NUOVE LINEE GUIDA SUI COOKIE DAL GARANTE PRIVACY

Il Garante per la protezione dei dati personali è intervenuto su una questione che necessitava certamente di chiarimenti, e che, da sempre, è affrontata da ogni titolare del trattamento in maniera alquanto personalistica: la gestione dei cookie sul proprio sito web.

Cosa sono i cookie

I cookie sono stringhe di testo che i siti web visitati dall’utente (cd. “prime parti”) o siti diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei primi e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno del dispositivo dell’utente.

Le funzioni svolte dai cookie sono molteplici: questi possono servire al corretto e fluido caricamento della pagina web (cookie tecnici) o possono spingersi fino a tenere traccia del comportamento e delle scelte dell’utente sulla pagina (cookie di profilazione)

Le informazioni contenute nei cookie possono dunque non includere dati personali, e riguardare ad esempio le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito, o, al contrario, includerli, e tenere traccia di un indirizzo IP, un nome utente o un indirizzo e-mail.

Nuove linee guida del Garante

La gestione dei cookie è forse uno dei terreni più scivolosi in materia di protezione dei dati personali: negli anni si sono susseguite una serie di pratiche scorrette, che hanno riguardato ad esempio le modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati o il crescente uso di tracciatori particolarmente invasivi. Tutte queste pratiche hanno come interesse comune quello di raccogliere una gran quantità di informazioni sull’utente e sulle sue preferenze e abitudini (c.d. attività di profilazione) senza preoccuparsi di informarlo e chiedere il suo consenso a riguardo

Cosa ha disposto il Garante

Passiamo adesso a vedere cosa prevedono in concreto le nuove linee guida del Garante:

  • Nessun cookie dovrà essere salvato quando l’utente approderà su un sito

Al momento del primo accesso ad un sito web, per impostazione predefinita, nessun cookie o altro strumento, diverso da quelli tecnici, potrà essere salvato sul dispositivo dell’utente (ricordiamo che i cookie tecnici, essendo necessari al corretto caricamento della pagina web, non necessitano di un consenso da parte dell’utente, è sufficiente elencarli in informativa.)

  • Obbligo di Informativa

L’informativa agli utenti, obbligo già previsto e che deve indicare tutti i dati personali degli utenti acquisti tramite sito, dovrà ora indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni.

Quindi, ad esempio, nel caso di cookie di terze parti sarà necessario esplicitare a quali destinatari verranno comunicati i dati personali acquisiti tramite cookie e per quanto tempo verranno conservati.

  • Manifestazione del consenso

Il consenso ai cookie di profilazione era già previsto come obbligatorio, ora il Garante precisa però che il Titolare deve consentire all’utente che volesse visitare il proprio sito di poter proseguire nella navigazione senza essere in alcun modo tracciato.

Inoltre, la pratica di scorrere in basso la pagina web (scroll down), proseguendo nella navigazione oltre il banner, che in passato veniva considerato una sorta di silenzio assenso e quindi una valida forma di manifestazione del consenso dell’utente, viene ribadita dal Garante come pratica assolutamente insufficiente per poter considerare acquisto un valido consenso da parte dell’utente.

I titolari dei siti dovranno prevedere delle modalità attraverso le quali lo “scrolling” venga inserito in un processo più articolato, nel quale l’utente sia portato a generare un atto, registrabile presso il server del sito, che possa essere qualificato come azione idonea a manifestare un consenso al trattamento.

  • No a richieste continue di consenso

Il Garante specifica, infine, che la ripresentazione del banner ad ogni nuovo accesso agli utenti che in precedenza l’abbiano negato è una pratica invasiva e ridondante.

I titolari dei siti hanno dunque l’obbligo di registrare la scelta dell’utente e non richiedere nuovamente il consenso, a meno che non mutino significativamente le condizioni del trattamento o siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.