Cookie policy, come adeguarsi alle nuove linee guida del GDPR
Tira aria di novità sul tema cookie in Italia. Il Garante Privacy ha approvato alcune disposizioni a cui è obbligatorio adeguarsi entro il 10 gennaio 2022. Le nuove linee guida, pubblicate in Gazzetta Ufficiale il 10 luglio 2021, interessano nello specifico le aziende e le attività che hanno sede e clienti in Italia e mirano a rafforzare il controllo degli utenti sull’uso dei loro dati personali durante la navigazione in rete. Il documento del Garante si concentra in particolar modo su come ottenere un valido consenso al rilascio dei cookie di profilazione.
Cookie: cosa sono e a cosa servono
I cookie sono file di dati che i siti web memorizzano sul dispositivo dell’utente durante la navigazione, allo scopo di identificare chi ha già visitato il sito. I cookie offrono quindi agli utenti esperienze personalizzate memorizzando piccole quantità di informazioni su di loro. Di per sé, i cookie non danneggiano un dispositivo. Il problema è il modo in cui i siti web utilizzano quei dati. È qui che entra in ballo il tema della privacy.
Cookie policy: quando è necessaria
La Cookie policy è obbligatoria se fai uso di cookie anche solo tecnici (ovvero quelli strettamente necessari a fornire il servizio). Una Cookie policy completa deve:
- elencare tutti i tipi di cookie installati (tecnici, statistici, di profilazione…)
- rendere note le finalità del trattamento
- indicare chi sono i soggetti terzi che gestiscono cookie tramite tuo sito (ad es. integrazioni servizi, widget, Maps, YouTube, servizi di retargeting, social network…)
Last, but not least, la Cookie policy dev’essere redatta in tutte le lingue in cui il sito è disponibile.
Cookie banner e blocco preventivo
Se fai uso non solo di cookie tecnici, ma anche di profilazione (quelli utilizzati per profilare l’utente in base a specifiche azioni o schemi comportamentali ricorrenti sul sito), devi mostrare un banner alla prima visita dell’utente e bloccare preventivamente tutti i codici che installano cookie sul suo dispositivo, così come qualsiasi altra tecnica attiva o passiva di tracciamento. I cookie sono rilasciati solo dopo il consenso attivo dell’utente, che consiste in un’azione esplicita e inequivocabile, come il click su un pulsante. Il consenso allo scorrimento della pagina, infatti, non è più considerato valido. Anche i Cookie wall non sono più ammessi; ciò significa che è vietato impedire l’accesso al sito agli utenti che non prestano il consenso all’installazione dei cookie di profilazione.
Il Cookie banner deve contenere:
- una breve informativa sull’uso da parte del sito di cookie tecnici, di profilazione e le finalità del trattamento
- il link alla cookie policy
- pulsanti di accettazione/rifiuto
- consenso granulare (per determinate categorie e non per altre)
Cookie policy e pannello delle preferenze devono essere accessibili da ogni pagina del sito. In sostanza, devi mettere l’utente nelle condizioni di modificare le proprie preferenze quando vuole.
Rinnovo delle preferenze di consenso
Passati 6 mesi dall’ultima acquisizione, è possibile chiedere nuovamente di prestare il consenso. Lo stesso vale se:
- le condizioni del consenso sono cambiate (sono stati inclusi nuovi servizi di terze parti)
- non ci sono strumenti per tracciare il consenso precedente
Cosa cambia con le nuove disposizioni di gennaio 2022?
La prova del consenso
Le nuove direttive sottolineano l’assenza di un sistema universalmente accettato di codifica semantica dei cookie. Il Garante richiama dunque i titolari che impieghino tali strumenti a rendere manifesti, mediante opportuna integrazione dell’informativa, i criteri di codifica degli identificatori adottati. Sarebbe quindi necessario dimostrare di aver ottenuto un consenso valido ai fini del GDPR fornendo una prova documentale aggiornata delle scelte dell’utente.
A tal proposito, una serie di plugin hanno creato un registro preferenze cookie che include:
- Chi ha fornito il consenso
- Quando e come l’ha fatto
- Il modulo presentato all’utente
- Le preferenze espresse
- Riferimenti a documenti legali e condizioni valide nel momento dell’ottenimento del consenso
Cosa succede con i consensi acquisiti prima della pubblicazione delle nuove linee guida?
Il Garante Privacy ha stabilito che i consensi ottenuti prima del 20 luglio 2021 restano validi a patto di essere conformi alle richieste del GDPR e che al momento della loro acquisizione siano stati registrati e documentati.
Leggi anche Consigli per creare un sito web efficace.
Cos’è il metaverso: opportunità e aspetti critici
[…] L’esperienza del metaverso così concepita rende possibile raccogliere una mole enorme di dati personali. Un esempio: informazioni relative a condotte, movimenti fisici, reazioni psicologiche e dati biometrici degli utenti, tramite kit e apparati corporei necessari alla nuova esperienza virtuale. Un primo problema potrebbe quindi riguardare la tutela della privacy degli utenti e le procedure di raccolta dei consensi. […]