Uso dei cookie, nuove norme sulla gestione del consenso sui siti web: cosa cambia e sanzioni
Approvate il 10 luglio del 2021, l’appuntamento con l’entrata in vigore delle nuove linee guida del Garante della Privacy sull’utilizzo dei cookie e degli altri strumenti di tracciamento degli utenti è fissato per il 10 gennaio 2022, esattamente 6 mesi dopo.
Da questa data i titolari dei siti web devono mettersi definitivamente in regola. L’obiettivo è assicurare la conformità con il Regolamento generale sulla protezione dei dati (o Gdpr, General data protection regulation) e la direttiva ePrivacy.
Prima di entrare nel dettaglio delle disposizioni e comprendere la portata dei cambiamenti, ricordiamo che i cookie sono le stringhe di testo che appaiono sulla schermata principale di un sito web o di un social network. La loro funzione è di richiedere il consenso all’utente al trattamento dei dati personali.
Stando alle nuove norme approvate dal Garante della Privacy, il banner deve contenere un comando per accettare o rifiutare i cookie e le altre tecniche di tracciamento.
In seconda battuta deve specificare i tempi di conservazione dei dati personali dell’utente. Quindi deve ospitare il link alla privacy policy.
Altro passaggio indispensabile per assicurarsi la conformità con le nuove linee guida è la concessione all’utilizzatore della possibilità di dare e revocare il consenso in modo granulare sulla base delle finalità e dei fornitori.
In entrambi i casi, la procedura deve essere proposta in modo semplice con un link per gli utenti che vogliono modificare i consensi rilasciati. Infine, ma non di minore importanza ai fini della conformità, il linguaggio da utilizzare deve essere semplice e accessibile.
Ci sono altri due passaggi interessanti nelle linee guida del Garante.
Il primo riguarda il controllo dei dati personali dell’utente che deve avvenire tramite un banner che adempie a questa specifica finalità.
In seconda battuta, il banner deve contenere una X in alto a destra per consentire agli utenti la chiusura senza prestare il consenso all’uso dei cookie ovvero senza essere profilato ovvero conservando le impostazioni di default.
Ricordiamo che il Garante distingue fra tre differenti tipi di cookie:
- tecnici: necessari al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”;
- analitici: sfruttati per valutare l’efficacia di un servizio e misurare il traffico di un sito web attraverso una serie di metriche, come il numero di visitatori, la frequenza di rimbalzo e la fascia oraria della connessione;
- di profilazione: utilizzati per “ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete”.
Cookie sui siti web: come raccogliere il consenso
Altro snodo centrale delle nuove disposizioni del Garante della Privacy è la raccolta del consenso.
La regola di base prevede che sia sempre obbligatoria, a meno che non si tratti di cookie tecnici, indispensabili per il funzionamento del sito web.
Le nuove disposizioni approvate dal Garante vanno oltre questo principio e parlano chiaro: fare scrolling non significa prestare consenso al trattamento dei dati.
Semaforo rosso davanti ai cookie wall ovvero quelle barriere – come i popup – che bloccano l’accesso a un sito web se l’utente non consente l’uso di tecnologie di tracciamento. Il Garante li considera illeciti, a meno che il sito offra all’utente la possibilità di accedere senza prestare il proprio consenso all’installazione.
Qual è il tempo di adeguamento alle nuove norme del Garante?
Sono 6 i mesi di tempo concessi alle aziende per adeguare i propri siti web alle linee guida sull’utilizzo dei cookie e altri sistemi di tracciamento.
Il conto alla rovescia è iniziato dalla pubblicazione delle disposizioni sulla Gazzetta Ufficiale, risalente al 10 luglio 2021.
Ai sensi del Regolamento generale sulla protezione dei dati, se l’utente dà il proprio consenso al trattamento dei dati, l’atto deve essere “libero, specifico, informato e inequivocabile”.
E i consensi raccolti prima delle nuove linee guida sono validi?
Arrivati a questo punto, una domanda è perfettamente lecita: i consensi raccolti prima della pubblicazione delle nuove linee guida sui cookie sono validi?
La risposta è affermativa nel caso in cui risultino conformi alle caratteristiche richieste ovvero siano registrati e possano essere documentati.
In ogni caso, il banner non può essere mostrato agli utenti prima di 6 mesi dalla raccolta del consenso.
Il mancato rispetto delle nuove linee guida del Garante della Privacy sull’utilizzo dei cookie e degli altri strumenti di tracciamento espone il titolare del sito web a sanzioni pecuniarie. Gli scenari sono due:
- omessa o inidonea informativa per cui scatta una sanzione da 6.000 a 36.000 euro;
- installazione di cookie senza consenso per cui si applica una sanzione da 10.000 a 120.000 euro.
