Il Garante per la protezione dei dati, con il provvedimento n. 231 del 10 giugno 2021, ha reso note le nuove linee guida cookie e altri strumenti di tracciamento, il cui obiettivo è quello di specificare le modalità per la corretta acquisizione del consenso e per la redazione dell’informativa per gli interessati.
Ecco come adeguarsi, dal 10 Gennaio 2022, alle nuove disposizioni:
1) NO A SCROLLING E COOKIE WALL
Scrolling (il semplice movimento del mouse e quindi del puntatore della pagina web) e Cookie Wall (il sistema per cui l’utente è obbligato a esprimere il proprio consenso a ricevere i cookie per poter procedere con la navigazione sul sito web, risultando, in caso contrario, impossibile accedere al sito) non sono ritenuti idonei alla raccolta del consenso;
2) COOKIE E MODALITA’ DI ACQUISIZIONE DEL CONSENSO
I cookie si distinguono in:
- di prima o di terza parte a seconda che il publisher agisca autonomamente o per conto della terza parte;
- tecnici, necessari al funzionamento del sito web;
- analitici, destinati a fornire al gestore del sito dati meramente statistici e di profilazione, utilizzati per attribuire azioni a determinati soggetti e fare una pubblicità mirata
Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web.
L’Autorità sottolinea che, qualora l’utente scegliesse, com’è nella sua piena disponibilità, di mantenere quelle impostazioni di default e dunque di non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe dunque limitarsi a chiudere il banner mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto
da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate.
Ancora con riferimento alla modalità di acquisizione del consenso, la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e appare suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione.
La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento.
3) BANNER COOKIE
Il Garante specifica che, oltre alla X in alto a destra di cui è stata già illustrata la funzione, il banner deve contenere le seguenti informazioni:
- una informativa minima relativa al fatto che il sito utilizza – se così è ovviamente – cookie o altri strumenti tecnici e potrà, esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve
- il link alla privacy policy, ovvero ad una informativa estesa posizionata in un second layer ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai predetti cookie o altri strumenti tecnici
- un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
- il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti – il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti – ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
4) NO AL LEGITTIMO INTERESSE
Il Garante specifica inoltre che, la disciplina di carattere speciale applicabile alla specie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato, ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale.
5) LE NOVITÁ IN MATERIA DI INFORMATIVA
L’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).
Fondamentale fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento.
Il mancato adempimento è sanzionabile ai sensi del Regolamento.
Nella propria autonomia imprenditoriale e in ossequio all’accountability, ciascun titolare può naturalmente adottare le modalità ritenute più idonee per assicurarne il rispetto.