Il 10 luglio il Garante Privacy ha pubblicato le nuove Linee Guida sui cookie: un importante documento che spiega come siti web ed eCommerce devono gestire il tema dei cookie.
Il Garante, anche a seguito di una “consultazione pubblica” della prima bozza delle ormai approvate linee guida, non si è limitato a stabilire come non deve essere strutturato un banner cookie ma ne ha delineato in maniera precisa la struttura.
In questo modo sono stati chiariti molti dubbi degli operatori del settore.
Questo non è il primo provvedimento normativo emanato dal Garante Privacy in tema di cookie, ma già nel 2014 erano state pubblicate Linee guida sull’uso dei cookie.
Molte delle indicazioni previste dalle precedenti Linee guida sono ancora valide, ma necessitavano di essere riviste e aggiornate in base sia al recente progresso tecnologico, sia alle novità del GDPR.
Di seguito analizzeremo le principali novità introdotte dalle nuove Linee guida sui cookie.
LEGGI ANCHE: Fermi tutti! Google posticipa il blocco dei cookie di terze parti
Premessa: Cosa sono i cookie e quando serve il consenso
Prima di entrare nel vivo dell’argomento è doveroso soffermarsi sulla definizione di cookie e sulla loro classificazione.
Cosa sono i cookie?
I cookie sono piccoli file che vengono installati sul terminale dell’utente da parte del sito o da terze parti (per il tramite del sito stesso). Questi file vengono installati quando l’utente visita un determinato sito.
I cookie possono quindi essere di prima parte (quelli rilasciati direttamente dal sito) oppure di terza parte (se rilasciati da società terze).
I terminali nei quali i cookie possono essere installati sono i computer, ma anche tablet e smartphone. In sostanza possono essere installati in ogni dispositivo che utilizziamo per visionare un sito web o un eCommerce.
Che funzioni hanno i cookie?
I cookie possono avere molteplici scopi.
Le nuove Linee guida sui cookie, confermando quanto già indicato dalle Autorità nelle precedenti Linee guida del 2014, suddividono i cookie in base alla loro finalità, ovvero:
- Cookie tecnici.
Cookie che permettono al sito di funzionare correttamente. Come, ad esempio, quelli che mantengono le scelte effettuate dall’utente (es. lingua scelta e prodotto nel carrello)
- Cookie di profilazione.
Tali cookie hanno la funzione di ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali al fine di raggrupparli in diversi profili.
I profili degli utenti possono essere utilizzati per finalità statistiche, elaborando i dati sulla navigazione del sito utili per il titolare dello stesso, oppure pubblicitarie, inviando messaggi pubblicitari mirati, in linea con le preferenze manifestate dall’utente nell’ambito della navigazione.
Quando serve il consenso?
Nelle Linee guida il Garante conferma che il rilascio dei cookie tecnici può avvenire senza il consenso dell’utente.
Questi cookie, infatti, sono necessari al sito per funzionare e quindi non ha senso richiedere il consenso dell’utente per prestare un servizio (la navigazione sul sito) richiesto dall’utente stesso.
Invece, i cookie di profilazione possono essere installati solo previo consenso dell’utente.
Il consenso al rilascio dei cookie di profilazione deve essere richiesto tramite il banner cookie.
Diversamente, se il sito web non rilascia cookie di profilazione non dovrà essere presentato all’utente alcun banner cookie.
LEGGI ANCHE: Cookieless: possibili soluzioni per evitare la catastrofe
Come non può essere richiesto il consenso dell’utente
Il Garante Privacy nelle nuove Linee Guida ha individuato alcune modalità che non possono essere utilizzate per ottenere un valido consenso al rilascio dei cookie di profilazione.
In questo modo il Garante Privacy ha confermato interpretazioni normative e giurisprudenziali che gli operatori del settore più esperti seguivano già da tempo.
Scroll della pagina
In primo luogo, è stato stabilito che il consenso non può essere rilasciato mediante “scrolling”.
Alcuni siti consentivano il rilascio dei cookie quando l’utente, una volta arrivato sul sito, scorreva la pagina muovendo la rotellina del mouse.
Il Garante Privacy è stato molto chiaro a riguardo, affermando che lo scrolling non è mai idoneo ad esprimere la manifestazione di volontà dell’interessato volta ad accettare il rilascio dei cookie.
Lo scroll non permette il rilascio di un consenso “espresso”. Infatti, tale azione costituisce un’abitudine che l’utente mette in atto quando accede ad un sito web o ad un eCommerce.
Cookie wall
Il cookie wall è una tecnica utilizzata in alcuni siti web ed eCommerce per negare l'accesso agli utenti che non acconsentano i cookie di profilazione.
Pertanto, con questo sistema, l’utente che voglia accedere al sito si vede obbligato ad accettare i cookie di profilazione.
Pare evidente che in questo caso il consenso dell’utente al rilascio dei cookie non è libero ma deriva dal fatto che senza tale consenso l’utente non può visionare il sito o l’eCommerce.
Proprio per tale ragione le nuove Linee guida sui cookie vietano l’uso dei cookie wall.
Legittimo interesse
Le Linee guida sui cookie confermano che i cookie non possono essere rilasciati sulla base del legittimo interesse.
Il legittimo interesse è una base giuridica che permette al titolare del sito di effettuare un bilanciamento tra il proprio interesse legittimo e quello degli utenti che navigano sul sito.
L’interesse legittimo può giustificare il trattamento dei dati dell’utente per rispondere alle richieste fatte da quest’ultimo tramite il form contatti presente sul sito. In questo caso, infatti, il titolare del sito ha interesse a rispondere alle richieste a lui effettuate e rispettivamente l’utente ha legittimo interesse ad ottenere risposta alle domande la lui stesso formulate.
Il Garante Privacy conferma che non può essere usato il “legittimo interesse” per rilasciare cookie di profilazione sui terminali degli utenti. L’unica base giuridica che permette il rilascio dei cookie di profilazione è il consenso.
LEGGI ANCHE: L’era cookieless è vicina: regole di base per non farsi prendere dal panico
Come deve essere strutturato il banner cookie
Il Garante Privacy nelle nuove Linee Guida non si è limitato a precisare come non deve essere richiesto il consenso al rilascio dei cookie ma si è soffermato molto nel definire come questo consenso deve essere richiesto, analizzando nel dettaglio gli elementi che devono costituire il banner cookie.
È stabilito infatti che i siti web e gli eCommerce dovranno presentare un banner con le seguenti caratteristiche:
- Una “X” in alto a destra, che se cliccata impedisce il rilascio di cookie di profilazione
- Tasto di accettazione
- Una “informativa breve” redatta in base alle indicazioni del Garante Privacy
- Link alla cookie policy
- Link ad “area dedicata” dove l’utente può selezionare/deselezionare i cookie di profilazione
Analizziamo ora nel dettaglio tali elementi che il banner deve contenere.
“X” in alto a destra
Il banner deve presentare una “X” in alto a destra che se selezionata non consenta il rilascio dei cookie.
Infatti, se l’utente clicca su quella “X”, che univocamente online (e non solo) ha il significato di chiusura, il banner deve chiudersi ed i cookie di profilazioni non potranno essere rilasciati dal sito.
Pertanto, con la chiusura del banner, l’utente esprime il suo rifiuto al rilascio dei cookie di profilazione.
Il banner, in maniera chiara e comprensibile, dovrà informare l’utente di tale funzionalità del tasto “X”.
Tasto di accettazione
Oltre al tasto di chiusura il banner dovrà contenere anche un tasto che permetta il rilascio dei cookie di profilazione.
Anche in questo caso il banner dovrà illustrare che, la selezione dell’apposito tasto, costituirà consenso al rilascio di tutti i cookie di profilazione presenti sul sito web o l’eCommerce.
Il tasto dovrà contenere una formulazione atta a far comprendere all’utente quanto sopra enunciato, come ad esempio “acconsento al rilascio dei cookie di profilazione”.
Informare l’utente utilizzando le giuste formulazioni è molto importante per evitare fraintendimenti con l’utente del sito.
Informativa minima da inserire nel banner
Il banner deve contenere una “mini” informativa atta ad informare l’utente che il sito web o l’eCommerce utilizza cookie tecnici e potrà, previo il consenso dell’utente, rilasciare cookie di profilazione.
Il Garante Privacy richiede quindi un’informativa snella e di facile comprensione per l’utente.
Indi per cui in un’informativa troppo lunga e scritta in un linguaggio pseudo “legalese” non sarebbe conforme a quanto indicato nelle Linee Guida.
Link alla cookie policy
Il banner dovrà contenere anche un link alla cookie policy.
Ovvero al documento che illustra all’utente la politica sull’uso dei cookie del sito web o l’eCommerce di rifermento.
Accedendo alla cookie policy l’utente potrà reperire maggiori informazioni relative ai cookie.
Link ad area dedicata ed il suo contenuto
Infine, il banner deve contenere anche un link ad una sezione dedicata dove l’utente potrà scegliere i cookie di profilazione che consente siano rilasciati.
In quest’area dedicata l’utente deve poter:
- Selezionare/deselezionare i cookie di profilazione suddivisi per categoria. Dovranno essere indicate come categorie, quella di profilazione per fini pubblicitarie e quella per finalità statistiche.
- Visionare i cookie di profilazione rilasciati dal sito. Dovranno inoltre essere indicati i link alla pagina del sito del fornitore del cookie di profilazione. In questa pagina l’utente potrà disabilitare tale cookie. Nel caso in cui tale link non fosse disponibile, l’utente dovrà essere informato che potrà disabilitare i cookie di profilazione usando le impostazioni del proprio browser.
Altri adempimenti
Di seguito analizzeremo altri adempimenti ai quali i titolari dei siti web ed eCommerce dovranno conformarsi.
Infatti, oltre alle indicazioni su cosa deve contenere il banner cookie le Linee guida prevedono che:
- L’utente del sito dovrà avere la possibilità di modificare le scelte sui cookie
Successivamente all’accettazione (totale o parziale) o al diniego del rilascio di cookie all’utente dovrà essere data la possibilità di modificare le proprie scelte.
Pertanto, nel footer del sito web dovrà essere indicato un link che indirizzi l’utente ad un’area dove potrà modificare le sue scelte.
- È vietata un’eccessiva reiterazione della richiesta del consenso al rilascio ai cookie
Il Garante Privacy ha notato che alcuni titolari di siti ripropongono il banner cookie ad ogni nuovo accesso dell’utente al medesimo sito, anche quando lo stesso utente abbia già effettuato una scelta acconsentendo o non acconsentendo al rilascio dei cookie.
Le Linee Guida condannano questa condotta, stabilendo che il banner cookie può essere riproposto solamente quando:
- vi siano sostanziali modifiche sulla gestione dei cookie
- siano trascorsi comunque almeno 6 mesi dall’ultima presentazione del banner.
Quanto entreranno in vigore le nuove Linee guida sui cookie?
Il Garante Privacy è consapevole che quanto richiesto nelle Linee Guida richiede importanti interventi ai titolari dei siti e degli eCommerce e alle società che gestiscono generatori di documenti e cookie plugin.
Proprio per questo motivo ha lasciato un lasso di tempo abbastanza lungo per conformarsi a quanto indicato nelle nuove Linee Guida.
Infatti, i siti hanno tempo 6 mesi dalla pubblicazione in Gazzetta Ufficiale delle Linee guida sui cookie per mettersi a norma, ovvero fino al 10 gennaio 2022.
Conclusioni sulle Linee guida sull’uso dei cookie
Attualmente nessun generatore di documenti legali e cookie plugin è conforme alle nuove disposizioni normative.
LegalBlink insieme a Polimeni.Legal, il 9 luglio, ha partecipato ad una Tavola rotonda con il Garante Privacy organizzata da 4eCom.
In questo evento LegalBlink ha avuto modo, tra le altre cose, di confrontarsi sulle nuove Linee Guida (che sono state poi pubblicate il giorno successivo).
Da questo incontro sono emersi importanti spunti su come le società che permettono la generazione dei cookie banner e delle informative cookie (tra cui figurano i tool di LegalBlink) devono implementare le nuove disposizioni.
Maggiori informazioni sulle nuove Linee Guida sono disponibili in questo webinar organizzato LegalBlink.
