Il 10 luglio 2021 l’autorità italiana per la protezione dei dati, il Garante Privacy, ha approvato le nuove linee guida per l’uso dei cookie. Se tu e i tuoi utenti avete sede in Italia, dovrai necessariamente adeguarti ai nuovi requisiti del GDPR entro il 10 gennaio 2022.
Ma cosa cambia in concreto per le aziende italiane e per gli utenti?
Abbiamo creato questa guida per aiutarti a capire come conformare il tuo sito web alle norme che entreranno in vigore e come evitare di incorrere in multe piuttosto salate.
A cosa serve il GDPR?
Quando parliamo di cookie ci riferiamo a porzioni di testo che i siti web visitati dall’utente (o siti web server di terze parti) posizionano e raccolgono all’interno del dispositivo utilizzato per la navigazione, con l’obiettivo di identificare chi ha già visitato il sito in precedenza. Questa operazione permette anche di ottenere informazioni più o meno approfondite sull’utente circa le attività svolte su quello specifico sito web.
L’obiettivo principale delle nuove linee guida sui cookie è quello di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Si tratta di un meccanismo a tutela dell’utente, che ha così piena nozione e controllo di quali dati vengono raccolti sul suo conto e come questi dati vengono utilizzati.
Cosa cambia con il GDPR 2022
Vediamo nello specifico le aree e gli aspetti su cui si è espresso il Garante e che saranno effettive con il nuovo anno.
Cookie banner
Qualora un sito faccia uso di cookie di profilazione o altri strumenti di tracciamento, il banner viene riconosciuto come una modalità valida per l’acquisizione del consenso dell’utente.
Questo deve essere mostrato al primo accesso al sito web e deve includere le seguenti informazioni:
- un’informativa breve sull’uso dei cookie tecnici e degli eventuali cookie di profilazione o strumenti di tracking, specificando le relative finalità;
- un link diretto alla cookie policy, che riporti anche tutti i destinatari dei dati raccolti, i tempi di conservazione e l’esercizio dei diritti dell’utente;
- un’indicazione esplicita e chiara del fatto che l’utente stia prestando il suo consenso alla profilazione proseguendo con la navigazione (il semplice scorrimento non è più considerato assoluta espressione di consenso);
- un link ad un’area dedicata, sempre accessibile dall’utente, nella quale quest’ultimo potrà modificare le sue preferenze in merito al consenso sui cookie;
- un comando per accettare o rifiutare tutti i cookie e gli altri strumenti di tracking.
Il GDPR stabilisce anche che i pulsanti “Accetta” e “Rifiuta” siano obbligatori, e che l’utente debba poter effettuare scelte granulari sulle funzionalità, sulle terze parti e sulle categorie di cookie da accettare o rifiutare.
Raccolta del consenso
Come già accennato, il consenso dell’utente tramite semplice scorrimento non ha più validità con le nuove disposizioni del Garante, che si esprime anche contro i cookie wall, dichiarandoli inammissibili salvo che il sito web offra la possibilità all’utente di accedere a contenuti alternativi (ma equivalenti) senza dover acconsentire al tracciamento.
Validità delle preferenze dell’utente
Una volta espresso il proprio consenso, all’utente non può più essere chiesto di farlo nuovamente per almeno sei mesi. Le preferenze sono sempre modificabili nell’area dedicata del sito web, ma il titolare del sito può effettuare nuovamente esplicita richiesta di consenso soltanto se:
- le condizioni del consenso sono cambiate;
- non si possiedono più gli strumenti per il tracking del consenso precedentemente espresso (ad esempio se l’utente ha eliminato il cookie dal suo dispositivo);
- sono passati almeno 6 mesi dall’ultima richiesta.
Cookie statistici
I cookie sono definiti sulla base di due macro categorie: cookie tecnici e cookie di profilazione. Il GDPR stabilisce che per i cookie tecnici non sia necessario il consenso, poiché hanno come finalità solo il funzionamento del sito web, mentre tutti i cookie non rientranti in finalità tecniche (cookie di profilazione) devono essere accettati dall’utente.
Il Garante Privacy dà disposizioni anche sui cookie statistici, o analytics, che talvolta si comportano come cookie tecnici e talvolta come cookie di profilazione. Nello specifico, il consenso dell’utente non è richiesto obbligatoriamente per i cookie statistici di prima parte, mentre i cookie statistici di terza parte possono essere installati senza consenso solo se:
- non permettono l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
- il loro uso è limitato ad un singolo sito web;
- non sono condivisi o comunicati a terze parti;
- i dati raccolti non sono combinati con altri dati.
I cookie statistici sono quelli raccolti e utilizzati anche da piattaforme di analisi siti web come Google Analytics, che ci pone quindi in condizione di correre rischi legali dai quali è bene proteggerci. Come? Con la funzione Anonymize IP per la mascheratura degli indirizzi IP sulla piattaforma. Il risultato è una sorta di oscuramento di porzioni dell’IP.
Per approfondire l’argomento clicca qui.
Prova del consenso
Secondo le nuove disposizioni devi poter dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR.
Il consenso ai cookie deve essere prestato dall’utente sempre in maniera libera e inequivocabile, e sulla base dell’informativa chiara e dettagliata contenuta nel cookie banner.
Basi giuridiche
Il Garante ha affermato chiaramente che i cookie non possono essere installati se non con il consenso degli utenti. Quest’ultimo può essere ignorato soltanto se si applicano le condizioni dell’eccezione “strettamente necessari” (ad esempio, se i cookie sono usati per fornire un servizio richiesto dall’utente in modo esplicito).
In particolare, l’interesse legittimo del titolare del sito web non costituisce una base giuridica valida per il GDPR 2022.
Conclusioni
Dunque, a questo punto dovresti avere chiare le disposizioni del nuovo provvedimento del Garante Privacy. Ricorda che hai fino al 10 gennaio 2022 per adeguarti a tutte le nuove normative del GDPR. Ricorda che questi requisiti riguardano tutti i siti web ed e-commerce italiani, senza eccezioni!
Il tuo sito web è in regola? Contattaci per una consulenza, ti diremo cosa fare per rispettare i nuovi adempimenti di legge del Garante e non rischiare così ripercussioni per violazione della privacy dei tuoi utenti.
