa, che deve essere reperibile anche nel “footer” (piè di pagina) su tutto il sito web e deve consentire all’interessato di accedere all’informativa tramite un solo click;
- un comando, per esprimere il consenso al posizionamento di tutti i cookie o impiego di tutti gli strumenti di tracciamento;
- il link a un’ulteriore area, in cui potranno essere selezionati analiticamente i cookie di profilazione o gli strumenti di tracciamento non tecnici, anche in base ai soggetti (prime o terze parti) e alle funzionalità, nell’ottica di consentire all’interessato di fornire un consenso granulare (specifico per ogni singolo trattamento). Tutte le scelte dovranno essere preselezionate in modo da negarne l’utilizzo, dando così modo all’utente di esprimere il proprio consenso tramite un’azione inequivocabile.
Oltre al banner, dovrà essere presente, nelle varie pagine del sito web, un link che consenta di rivedere e modificare le scelte compiute sui cookie e agli altri strumenti di tracciamento.
Infine, in base all’Art. 24 del GDPR, tutte le azioni e le scelte degli utenti dovranno essere documentate da parte del Titolare, anche attraverso l’utilizzo di appositi cookie tecnici.
I Cookie di tipo analitico
Il Garante dedica un apposito paragrafo sui cookie analitici, ossia quelli utilizzati per finalità di valutazione delle performance del sito web. Questi tipo di cookie producono esclusivamente una statistica del traffico utenti/visitatori dei siti internet.
Nella nuova Normativa, esattamente come lo era prima, il Garante chiede una distinzione tra cookie di prima parte, ossia quelli tecnici (utilizzabili senza consenso) e cookie di terze parti, per i quali era possibile una equiparazione ai cookie tecnici, solo laddove i dati fossero anonimizzati.
Anche nella nuova Normativa viene ribadita la stessa regola, evidenziando le criticità precedentemente sottolineata (relativa ai molteplici dispositivi a disposizione e in uso ad un solo utente) che potrebbero in qualche modo aggregare i dati ed inficiare l’anonimato.
Conclusioni
La normativa, che nel corso degli ultimi anni ha subìto diverse variazioni, adesso sembra essere diventata piuttosto dettagliata, riguardo alla tutela dei dati personali. La digitalizzazione e gli sviluppi tecnici, apportati ai siti web, devono quindi fare i conti con le conformità imposte dalla normativa vigente.
Le nuove Linee Guida del Garante privacy forniscono tutte le indicazioni necessarie, per adeguare le strutture web a quanto richiesto. Gli operatori del settore dovranno presentare, non solo il banner di richiesta al consenso dei cookie, ma adattare tutta la struttura a norma di legge.
I sei mesi di tempo concessi dall’Autorità, per procedere all’adeguamento, sono comunque un buon lasso di tempo, per attivare le nuove prassi operative riguardo al trattamento dei dati personali.
Aggiornamento 14-01-2022
Antonino Mariano – SEO Manager
Copyright © Antonino Mariano · all rights reserved.
É vietata la copia e la riproduzione dei contenuti di questo articolo.
É vietata la redistribuzione e la pubblicazione dei contenuti non autorizzata espressamente dall’autore.
