Farmacia Morelli Lonato

PROVVEDIMENTO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI: SCHEDA DI SINTESI DEL PROVVEDIMENTO N. 231 DEL 10 GIUGNO 2021 “COOKIE: NUOVE LINEE GUIDA A TUTELA DEGLI UTENTI”

Con il Provvedimento dello scorso giugno il Garante per la protezione dei dati personali ha inteso riunire ed aggiornare tutte le indicazioni normative in tema di cookie e/o altri sistemi di tracciamento della persona che utilizza strumenti tecnologici per la navigazione.

Il punto centrale è il rispetto dei principi di accountability, privacy by design e privacy by default che si sintetizzano nel permettere all’utente un uso sempre più consapevole e rafforzare il suo potere di decisione quando naviga online.

Secondo il Provvedimento del Garante ogni titolare del sito ha 6 mesi di tempo per adeguarsi alle linee guida.

Nello schema sotto sono riportate le principali domande e risposte che permettono una corretta gestione della policy relativa ai cookie di ogni sito web.

page1image21972672 page1image21973440

Quesito

1 Definizione di cookie

Risposta

Sono stringhe di testo che i siti web visitati dagli utenti (cd. Publisher, o “prime parti”) ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utentemedesimo, perché siano poi ritrasmessi agli stessi siti alla visita successiva.

page1image21972864

2 A cosa servono i cookie

Sono usati per differenti finalità quali:
a) esecuzione di autenticazioni informatiche;
b) monitoraggio di sessioni;
c) memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server;
d) memorizzazione delle preferenze, o per agevolare la fruizione dei contenuti on line (es. per tenere traccia degli articoli in un carrello degli acquisti o delle informazioni per la compilazione di un modulo informatico ecc);
e) profilare l’utente (cioè “osservarne” i comportamenti, es. inviare pubblicità mirate, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali) cd. cookie di profilazione.
Lo stesso risultato può essere conseguito anche per mezzo di altri strumenti o tecniche di tracciamento, tra i quali il fingerprinting.

page1image21974592

3 Cosa sono i cookie tecnici

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Senza tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

4 I cookie analitici sono cookie tecnici?

No.

Il Garante ha precisato che possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito.

Qualora, invece, l’elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analitici valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

In via di eccezione, è comunque consentita tanto alla prima parte che vi provveda in proprio quando alla terza parte che agisca su mandato della prima, la produzione di statistiche con dati relativi a più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale.

 

5 È sempre necessario il consenso per l’installazione dei cookie sul proprio terminale?

Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”. Per l’installazione dei cookie tecnici e di quelli analitici non è richiesto il consenso degli utenti, mentre è comunque sempre necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679).

I cookie di profilazione o gli altri strumenti di tracciamento, invece, possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

6 Modalità di rilascio dell’informativa semplificata sui cookie e consenso dei cookie di profilazione

Come stabilito dal Garante l’informativa dovrebbe essere impostata su più livelli ed è possibile sia resa anche su più canali, adottando ogni più opportuno accorgimento per renderla fruibile senza discriminazioni anche ai soggetti portatori di disabilità.

Pur nel rispetto dell’accountability, il Garante tuttavia suggerisce l’adozione di un meccanismo per il quale, nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), compaia immediatamente un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”.

In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

7 come deve essere realizzato il banner

Il titolare deve garantire che, per impostazione predefinita, siano trattati solo i dati necessari al conseguimento di specifiche finalità, limitando cioè il trattamento al minimo indispensabile per consentire agli utenti la navigazione nel sito; di conseguenza, al momento del primo accesso dell’utente, non potrà essere utilizzato nessun cookie o altro strumento di tracciamento.

Potrà successivamente comparire un banner, di dimensioni adeguate ai diversi tipi di dispositivo utilizzabili, che pur non impedendo il mantenimento delle impostazioni predefinite, consenta a chi invece lo desidera di esprimere il proprio consenso.

L’utente che non intenderà prestarlo, si limiterà a chiudere il banner selezionando l’apposito comando normalmente utilizzato a questo scopo (di regola, un pulsante con una X posto in alto a destra del banner stesso). page3image21887424

8 quali indicazioni e comandi deve contenere il banner

Il banner deve:
– specificare, se presenti, che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;
– contenere il link all’informativa estesa e ad una diversa area nella quale sia possibile selezionare in modo analitico solo le funzionalità, i cookie e le terze parti cui si intende prestare il proprio consenso;
– contenere un comando per esprimere il proprio consenso accettando tutti i cookie o altri strumenti di tracciamento;
– precisare che se l’utente sceglie di chiudere il banner utilizzando il pulsante con la X in alto a destra, saranno mantenute le impostazioni predefinite che non consentono l’utilizzo di cookie o altri strumenti di tracciamento diversi dai tecnici.

page3image21886656

9 In che modo può essere documentata l’acquisizione del consenso effettuata tramite l’uso dei banner

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato.

Resta ferma la possibilità per l’utente di modificare, in ogni momento e in maniera agevole, le proprie opzioni. Al riguardo, costituisce buona prassi l’adozione di un accorgimento tecnico (ad esempio una icona o un segno grafico) che indichi in ogni momento lo stato dei consensi resi in precedenza dall’utente.

10 Il banner può essere riproposto ad ogni accesso al sito successivo al primo?

No.

Se l’utente non ha fornito il proprio consenso o lo abbia fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato se non in casi specifici:
a) quando cambiano significativamente una o più condizioni del trattamento, ad esempio le “terze parti”; b) quando è impossibile per il provider sapere se un cookie tecnico è già stato posizionato nel dispositivo dell’utente (ad esempio nel caso in cui sia l’utente stesso a cancellare i cookie);

c) quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner.

11 Il consenso online all’uso dei cookie può essere chiesto solo tramite banner?

No.

I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.

12 È necessario il banner cookie anche se si utilizzano solo cookie tecnici?

No.

In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

13 Consenso tramite scrolling

No, lo scorrimento del cursore di pagina non è atto in sé idoneo alla manifestazione di consenso.
Lo scrolling potrebbe semmai costituire una delle componenti di un processo più articolato che consenta di generare un evento informatico idoneo ad esprimere una scelta registrabile, documentabile e inequivocabile.

14 È lecito negare l’accesso a un sito nel caso in cui l’utente neghi il consenso all’impiego di cookie e/o altri sistemi di tracciamento?

No, salva l’ipotesi, da verificarsi caso per caso, nella quale il titolare del sito, agendo nel rispetto del principio di correttezza, offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso.

15 Cosa deve indicare l’informativa estesa

– Tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito,
– Elencare gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione delle informazioni e le indicazioni sulla possibilità e sulle modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.

– Deve contenere i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analitici e da quelli di profilazione.

16 Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie

Il titolare del sito web che installa cookie di profilazione. Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso riguardano le terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa”estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.