Le nuove linee guida del Garante Privacy sull'uso dei cookie e degli altri strumenti di tracciamento

Il 9 luglio sono state pubblicate sulla Gazzetta Ufficiale le nuove linee guida sui cookie e gli altri strumenti di tracciamento.

Ecco le principali novità:

• il semplice scroll down non equivale a manifestazione del consenso.

Lo scrolling, cioè lo spostamento del cursore lungo una pagina web, da solo non può essere considerato un'idonea manifestazione di consenso all'installazione dei cookie, tuttavia, può essere utilizzato come parte di un processo più articolato che permetta all'utente, con la generazione di un preciso pattern, di manifestare in modo inequivoco, consapevole e documentabile il proprio consenso.

• limiti all'uso del cookie wall.

Il cookie wall limita la libertà dell'utente poiché lo obbliga a scegliere tra accettare i cookie o non poter accedere al sito.

Il cookie wall può continuare ad essere utilizzato a condizione che il titolare del sito offra all'interessato la possibilità di accedere ad un contenuto o ad un servizio equivalenti senza prestare il proprio consenso all'uso di cookie o altri strumenti di tracciamento.

• se l'utente ha già rifiutato l'installazione dei cookie non è consentito riproporre il cookie banner ad ogni nuovo accesso al sito.

Come il cookie wall, anche la prassi di ripresentare insistentemente il cookie banner limita la libertà dell'utente poiché lo induce a prestare il proprio consenso al solo scopo di liberarsi dal banner e proseguire nella navigazione. É consentito riproporre il cookie banner solamente in tre casi:

a) se è cambiata in maniera significativa una o più condizioni di trattamento (ad esempio, se sono mutate le “terze parti”);

b) se il gestore del sito web non è in grado di sapere se un cookie è stato precedentemente memorizzato nel dispositivo dell'utente (ad esempio, quando l'utente sceglie di cancellare i cookie dal proprio dispositivo);

c) se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

• privacy by default e privacy by design applicate ai cookie.

Allo scopo di garantire all'interessato un potere di scelta effettivo sull'ampiezza di utilizzo dei propri dati, per impostazione predefinita, al momento del primo accesso ad un sito web, non sarà possibile posizionare nel dispositivo dell'utente cookie diversi da quelli tecnici né utilizzare altre tecniche attive o passive di tracciamento.

Il cookie banner dovrà, inoltre, contenere, in alto a destra, una X mediante la quale chiuderlo accompagnata dall'avvertenza che, chiudendo il banner, verranno applicate le impostazioni di default.

• chiarimenti sui cookie analytics.

I cookie analytics possono essere equiparati ai cookie tecnici a condizione che non consentano la diretta individuazione dell'interessato (ad esempio, mascherando almeno la quarta componente degli indirizzi IP versione 4).

• possibilità di informativa c.d. multichannel.

L'informativa sui cookie, obbligatoria ai sensi degli artt. 13 e 14 GDPR, potrà essere fornita tramite più canali e modalità come video, pop-up informativi, interazioni vocali, assistenti virtuali, telefono, chatbot, ecc.

• necessità di codifica dei cookie.

Dal momento che allo stato attuale non esiste un sistema universalmente accettato di codifica dei cookie, che permetta di distinguere, ad esempio, gli analytics dai cookie di profilazione, i Titolari dovranno indicare, nell'informativa o nella privacy policy, i criteri di codifica degli identificatori adottati da ciascuno.

Il termine per l'adeguamento è fissato al 9 gennaio 2022.