Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Cookie e tracciamento online: cosa cambia e cosa bisogna fare per adeguarsi alle nuove Linee Guida

Nuove linee guida per i cookie, realizzate dal Garante della privacy, sono state poste in consultazione pubblica. Esse introducono novità sul tema e pertanto vediamo insieme le novità che dovranno essere implementate nei prossimi mesi da parte dei proprietari di siti internet.

Il Garante della privacy ha sentito l’esigenza di aggiornare il Provvedimento in materia Cookies che risaliva al maggio del 2014, testo che nonostante la sua ottima struttura, risultava non più attuale al progresso tecnologico intercorso in questi ultimi anni.

A seguito Regolamento UE 16/679, delle Linee Guida del WP29 del 10 aprile 2018 ratificate dall’EDPB il 25 maggio 2018 e delle Linee Guida 5/2020, il Garante ha ritenuto opportuno intervenire in materia di cookie aggiornando il precedente Provvedimento del 2014. Tale documento imponeva degli obblighi di informativa a favore degli utenti attraverso banner di idonee dimensioni contenenti una informativa semplificata. Questi banner segnalano la presenza di cookie nel sito web, i quali sono un piccolo file di testo che viene memorizzato sul dispositivo dell’utente quando questo naviga.

I cookie sono stati inizialmente introdotti per consentire di memorizzare gli oggetti da acquistare in Rete, essi però, possono anche essere utilizzati per ricordare alcune informazioni che l’utente ha precedentemente inserito nei form, come ad esempio il nome, l’indirizzo, la password e/o i numeri delle carte di credito. Possiamo dire che questo strumento è nato come mezzo puramente tecnico, ed è diventato nel corso degli anni uno strumento per raccogliere dati ed informazioni, base dell’attività di raccolta pubblicitaria.

I cookie possono presentare varie caratteristiche, le principali classificazioni riguardano la loro durata:

  • Cookie di sessione: non vengono memorizzati in modo persistente sul dispositivo dell’utente e vengono cancellati alla chiusura del browser;
  • Cookie persistenti: non vengono cancellati alla chiusura del browser, essi scadono ad una data specifica o dopo un determinato periodo di tempo. Ciò significa che le sue informazioni verranno trasmesse al server ogni volta che l’utente visita il sito web.

Successivamente i cookie possono essere classificati in base alla loro provenienza:

  • Cookie di prima parte: i cookie appartengono al sito web visitato dall’utente.
  • Cookie di terza parte: i cookie appartengono a siti web diversi da quello visitato dall’utente.

La terza classificazione è legata alla finalità:

  • Cookie tecnici: servono per la navigazione nella pagina internet, non richiedono il consenso da parte degli utenti;
  • Cookie statistici: vengono usati per ottimizzare il sito web direttamente dal titolare del sito stesso, le informazioni raccolte sono in forma aggregata ed anonima;
  • Cookie funzionali: utili per favorire l’esperienza personalizzata di navigazione da parte dell’utente (es. scelta della lingua);
  • Cookie di marketing e profilazione (pubblicitari): questi cookie hanno lo scopo di fornire spazi pubblicitari. Essi possono essere installati, dal titolare del sito oppure da terze parti solo dopo avere acquisito il consenso da parte dell’utente.

Il banner cookie deve contenere un’informativa semplificata, sono di solito 2 3 righe al massimo, dove indicano se il sito fa uso di cookies e chiariscono se essi sono di prima e di terza parte e se sono di profilazione o di altra natura. Solitamente vi è riportato un link ipertestuale dove possiamo trovare una descrizione più accurata e completa sui cookies utilizzati.

Adesso che abbiamo fatto un quadro generale della materia, vediamo cosa prevedono le nuove Linee Guida del Garante.

Il Titolare del trattamento (il proprietario del sito web), ha l’obbligo di informare i visitatori circa l’utilizzo dei cookie. Gli attuali banner sono poveri di informazioni e rimandano a privacy policy spesso strutturate con un linguaggio molto tecnico. È consolidato che utenti del web leggono in maniera superficiale questi banner o le informative complete, sottovalutando i rischi che possono nascondersi per la sicurezza dei propri dati. Il Garante privacy per aumentare la consapevolezza dei rischi legati a questo tema, richiede la modifica della dimensione dei banner, ovvero, non saranno più legittime le poche righe di testo inserite alla fine della pagina web che non bloccano la navigazione. Infatti, essi dovranno occupare almeno metà pagina internet e prevedere un testo esaustivo e con un linguaggio comprensibile, sarà sempre necessario il link ipertestuale per permettere alle persone interessate di approfondire la materia (informativa granulare o multilevel/multichannel) e, ovviamente sarà necessario chiedere il consenso per i cookie non tecnici. Sarà quindi necessario implementare una cookie setting, dove l’utente potrà scegliere liberamente quali informazioni condividere (i cookie non dovranno quindi essere preselezionati) e tenere traccia delle scelte effettuate da parte degli utenti. Preme di ricordare che se l’utente non esprime una scelta si intende che esso non abbia dato il consenso all’uso di cookie non tecnici.

Inoltre, il consenso non può essere chiesto infinite volte, infatti non è raccomandabile questa tecnica, nella speranza di un errore da parte dell’utente, infatti esso potrà modificare le sue scelte tramite il cookie setting in qualunque momento.

Altra novità riguarda l’inserimento di una descrizione dei criteri di codifica dei cookie, compito tecnico che implica l’indicazione nella cookie policy di criteri attraverso i quali vengono classificati i cookie (di prima o di terza parte, tecnico o di profilazione ecc.).

Il Garante infine vieta l’utilizzo dei cookie wall, ovvero quelle barriere che impediscono agli utenti di non accettare cookie di profilazione. Infatti, se un utente non esprime un consenso per questa tipologia di cookie, dovrà pur sempre navigare nel sito internet, ma ovviamente con funzionalità ridotte.

Per quanto riguarda lo Scrolling, ovvero l’azione che consente nel lasciare scorrere la pagina in modo da mostrare all’utente sullo schermo del proprio dispositivo la parte sottostante il banner, il Garante si pone in continuità con il parere 5/2020 dell’EDPB che ritiene questa tecnica non idonea di per sé ad esprimere la manifestazione di volontà dell’interessato volta ad accettare il posizionamento di cookie diversi da quelli tecnici (es. di profilazione).

Conclusione

Il Garante, in linea con il GDPR, vuole responsabilizzare i Titolari del trattamento, e per questo fanno leva sull’obbligo di informazione nei confronti degli utenti, i quali però devono prendere maggiore consapevolezza del mondo digitale.

Per fare una sintesi delle novità possiamo fare questo elenco che nei prossimi mesi (ancora non sappiamo quando) i proprietari dei siti web dovranno adeguarsi alle linee guida definitive in materia:

  • Mappare i cookie utilizzati (codificare i cookie)
  • Modificare il banner del sito internet secondo la forma indicata dal Garante;
  • Impostare un cookie setting per facilitare le scelte degli utenti
  • Documentare i consensi raccolti;
  • Impedire i cookie wall e lo scrolling;

Valutare alternative ai cookies (non sono l’unico strumento a disposizione)