Tra un mese scadrà il periodo di adeguamento alle nuove Linee guida del Garante per la protezione dei dati personali, che investono anche la gestione di strumenti di tracciamento “passivi”, come per esempio il fingerprinting, e “attivi”, tra i quali troviamo i cookie: approfondiamo insieme la normativa vigente e quali sono i cambiamenti in arrivo.
La normativa che disciplina l’utilizzo dei cookie
Iniziamo ricordando che cosa sono i cookie: si tratta di stringhe di testo che i siti web posizionano e archiviano dentro al dispositivo dell’utente durante la navigazione. Possono svolgere la funzione di identificare chi ha già visitato il sito in precedenza, oppure di ottenere dati sulle attività che l’utente svolge online.
Per questo loro potenziale, i cookie vengono utilizzati per le attività di marketing e di advertising: motivo per cui l’Unione Europea e il Garante della Privacy sono intervenuti per regolamentarne l’impiego.
Nella Direttiva 2002/58/CE, recepita in Italia dal Codice della privacy, viene definita la regola generale di raccolta del consenso per procedere all’archiviazione di informazioni sui dispositivi e le relative eccezioni per le finalità tecniche. Su un livello più generale, invece, occorre fare riferimento al Regolamento (UE) 2016/679 (GDPR), che all’art. 4 punto 11 dà la definizione generale e le caratteristiche dell’archiviazione e specifica all’art. 7 le condizioni di consenso.
Il Garante della Privacy era intervenuto nel 2014 fornendo indicazioni sulle modalità del consenso dei cookie e sulla loro archiviazione: da allora però il GDPR è pienamente entrato in vigore, alcuni operatori di marketing hanno cercato di aggirare le norme a discapito degli utenti e le tecnologie sono evolute, rendendo necessaria l’emanazione di nuove linee guida adeguate al contesto odierno.
Le nuove linee guida sui cookie e gli altri strumenti di tracciamento sono state emanate il 10 giugno 2021 e la scadenza data ai titolari di tutti i siti web per conformarsi è fissata per il 9 gennaio: vediamo ora quali cambiamenti sono stati introdotti.
Le nuove linee guida: quando viene richiesto il consenso?
Il Garante della Privacy indica la gestione dei cookie distinguendo tre categorie:
Cookie tecnici
Sono necessari per effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Per questa categoria non è necessario richiedere il consenso dell’utente, ma devono comunque essere indicati nell’informativa.
Cookie analytics – prime e terze parti
Sono utilizzati per valutare l’efficacia di un servizio o delle informazioni fornite dal titolare del sito e ottimizzarlo sotto il profilo SEO; un esempio è GA4.
Non è necessario richiedere il consenso dell’utente nel momento in cui vengono rispettate le seguenti condizioni:
- I cookie vengono utilizzati unicamente per statistiche aggregate e in relazione ad un singolo sito o applicazione mobile;
- Per i cookie di terze parti viene mascherata almeno la quarta componente dell’indirizzo IP;
- Le terze parti si astengono dal combinare i cookie analytics con altre elaborazioni (per esempio file dei clienti o statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale.
Il titolare che effettui in proprio la mera elaborazione statistica dei dati relativi a più domini, siti web o app ad esso riconducibili può utilizzare anche i dati in chiaro, nel rispetto del vincolo di finalità.
Cookie di profilazione
Servono a ricondurre a determinati soggetti azioni specifiche o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte sul sito web.
Il consenso dell’utente è obbligatorio.
Questo comporta una serie di adeguamenti dal punto di vista pratico che ricadono sulle integrazioni nei siti web e nelle app mobile (anche se in misura minore), la documentazione sulle preferenze degli utenti e la verifica della conformità dei consensi già raccolti.
Conformare i siti web e le app
Il documento contenente le nuove linee guida è esteso e molto dettagliato, ma possiamo riassumere alcune delle azioni che il proprietario di un sito web dovrà mettere in atto:
- Verificare la configurazione Analytics per rientrare nella tipologia di cookie tecnici;
- Aggiornare il banner cookie secondo le indicazioni del Garante;
- Aggiornare l’area di selezione dei consensi;
- Inserire nel footer il link all’informativa estesa della Privacy, un’icona dello stato dei consensi e un link per rivedere le scelte dell’utente sui cookie;
- Verificare e aggiornare l’informativa estesa della Privacy e Cookie Policy riguardo l’utilizzo di cookie o altri strumenti tecnici;
- Verificare la conformità dei consensi già raccolti;
- Documentare le preferenze espresse dall’utente sull’utilizzo dei cookie.
Le nuove linee guida sono un ulteriore passo verso un web sempre più utente-centrico, progettando una User Experience rispettosa dei tempi, delle esigenze e delle scelte dei singoli individui. L’adeguamento alle indicazioni del Garante richiede un intervento che coinvolge contenuto, design e sviluppo del sito web: l’appoggio di un partner digitale specializzato può accelerare i tempi necessari per la conformazione e al contempo assicurare la completa aderenza alla nuova normativa.
Devi aggiornare la Cookie Policy del tuo sito web?