PROVVEDIMENTO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI: SCHEDA DI SINTESI DEL PROVVEDIMENTO N. 231 DEL 10 GIUGNO 2021 “COOKIE: NUOVE LINEE GUIDA A TUTELA DEGLI UTENTI”
Con il Provvedimento dello scorso giugno il Garante per la protezione dei dati personali ha inteso riunire ed aggiornare tutte le indicazioni normative in tema di cookie e/o altri sistemi di tracciamento della persona che utilizza strumenti tecnologici per la navigazione.
Il punto centrale è il rispetto dei principi di accountability, privacy by design e privacy by default che si sintetizzano nel permettere all’utente un uso sempre più consapevole e rafforzare il suo potere di decisione quando naviga online.
Secondo il Provvedimento del Garante ogni titolare del sito ha 6 mesi di tempo per adeguarsi alle linee guida.
Nello schema sotto sono riportate le principali domande e risposte che permettono una corretta gestione della policy relativa ai cookie di ogni sito web.
Quesito 1 Definizione di cookie |
Risposta Sono stringhe di testo che i siti web visitati dagli utenti (cd. Publisher, o “prime parti”) ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utentemedesimo, perché siano poi ritrasmessi agli stessi siti alla visita successiva. |
2 A cosa servono i cookie |
Sono usati per differenti finalità quali: |
3 Cosa sono i cookie tecnici |
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili. |
4 I cookie analitici sono cookie tecnici? |
No. Il Garante ha precisato che possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito. Qualora, invece, l’elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analitici valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici. In via di eccezione, è comunque consentita tanto alla prima parte che vi provveda in proprio quando alla terza parte che agisca su mandato della prima, la produzione di statistiche con dati relativi a più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale. |
|
|
5 È sempre necessario il consenso per l’installazione dei cookie sul proprio terminale? |
Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”. Per l’installazione dei cookie tecnici e di quelli analitici non è richiesto il consenso degli utenti, mentre è comunque sempre necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679). I cookie di profilazione o gli altri strumenti di tracciamento, invece, possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. |
6 Modalità di rilascio dell’informativa semplificata sui cookie e consenso dei cookie di profilazione |
Come stabilito dal Garante l’informativa dovrebbe essere impostata su più livelli ed è possibile sia resa anche su più canali, adottando ogni più opportuno accorgimento per renderla fruibile senza discriminazioni anche ai soggetti portatori di disabilità. Pur nel rispetto dell’accountability, il Garante tuttavia suggerisce l’adozione di un meccanismo per il quale, nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), compaia immediatamente un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare. |
7 come deve essere realizzato il banner |
Il titolare deve garantire che, per impostazione predefinita, siano trattati solo i dati necessari al conseguimento di specifiche finalità, limitando cioè il trattamento al minimo indispensabile per consentire agli utenti la navigazione nel sito; di conseguenza, al momento del primo accesso dell’utente, non potrà essere utilizzato nessun cookie o altro strumento di tracciamento. Potrà successivamente comparire un banner, di dimensioni adeguate ai diversi tipi di dispositivo utilizzabili, che pur non impedendo il mantenimento delle impostazioni predefinite, consenta a chi invece lo desidera di esprimere il proprio consenso. L’utente che non intenderà prestarlo, si limiterà a chiudere il banner selezionando l’apposito comando normalmente utilizzato a questo scopo (di regola, un pulsante con una X posto in alto a destra del banner stesso). |
8 quali indicazioni e comandi deve contenere il banner |
Il banner deve: |
9 In che modo può essere documentata l’acquisizione del consenso effettuata tramite l’uso dei banner |
Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato. Resta ferma la possibilità per l’utente di modificare, in ogni momento e in maniera agevole, le proprie opzioni. Al riguardo, costituisce buona prassi l’adozione di un accorgimento tecnico (ad esempio una icona o un segno grafico) che indichi in ogni momento lo stato dei consensi resi in precedenza dall’utente. |
10 Il banner può essere riproposto ad ogni accesso al sito successivo al primo? |
No. Se l’utente non ha fornito il proprio consenso o lo abbia fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato se non in casi specifici: c) quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner. |
11 Il consenso online all’uso dei cookie può essere chiesto solo tramite banner? |
No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge. |
12 È necessario il banner cookie anche se si utilizzano solo cookie tecnici? |
No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito. |
13 Consenso tramite scrolling |
No, lo scorrimento del cursore di pagina non è atto in sé idoneo alla manifestazione di consenso. |
14 È lecito negare l’accesso a un sito nel caso in cui l’utente neghi il consenso all’impiego di cookie e/o altri sistemi di tracciamento? |
No, salva l’ipotesi, da verificarsi caso per caso, nella quale il titolare del sito, agendo nel rispetto del principio di correttezza, offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso. |
15 Cosa deve indicare l’informativa estesa |
– Tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito, – Deve contenere i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analitici e da quelli di profilazione. |
16 Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie |
Il titolare del sito web che installa cookie di profilazione. Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso riguardano le terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa”estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse. |