Lo scorso 10 giugno il Garante per la protezione dei dati personali ha varato le nuove Linee guida sui cookie e altri strumenti di tracciamento, con lo scopo di aumentare il potere decisionale del singolo utente relativamente al trattamento dei suoi dati personali, raccolti durante la navigazione sul web mediante cookie.

Il provvedimento aggiorna la precedente versione, risalente al 2014 e tiene conto non solo del mutato scenario normativo determinato dall’entrata in vigore del GDPR (e delle normative, anche secondarie, conseguenti) ma anche dell’aumentato rischio per i diritti e le libertà fondamentali degli interessati/utenti derivante dalla rapidissima evoluzione tecnologica, dalla crescente diffusione delle identità digitali e dal conseguente rischio connesso alla creazione di profili sempre più dettagliati di coloro che usufruiscono dei servizi messi a disposizione sul web.

Il provvedimento fa tesoro, infine, di quanto è emerso dall’attività dell’Autorità garante, che negli ultimi anni ha ricevuto moltissime segnalazioni relative ad irregolarità sulle modalità di presentazione dell’informativa privacy e di acquisizione del consenso da parte dei Titolari del trattamento.

Il contenuto delle nuove Linee guida.

Le nuove Linee guida si occupano principalmente di individuare le corrette modalità di presentazione dell’informativa privacy  e di acquisizione del consenso al trattamento dei dati degli utenti che navigano sui siti web. 

Modalità per rendere l’informativa. Quanto al primo aspetto, rimane fermo per i siti web l’obbligo della (sola) informativa in caso di utilizzo dei cookie tecnici.

A determinate condizioni, ciò vale anche per i cookie analitici; nello specifico, il loro impiego non richiede il consenso quando:

  • vengono impiegati unicamente per statistiche aggregate ed in relazione ad un singolo sito o applicazione mobile;
  • sia attivo, per quelli di Terze parti, il mascheramento almeno della quarta componente dell’indirizzo IP;
  • le Terze parti coinvolte si astengano dal combinare i cookie analytics con altre elaborazioni o dal trasmetterli ad ulteriori soggetti terzi.

Coerentemente con quanto previsto dal GDPR, l’informativa dovrà specificare il periodo di tempo di conservazione dei dati personali e i soggetti terzi a cui i dati raccolti potranno essere comunicati. 

Modalità di acquisizione del consenso. Per quanto riguarda l’acquisizione del consenso,  necessario ad esempio per i cookie di profilazione, il Garante chiarisce che è sufficiente che la relativa richiesta, sottoposta attraverso l’ormai celebre banner ben distinguibile sulla pagina web“, sia presentata una sola volta, al momento del primo accesso al sito.

Il consenso dovrà, tuttavia, essere sempre chiesto (o ri-chiesto) quando siano trascorsi almeno 6 mesi dall’ultimo accesso da parte dell’utente, quando non vi sia la possibilità di sapere se un cookie sia già registrato sul dispositivo utilizzato e qualora i termini del trattamento siano cambiati rispetto al precedente accesso.

Il Garante ha stabilito, inoltre, che il banner dovrà contenere una “X” in alto a destra che ne permetta la chiusura all’utente che non desidera essere tracciato e che l’attività di scroll down (spostamento verso il basso del cursore) non costituisce, di per sè, una valida manifestazione di consenso.

Viene ribadita, infine, l’illegittimità del c.d. cookie wall, ossia di quel sistema che vincola gli utenti all’espressione del consenso.

I tempi di attuazione.

Il Garante privacy ha previsto un termine di 6 mesi perchè i Titolari del trattamento si adeguino alle nuove disposizioni.

Il riepilogo completo della nuova disciplina sull’utilizzo dei cookie è disponibile consultando la scheda di sintesi, presente sul sito del Garante per la protezione dei dati personali al seguente link.