Le linee guida del Garante Privacy sui cookie in Italia

La protezione dei dati personali e della privacy ha subito significative evoluzioni negli ultimi anni, soprattutto a seguito dell’introduzione del Regolamento generale sulla protezione dei dati (GDPR) e della Direttiva ePrivacy (ePR). Queste normative pongono l’accento sulla necessità di ottenere un consenso informato dagli utenti prima di procedere con qualsiasi forma di tracciamento, garantendo così una maggiore tutela della privacy per i visitatori provenienti dall’UE.

In Italia, l’adeguamento a queste normative ha ricevuto ulteriori chiarimenti con l’approvazione delle linee guida sull’uso dei cookie da parte del Garante per la Protezione dei Dati Personali, avvenuta il 10 luglio 2021 ed entrate in vigore a partire dal 10 gennaio 2022.

Per facilitarne la comprensione, abbiamo creato questa guida per aiutarti a capire cos’è cambiato e come rispettare i requisiti con il minimo sforzo.

Prima di entrare nel merito delle ultime linee guida, è opportuno fare un ripasso su cosa si intende con il termine “cookie“.

Cookie banner

Qualora un sito faccia uso di cookie di profilazione o altri strumenti di tracciamento, il banner viene riconosciuto come una modalità valida per l’acquisizione del consenso dell’utente.

Tuttavia, per essere conforme alla legge, il Garante prevede che il banner debba avere le seguenti caratteristiche:

  1. l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X (solitamente posta in alto a destra) comporta l’accettazione delle impostazioni di default, e dunque, la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
  2. un’informativa breve sull’uso da parte del sito di cookie tecnici ed eventuali cookie di profilazione o altri strumenti di tracciamento, con le relative finalità;
  3. un link alla privacy policy che indichi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione e l’esercizio dei diritti dell’utente;
  4. un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
  5. un link a un’area dedicata dove l’utente può selezionare in maniera granulare le funzionalità, le terze parti e le categorie di cookie da installare;

Consenso

Per essere considerato valido, il consenso al trattamento dei dati personali deve essere libero, specifico, informato e inequivocabile.

Lo scrolling non è considerato un mezzo valido per esprimere il consenso all’installazione di cookie non tecnici. Tuttavia, lo scrolling può far parte di un processo più complesso che permetta all’utente di esprimere un consenso inequivocabile, registrabile e documentabile.

Il Cookie banner deve apparire alla prima visita dell’utente e una volta espresso il proprio consenso. A seguito del rifiuto del consenso, all’utente non può più essere chiesto di esprimere nuovamente una scelta a meno che:

  1. non siano trascorsi 6 mesi dalla presenza del banner
  2. le condizioni del trattamento non cambino in maniera significativa
  3. sia impossibile dedurre se il cookie sia già stato memorizzato nel dispositivo usato dall’utente.

Il Garante considera illeciti anche i cosiddetti cookie wall, salvo che il sito web offra all’utente la possibilità di accedere a un contenuto o a un servizio equivalenti senza dover prestare il proprio consenso (da valutare caso per caso).

Cookie statistici

I cookie vengono classificati in due principali tipologie: cookie tecnici e cookie di profilazione.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) specifica che il consenso non è necessario per i cookie tecnici, in quanto sono impiegati esclusivamente per garantire il corretto funzionamento del sito web. Al contrario, i cookie di profilazione, che perseguono obiettivi non essenziali, richiedono l’approvazione dell’utente.

Il Garante Privacy fornisce indicazioni anche riguardo ai cookie statistici (o analytics). In particolare, non è sempre obbligatorio ottenere il consenso dell’utente per i cookie statistici di prima parte, mentre i cookie statistici di terza parte possono essere implementati senza necessità di consenso solo se:

  • non permettono l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
  • il loro uso è limitato a un singolo sito web/app;
  • non sono condivisi o comunicati a terze parti;
  • i dati raccolti non sono combinati con altri dati.

Basi giuridiche

Riassumendo, il Garante Privacy ha esplicitamente dichiarato che i cookie e qualsiasi altro strumento di tracciamento non possono essere installati se non con il consenso degli utenti, fatta eccezione per circostanze particolari, come nel caso in cui i cookie siano strettamente necessari per erogare un servizio esplicitamente richiesto dall’utente.

Fonte: Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021… – Garante Privacy

Una risposta a “Le linee guida del Garante Privacy sui cookie in Italia”

  1. Avatar Cosa sono i cookie? – qiota
    Cosa sono i cookie? – qiota

    […] privacy, la principale differenza tra questi due tipi di cookie è il consenso. In linea con la normativa sulla privacy, mentre l’uso dei cookie tecnici è generalmente permesso senza necessità di ottenere il […]

    "Mi piace"