Cookie e GDPR. Quali differenze e che cosa cambia ora

Con il 25 maggio e il GDPR che diventa vincolante per tutti è opportuno fare chiarezza sul rapporto tra i cookies con il Regolamento Ue 2016/679. I cookies, va ricordato, sono file di testo inviati da un sito web al computer dell’utente che lo sta visitando. Nascono come strumenti per migliorare la navigazione, ma sono anche utilizzati dalle aziende per identificare, riconoscere e classificare l’utente (si chiamano cookies di profilazione), in modo da poter creare degli annunci personalizzati su ogni sito visitato. Ebbene, l’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law), che che opererà insieme con il GDPR per disciplinare i requisiti per l’uso dei cookie stessi.

Si parla di dati personali quando i cookie sono in grado di identificare un individuo. Anche se non tutti i cookie sono utilizzati in un modo da poter identificare gli utenti la maggior parte di essi sono soggetti al GDPR (vedi Considerando 30 del Regolamento)

LEGGI ANCHE: Le sanzioni. Cosa rischi se non ti metti in regola con il GDPR

Il consenso (non ambiguo)

Con l’entrata in vigore del GDPR verrà modificata anche la disciplina riservata ai cookies. Soprattutto per quanto riguarda la parte relativa al consenso. Come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32

il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano

Questo significa che l’unico comportamento positivo che equivale al consenso sarà quello di selezionare una specifica impostazione tecnica tra le opzioni del browser sull’accettazione o sul diniego dei cookies. Uno dei nuovi obblighi imposti dal GDPR prevede infatti dei meccanismi di opt-out per la revoca del consenso prestato, che siano trasparenti e di efficacia pari alle modalità di acquisizione del consenso.

Tecnicamente, quindi, ogni sito web dovrebbe predisporre un meccanismo chiaro per ottenere un consenso informato e attivo, fornire un metodo per la revoca del consenso, garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso

Il meccanismo di opt-out non deve essere ospitato necessariamente sul tuo sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo accettabile per gestire e revocare il consenso.

Il registro dei consensi

La Cookie Law tra l’altro non impone la tenuta di un registro dei consensi

ma stabilisce la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati

Il modo più semplice per soddisfare questo requisito è quello di adottare una soluzione cookie che utilizzi un meccanismo di blocco preventivo in quanto, in questo caso, i codici che installano cookie sono eseguiti solo dopo aver ottenuto il consenso. In questo modo, infatti, il fatto stesso che i codici siano stati eseguiti è una prova sufficiente del consenso.