NOVITA’ SULLA GESTIONE DEI COOKIE CON L’INTRODUZIONE DELLE “LINEE GUIDA COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO” – 10 GIUGNO 2021

Garante per la protezione dei dati personali: 6 mesi di tempo per adeguarsi – entro gennaio 2022

Riepilogo della normativa applicabile e definizioni

In Europa già con l’introduzione della Direttiva 2002/58/CE del 12 luglio 2002, del Parlamento Europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva ePrivacy) si introduceva il concetto di “cookies”; nella direttiva “madre” 95/46/CE pur non essendo espressamente definiti trovano successiva individuazione formale nel parere del gruppo di lavoro “Art. 29” c.d. WP29 n.4/2012 in materia di “Esenzione dal consenso ai Cookie”. In seguito si sono succeduti ulteriori pareri e linee guida nel 2012, 2013, 2014. Successivamente, il 10 aprile 2018 sono state emanate le Linee Guida del WP29 in vigenza del GDPR. Da questo momento in poi a livello europeo diversi Garanti hanno emanato in autonomia ulteriori linee guida, non ultimo il Garante Spagnolo nel 2019. Con il nuovo gruppo di lavoro EDPB, i cookies sono regolati anche nelle linee guida sul consenso n.5/2020 adottate il 4 maggio 2020.

In Italia le prime FAQ, chiarimenti e linee guida emanate dal Garante per la Protezione dei dati personali per l’uso dei cookie risalgono al 3 dicembre 2014. Successivamente sono stati diffusi i “Chiarimenti in merito all’attuazione della normativa in materia di cookie” del 5 giugno 2015, pubblicati dall’Autorità nel proprio sito web www.garanteprivacy.it. Nel 2020 il Garante per la Protezione dei dati personali rivede le precedenti linee guida ed emana una consultazione pubblica su una nuova formulazione, che trova definitiva revisione il 10 giugno 2021 con il Provv. n. 231 pubblicato in G.U. il 9 luglio 2021; tali linee guida costituiscono la base di partenza della presente circolare riepilogativa degli adempimenti richiesti ai titolari del trattamento che si avvalgono della tecnologia dei Cookie nei siti e servizi web.

 

NORMATIVA COGENTE APPLICABILE

La principale normativa applicabile ad oggi risulta essere: l’art. 122 D.Lgs. 196/2003, disposizione introdotta nell’ordinamento nazionale a seguito del recepimento della direttiva ePrivacy, tuttora applicabile al settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche, che trova applicazione anche

nel Regolamento UE 2016/679 “GDPR” per effetto del considerando n. 173 che, nell’ambito delle comunicazioni elettroniche, disciplina l’applicabilità di altre disposizioni normative quali la direttiva “e-privacy” rientrante nel novero delle “direttive particolari”.

Lo stesso GDPR nel considerando n.30 afferma e stabilisce che: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a

radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Sono altresì applicabili l’art 4 punto 11 e l’art. 7 (consenso), l’art. 12 e 13 sulla trasparenza del trattamento dati e art. 25 “privacy by design e privacy by default” del GDPR.

 

CHE COSA SONO I COOKIES

I cookie sono di regola informazioni (c.d. stringhe di testo) che i siti web (nel ruolo di “prime parti”) visitati dall’utente, o i servizi web diversi (cd. “terze parti” presenti nel sito web visitato) posizionano ed archiviano all’interno di un dispositivo terminale (normalmente il browser) nella disponibilità dell’utente medesimo.

 

DOVE POSSONO ESSERE MEMORIZZATI E/O TRASMESSI I COOKIES

I cookie possono essere memorizzati ad esempio su un computer, un tablet, uno smartphone, od in ogni altro dispositivo in grado di archiviare informazioni. Già oggi, ed ancor più in futuro sono e saranno presenti nei dispositivi IoT (Internet of Things, o Internet delle cose), i quali sono progettati per connettersi alla rete e tra loro per fornire servizi di varia natura, non necessariamente limitati alla mera comunicazione, Es. Alexa

(Amazon), Google Home, Siri (Apple), nonché le smart TV, etc.

I software per la navigazione in internet e il funzionamento di questi dispositivi, ad esempio i browser, possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.

 

QUALI INFORMAZIONI POSSONO CONTENERE

Le informazioni codificate contenute nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel

sito, che, se associati a dati personali possono costituire una profilazione.

 

FUNZIONI E FINALITÀ DEI COOKIE

I cookie possono svolgere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni tecniche riguardanti gli utenti che accedono ad un sito / server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico (c.d. form). Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

 

CLASSIFICAZIONE DEI COOKIE

Cookie tecnici

Sono strettamente necessari al fornitore di un servizio per il funzionamento del servizio stesso, non richiedono il

consenso. 

Cookie analitici di prime e terze parti

Sono identificati alla stessa stregua dei cookie tecnici, quindi senza acquisizione del consenso se:

  • Sono utilizzati al fine di produrre statistiche aggregate anonime su di un singolo sito o APP
  • Viene mascherato l’indirizzo IP almeno per l’ultima parte, esempio 123.22.45.XXX
  • Le terze parti non elaborano tali dati con altre informazioni al fine di creare profili o prendere decisioni, o non trasmettono i dati ad ulteriori terze parti
  • Possono produrre statistiche con dati relativi e derivanti da più siti web o app riconducibili al medesimo titolare del trattamento o gruppo imprenditoriale.

E’ concesso al titolare, in proprio, la sola elaborazione statistica dei dati relativi a più domini, siti web o app ad esso riconducibili anche con i dati in chiaro ma nel rispetto della finalità perseguita e dichiarata, ovvero per effettuare statistiche.

Cookie e altri sistemi di tracciamento (non tecnici)

Riconducono a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

 

NOVITÀ INTRODOTTE CON LE NUOVE LINEE GUIDA DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 10 GIUGNO 2021

  • Rispetto del principio di accountability (art. 5, 24 GDPR);
  • Integrazioni nelle informative (es. indicazione del tempo di conservazione se non precedentemente indicato);
  • Requisiti del consenso (inequivocabile, libero e non indotto, registrato, revocabile con la stessa facilità con cui viene raccolto, informato adeguatamente). 

Caratteristiche e contenuti delle informative e del consenso

  • Linguaggio semplice, comprensibile (non solo giuridico);
  • fruibilità delle informazioni senza discriminazioni per gli utenti con disabilità;
  • semplificazione riguardante i siti web che non utilizzano cookie traccianti mediante la pubblicazione delle sole cookie policy e privacy policy.
  • In caso di cookie “non tecnici” / “traccianti” banner a comparsa immediata contenente le informazioni minime richieste (es. titolare, finalità, etc.) “informativa breve”;
  • link alla privacy policy/cookie policy contenente l’informativa complete con tutte le indicazioni dell’art. 13, ed in particolare i destinatari, tempi di conservazione, esercizio dei diritti, modalità per disattivare i cookie e revocare i consensi.
  • Avvertenze sulle funzionalità del banner (es. se chiudendo con la “X” vengono mantenute o meno le impostazioni scelte / salvate, etc.)
  • A fronte dell’acquisizione del consenso il banner dovrà contenere:
  • la possibilità di chiudere il banner senza prestare il consenso (es. con una “X” in alto a destra)
  • un comando per accettare tutti i cookie compresi quelli traccianti.
  • un link o altra funzionalità per scegliere quali cookie attivare o meno, nonché la possibilità di salvare le impostazioni, revocarle in modo semplice.
  • le funzionalità per revocare / gestire i consensi dovranno essere raggiungibili anche dal footer delle pagine del sito web
  • Non dovrà essere richiesto più volte il consenso ad esempio a fronte ad ogni acesso al sito anche successivo, se precedentemente non è stato conferito. Solo se saranno trascorsi sei mesi sarà possibile richiedere nuovamente il consenso, o prima qualora vi siano delle modifiche sulle logiche o finalità aggiuntive.
  • Divieto di incrocio dei dati di eventuali utenti autenticati con i dati derivanti dai cookie senza il preventivo consenso. 

Altre novità:

  • il consenso tramite lo “scrolling” non è concesso, a meno che non vi siano ulteriori funzionalità che permettono all’utente di prestare il consenso in modo inequivocabile e consapevole;
  • Cookie wall illeciti, a meno che non vi siano particolari situazioni;
  • I consensi mantengono la loro validità purchè siano registrati al momento dell’acquisizione, siano documentabili, e siano resi a fronte di un’informativa chiara. 

 

Tempo di adeguamento dei siti internet: 6 mesi dalla pubblicazione della pubblicazione delle presenti linee guida, ovvero ENTRO GENNAIO 2022.

Per tutte le informazioni  contatta il Servizio Privacy

Articoli correlati

    Legal
    20 Luglio 2021
    Attacchi informatici alle aziende in aumento: informazione e formazione contro gli attacchi dei pirati del web
    Legal
    26 Novembre 2021
    Raccolta e conservazione del Green Pass in azienda: le novità del DL n. 127/2021 post conversione
    Legal
    29 Settembre 2023
    REGOLAMENTO INFORMATICO AZIENDALE: policy e procedure IT in linea con il GDPR
    Legal
    21 Maggio 2021
    VACCINAZIONI NEI LUOGHI DI LAVORO E RUOLO DEL MEDICO COMPETENTE: protezione dei dati e indicazioni generali sul trattamento. Le indicazioni del Garante Privacy: Provvedimento del 13 maggio 2021
    Legal
    10 Febbraio 2023
    A volte basta una e-mail. L’importanza delle best practice nella CYBER SECURITY
    Legal
    09 Novembre 2020
    Google, l’Antitrust apre un’istruttoria per vederci chiaro sull’uso dei dati nelle campagne pubblicitarie