Il 9 luglio 2021 sono state pubblicate nella Gazzetta Ufficiale le linee guida sui cookie approvate dal Garante della Privacy il 10 giugno 2021. Questo provvedimento del Garante aggiorna le indicazioni fornite con il proprio precedente provvedimento del 2015.

Le nuove linee guida entreranno in vigore sei mesi dopo la pubblicazione sulla Gazzetta Ufficiale, e dunque il 9 gennaio 2022. Entro questa data, imprese, organizzazioni ed enti pubblici dovranno adeguare i propri siti tenendo conto delle nuove indicazioni.

Niente allarmismi: le nuove linee guida non stravolgono le precedenti istruzioni e non rendono più complicata la vita ai gestori dei siti web. Al contrario, il loro obiettivo è di stabilire regole uniformi che rendano più fluida l’esperienza d’uso dell’utente.

Al contrario, le linee guida sui cookie del 2021 hanno lo scopo di ridurre i casi in cui la navigazione dell’utente è interrotta da banner o popup. Il consenso prestato dall’utente potrà durare fino a sei mesi, senza la necessità di riproporre ad ogni sessione la richiesta di consenso.

Ma cosa occorrerà fare in concreto per adeguare il proprio sito web alle linee guida sui cookie 2021 del Garante della Privacy? Indichiamo di seguito gli aspetti da considerare.

Valutare i cookie ed i sistemi di tracciamento utilizzati e classificarli correttamente

Anzitutto, è importante avere sempre chiaro quali sono i cookie ed i sistemi di tracciamento attivi sui propri siti web.

Resta infatti confermato che, se si fa ricorso soltanto a cookie “tecnici” non è necessario acquisire un esplicito consenso dell’utente, essendo sufficiente prestare la sola informativa.

Sistemi di tracciamento attivo e passivo

Il Garante ha chiarito che le linee guida si applicano sia ai sistemi di tracciamento “attivo” sia ai sistemi di tracciamento “passivo”.

Sono sistemi tracciamento attivo rientrano tutti quei sistemi che salvano informazioni nei dispositivi degli utenti. Rientrano in questa categoria i normali cookie.

Sono invece sistemi di tracciamento passivo tutti quei sistemi che esaminano il comportamento dell’utente, registrando le informazioni in una base dati controllata dal titolare del sito. Rientrano in questa categoria tutti i sistemi di analisi comportamentale, come le varie heatmap e simili.

Anche i sistemi di tracciamento passivo potranno essere attivati solo con il consenso degli utenti. Occorrerà pertanto adeguare il proprio sito se adesso questi strumenti sono attivati indipendentemente dal consenso dell’utente.

Cookie tecnici, analitici e profilanti

Le linee guida sui cookie del 10 giugno 2021 confermano la distinzione tra cookie tecnici, cookie analitici di terze parti e cookie di profilazione.

Si considerano cookie tecnici i cookie che si limitano a registrare informazioni necessarie per assicurare il corretto funzionamento del sito web. Ad esempio, sono cookie tecnici quelli che servono a registrare la sessione o a riconoscere un utente.

Sono cookie tecnici anche quelli utilizzati da alcuni servizi per la gestione del traffico o per memorizzare la lingua del sito o la versione localizzata alla quale l’utente accede.

Sono cookie analitici quelli che servono elaborare statistiche sull’utilizzo del sito web e sull’origine del traffico. Se usati dal titolare del sito, sono analitici di prima parte. Si considerano cookie analitici di terze parti quelli salvati da servizi offerti da terze parti (come Google Analytics) per l’elaborazione di statistiche sul sito.

Si considerano cookie di profilazione quelli che analizzano il comportamento dell’utente per creare dei profili omogenei determinati su specifiche caratteristiche dell’utente. Questi cookie sono utilizzati per capire le preferenze di un utente o prevederne il comportamento; il loro utilizzo principale è quello della visualizzazione di messaggi pubblicitari mirati.

Secondo le linee guida 2021 ai cookie non si applica il legittimo interesse

Le linee guida sui cookie del 10 giugno 2021 individuano precisamente le basi giuridiche per ciascun cookie, stabilendo per quali è necessario raccogliere il consenso.

In particolare, il Garante ritiene che il consenso non sia necessario per i cookie tecnici e per i cookie analitici anonimizzati.

Il consenso è invece sempre necessario per i sistemi di tracciamento passivo, per i cookie di profilazione e per i cookie analitici che non anonimizzino i dati.

Una novità fondamentale delle linee guida del Garante è quella per cui è stato escluso che si possa utilizzare la base giuridica del legittimo interesse per i cookie o per altri sistemi di tracciamento (qui il nostro approfondimento dedicato).

Si tratta di una posizione molto netta che smentisce la posizione assunta dallo IAB, una delle maggiori associazioni a livello europeo degli operatori del digital marketing.

Una delle ultime versioni del framework utilizzato da moltissimi siti web per la gestione dei cookie aveva infatti aperto alla possibilità di basare il tracciamento degli utenti sul legittimo interesse, una base giuridica prevista dall’art. 6, co. 1, lett. f) del GDPR.

Il Garante italiano, nelle linee guida sui cookie del 2021 ha però affermato che questa base giuridica non si applica, perché ai sistemi di tracciamento si applicano le previsioni della direttiva ePrivacy e dell’art. 122 del Codice della Privacy (d.lgs. n. 196/2003).

Tutti i siti che usano cookie popup conformi al modello IAB dovranno dunque modificare le proprie impostazioni ed eliminare questa base giuridica.

Rivedere l’informativa e la cookie policy

Dopo aver compreso i sistemi di tracciamento presenti sul proprio sito web, i titolari dei siti dovranno verificare che la cookie policy sia conforme ai requisiti indicati dal garante nelle linee guida del 10 giugno 2021.

In particolare, le cookie policy dovranno essere strutturate come vere e proprie informative ai sensi degli articoli 12 e 13 del GDPR e contenere tutte le informazioni previste.

Informare gli utenti dei loro diritti

Le informative dovranno indicare in modo preciso quali sono i diritti riconosciuti agli interessati in base al GDPR.

Inoltre, sembra opportuno che le informative indichino chiaramente le modalità per ottenere la cancellazione dei dati acquisiti dai sistemi di tracciamento. In particolare, mentre i cookie possono essere cancellati in autonomia dall’utente, per i sistemi di tracciamento passivo i dati possono essere cancellati solo mediante una richiesta al titolare.

Semplicità ed accessibilità

Le linee guida sui cookie del 10 giugno 2021 enfatizzano la necessità che le informazioni date agli utenti siano semplici, comprensibili e facilmente accessibili anche ad utenti non esperti o afflitti da disabilità.

Viene incoraggiato il ricorso a informative multilivello o interattive. Ad esempio, prevedendo informative semplificate con infografiche, video, chatbot ed una informativa completa resa con canali tradizionali.

Indicare chiaramente quali sono i cookie e come sono classificati

Le linee guida del Garante pongono l’attenzione del titolare sull’importanza di indicare chiaramente i traccianti usati sul sito e di fornire indicazioni sulla loro tipologia. Il Garante, inoltre, suggerisce al titolare di fornire indicazioni sui criteri seguiti per la classificazione del tracciante. Ciò, quantomeno, fino a quando non saranno adottati criteri uniformi per definire questi sistemi.

Raccogliere il consenso: le caratteristiche del banner previste dalle linee guida sui cookie del 2021

Come si è visto, in base al provvedimento del Garante per tutti i cookie non tecnici ed i sistemi di tracciamento passivo sarà sempre necessario acquisire il consenso dell’utente prima di attivare il sistema.

In ogni caso, anche se il proprio sito fa uso soltanto di cookie tecnici, è comunque necessario prestare l’informativa sul trattamento dei dati in base agli articoli 12, 13 e 14 GDPR.

Il consenso deve essere raccolto rispettando i requisiti del GDPR. Deve dunque essere un consenso:

  • Informato: l’utente, prima di prestarlo, deve essere in grado di conoscere quali dati saranno raccolti e quali trattamenti saranno effettuati;
  • Libero: l’utente non deve essere indotto o costretto a prestare il proprio consenso per fruire del sito;
  • Esplicito e documentabile: il consenso deve essere espresso in modo esplicito e con forme che consentano di documentarlo;
  • Specifico: deve essere prestato per uno o più trattamenti omogenei, e non può essere cumulativo o generico;
  • Revocabile: l’interessato deve essere in grado di revocare in ogni momento il proprio consenso con la stessa facilità con cui l’ha prestato.

Le linee guida sui del Garante forniscono alcune indicazioni su come deve essere raccolto il consenso.

Il semplice scroll non è sufficiente

Le linee guida del Garante prendono una posizione sulla pratica del cd. scrolling o page wrapping, utilizzato da alcuni siti. In base a questo metodo, si prevede un semplice avvertimento sulla presenza di cookie, con l’indicazione che proseguendo nella navigazione, si considera tacitamente prestato il consenso.

Il Garante della privacy ritiene che questa modalità non sia conforme né alla direttiva ePrivacy né al GDPR. Essa, infatti, non garantisce l’acquisizione di un consenso esplicito né di un consenso documentabile.

In base alle linee guida sui cookie del 10 giugno 2021, questa tecnica non può dunque essere usata per acquisire il consenso all’uso dei cookie. Tuttavia, il titolare del sito potrà implementare sistemi basati sullo scrolling, purché integrati con ulteriori passaggi che rendano inequivocabile e documentabile la volontà dell’utente.

Lo scrolling può dunque essere inserito come una componente di un processo più articolato, che consenta di desumere una scelta inequivocabile e consapevole. Ciò anche per rendere il consenso registrabile e dunque documentabile, consentendo al titolare del sito di adempiere al proprio dovere di accountability.

Il modello di banner per l’acquisizione del consenso previsto dalle linee guida cookie del 2021

Le linee guida del Garante descrivono un modello di banner o popup per l’acquisizione del consenso che può essere utilizzato dai titolari dei siti web. Il banner deve essere visualizzato al primo accesso dell’utente al sito web e deve avere alcune caratteristiche. Deve inoltre avere dimensioni adeguate: deve essere distinguibile dal resto dei contenuti e deve al contempo avere dimensioni che impediscano che l’utente azioni involontariamente dei comandi.

Il popup o il banner deve contenere l’avvertenza che il sito web fa uso di cookie e deve informare l’utente che chiudendo il banner, saranno mantenute le impostazioni di default previste dal sito. Le impostazioni di default equivalgono al rifiuto del consenso. Deve essere inserita una informativa minima.

Devono essere inseriti i seguenti pulsanti e collegamenti:

  • Un’icona a forma di X in alto a destra: chiudendo il banner con questo pulsante vengono mantenute le impostazioni di default e quindi non è fornito alcun consenso a cookie e sistemi di tracciamento. Possono essere usati soltanto i cookie tecnici. L’icona a forma di X deve avere la stessa dimensione ed evidenza degli altri pulsanti;
  • Un pulsante “accetto”, premuto il quale si esprime il consenso a tutti i cookie e sistemi di tracciamento;
  • Un pulsante “personalizza”, che consente di selezionare analiticamente i cookie ed i sistemi traccianti per cui si presta il consenso. Nel caso in cui ci siano sistemi di terze parti, sarà necessario inserire dei link alle informative dei partner;
  • Un link che rimandi alla cookie policy estesa.

Le caratteristiche del banner se si utilizzano solo cookie tecnici

Molto più semplice è il caso in cui il sito faccia uso soltanto di cookie tecnici. In questo caso, sarà sufficiente riportare l’avvertenza che il sito fa uso di cookie. Dovrà poi essere prestata un’informativa breve ed un link all’informativa estesa.

Nessun consenso deve essere acquisito o documentato in questo caso, trattandosi di cookie per i quali non è necessario il consenso dell’utente.

Configurare bene i plugin GDPR: prima del consenso solo cookie tecnici

Le linee guida sui cookie del 10 giugno 2021 precisano che i siti sistemi di raccolta del consenso devono conformarsi ai principi del privacy by design e privacy by default previsti dal GDPR.

Ciò significa che, prima della manifestazione del consenso, non deve essere effettuato nessun trattamento di dati.

Occorre perciò verificare di aver configurato correttamente il plugin o il sistema che gestisce il consenso. Deve essere cioè impostato nel senso che nessun cookie o sistema di tracciamento deve essere attivato prima della manifestazione del consenso.

Diversamente, si corre il rischio di effettuare trattamenti illeciti di dati personali, incorrendo nelle pesanti sanzioni previste dal GDPR.

Il consenso deve essere libero: vietato condizionare la navigazione al consenso

Le linee guida sui cookie del 10 giugno 2021 precisano inoltre che non sono legittimi i cd. cookie wall. Si tratta di pop up o pagine che subordinano la prosecuzione della navigazione su un sito all’espressione del consenso ai cookie non tecnici.

Questa tecnica è contraria al GDPR in quanto finisce per estorcere all’utente un consenso non libero. Come precisato dal Garante, ad eccezione dei cookie tecnici, tutti gli altri cookie devono essere sempre facoltativi. L’utente non deve subire alcuna limitazione nella navigazione nel caso in cui non presti il proprio consenso.

Il consenso dura sei mesi. Vietato chiederlo ad ogni accesso

Le linee guida evidenziano infine come per essere davvero libero il consenso non possa essere richiesto ad ogni accesso. Visualizzare ogni volta il banner sui cookie può infatti portare l’utente a esprimere un consenso “per esasperazione”.

Per evitare che questo sistema realizzi una indiretta costrizione dell’utente il banner per la richiesta del consenso dovrebbe essere visualizzato al più una volta ogni sei mesi.

Naturalmente, il banner può e deve essere visualizzato anche nel caso in cui mutino significativamente le condizioni del trattamento. Ad esempio, se si inseriscono ulteriori sistemi di tracciamento o se si modificano le modalità dei sistemi preesistenti. In questo caso la visualizzazione del banner è doverosa in quanto serve anche ad informare correttamente gli utenti circa i trattamenti dei dati effettuati tramite il sito.

Il banner potrà essere inoltre visualizzato anche prima dei sei mesi se l’utente ha cancellato i cookie dal proprio dispositivo, compreso quello (tecnico) che serviva a segnalare al titolare del sito la preferenza espressa dall’utente.

Attenzione a trasferimenti verso Paesi Terzi

Anche se le linee guida sui cookie del 10 giugno 2021 non ne fanno menzione, nell’adeguare il proprio sito alle indicazioni emanate dal Garante della Privacy occorrerà fare attenzione ad eventuali trasferimenti di dati all’estero.

Se i traccianti presenti sul sito sono gestiti da soggetti stabiliti in Paesi extra UE o se effettuano trasferimenti di dati verso quei Paesi, occorrerà impostare correttamente i flussi di dati.

Occorrerà, per esempio, verificare che i trasferimenti si basino sulle nuove clausole standard approvate dalla Commissione europea e che siano effettuate le analisi richieste.