12 Gennaio 2021

ADEGUAMENTO DEI SITI INTERNET ALLA “NUOVA” NORMATIVA COOKIES CI SIAMO!

Privacy

Si ricorda che a partire dal 9 gennaio 2022, tutti i titolari di siti web dovranno uniformarsi alle nuove linee guida sui cookie rilasciate dal Garante per la Protezione dei Dati Personali con il Provvedimento n. 231 del 10.06.2021 “Linee guida cookie e altri strumenti di tracciamento”. L’obiettivo del Legislatore è quello di rafforzare il potere di decisione degli utenti riguardo all’utilizzo dei loro dati personali quando navigano on line. Nelle nuove linee guida si dà rilevanza al meccanismo di acquisizione del consenso online tramite banner. Andiamo a vedere in sintesi cosa c’è da fare:

  1. Cookie banner
    a. I pulsanti “Accetta” e “Rifiuta” sono obbligatori.
    b. Gli utenti devono poter fare scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare (pur lasciando i dettagli dell’implementazione al fornitore del servizio, le linee guida suggeriscono che raggruppare le opzioni sia una soluzione adatta a soddisfare questo requisito).
    c. Gli utenti devono poter aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
  2. Raccolta del consenso a. Il consenso via semplice scorrimento non è più valido. b. I cookie wall non sono ammessi.
  3. Validità delle preferenze dell’utente relative al consenso: dopo aver chiesto il consenso la prima volta, devono passare almeno 6 mesi prima di poterlo chiedere nuovamente.
  4. Cookie statistici (analytics) a. I cookie statistici di prima parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo). b. I cookie statistici di terza parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni.
  5. Prova del consenso: devi poter dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR.
  6. Legittimo interesse: non costituisce più una base giuridica valida applicabili all’uso dei cookie oltre al consenso.
  1. Cookie banner
    Qualora un sito faccia uso di cookie di profilazione o altri strumenti di tracciamento, il banner costituisce un meccanismo valido per l’acquisizione del consenso dell’utente. Il Garante prevede che il banner (o, in alternativa, un’area/finestra) mostrato da un sito web al primo accesso dell’utente debba includere le seguenti informazioni:
    • un’informativa breve sull’uso da parte del sito di cookie tecnici ed eventuali cookie di profilazione o altri strumenti di tracciamento, con le relative finalità;
    • un link alla cookie policy che indichi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione e l’esercizio dei diritti dell’utente;
    • un’indicazione chiara che l’utente, proseguendo nella navigazione del sito tramite un’azione positiva ed esplicita, presta il proprio consenso alla profilazione. Fai attenzione, però, perché il semplice scorrimento non è considerato un metodo valido per la raccolta del consenso;
    • un link a un’area dedicata dove l’utente può selezionare in maniera granulare le funzionalità, le terze parti e le categorie di cookie da installare;
    • un comando per accettare tutti i cookie o altri strumenti di tracciamento;
    • un comando per rifiutare tutti i cookie o altri strumenti di tracciamento.
    Nelle visite al sito successive alla prima, l’utente non dovrà più visualizzare il banner iniziale, ma dovrà poter accedere alla privacy/cookie policy e ad un’area dover poter modificare le preferenze di tracciamento espresse in precedenza.
    N.B. Se un sito web installa solo cookie tecnici, il banner non è necessario: l’informazione sull’uso dei cookie tecnici può infatti essere inclusa nell’homepage o nell’informativa.
  2. Raccolta del consenso Lo scrolling o scrolldown non è ritenuto adatto alla raccolta di un valido consenso. Vi è però un’eccezione: che lo scorrimento sia parte di una serie di azioni che indicano in maniera inequivocabile la volontà dell’utente di prestare il proprio consenso. Il Garante considera illeciti anche i cosiddetti cookie wall, salvo che il sito web offra all’utente la possibilità di accedere a un contenuto o a un servizio equivalenti senza dover prestare il proprio consenso (da valutare caso per caso).
  3. Validità delle preferenze di consenso ai cookie Agli utenti può essere chiesto nuovamente di prestare il consenso solo se:
    • le condizioni del consenso sono cambiate (ad esempio, sono stati aggiunti dei nuovi servizi di terza parte o ne sono stati rimossi di vecchi);
    • il titolare del sito non possiede gli strumenti per tenere traccia del consenso precedente (ad esempio, l’utente ha eliminato il cookie di consenso installato sul suo dispositivo);
    • sono passati almeno 6 mesi dall’ultima acquisizione.
  4. Cookie statici (analytics) Il Garante precisa che, in linea di principio, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente. Per quanto riguarda i cookie statistici di terza parte, possono essere installati senza il consenso dell’utente solo se:
    • non permettono l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
    • il loro uso è limitato a un singolo sito/app;
    • non sono condivisi o comunicati a terzi;
    • i dati raccolti non sono combinati con altri dati.
  5. Prova del consenso e legittimo interesse Per quanto riguarda i cookie c.d. tecnici, l’unico obbligo del Titolare sarà quello di informare l’utente della loro presenza tramite specifica informativa, anche da inserirsi in quella generale (c.d. privacy policy) del sito.
    Tutti i cookie o altri strumenti di tracciamento presenti per finalità diverse da quelle tecniche (quindi i cookie analitici, di profilazione e di terze parti) potranno essere utilizzati solo previa acquisizione del consenso informato dell’utente interessato.
    Il consenso dovrà sempre essere una azione di opt-in, e mai di opt-out (in ossequio al principio di data protection by default: l’utente potrà sempre cambiare idea successivamente ed esercitare l’opt out, come si vedrà più avanti) ed il silenzio o l’inattività dell’interessato non configura un assenso, così come le caselle pre-flaggate sono considerate illegittime.
    In questo modo il Garante sancisce in via definitiva e non passibile di alcuna diversa interpretazione che il consenso è l’unica base giuridica valida per l’utilizzo dei cookie e degli altri strumenti di tracciamento. In nessun caso sarà possibile, pertanto, porre come base di liceità del trattamento altre basi giuridiche, ed in particolare non sarà (più) possibile invocare il legittimo interesse del titolare del trattamento per utilizzare gli strumenti di tracciamento online.
    La novità non è di poco conto, e soprattutto non sarà di poco impatto per le aziende online che basano sul tracciamento della navigazione una larga parte del proprio business.

Per concludere: l’importanza di una buona informativa Come accennato in precedenza, l’informativa breve contenuta nel banner dei cookie, deve trovare il proprio sostegno in un’informativa esaustiva e completa che costituisce parte integrante e sostanziale della privacy policy del sito.
Il link all’informativa deve essere contenuto nel footer di ogni pagina del sito e deve essere anche accessibile dal banner stesso; o in prima pagina o nell’area che si apre quando – all’utente interessato – è data la possibilità di valutare le varie opzioni ed esprimere le preferenze.
L’informativa deve avere le caratteristiche previste dagli artt. 13 e 14 del GDPR, cioè essere chiara e concisa, resa con linguaggio semplice ed accessibile in modo da essere comprensibile facilmente anche da parte dei non addetti ai lavori.
Essa dovrà contenere i dati del Titolare e del DPO (se presente), le tipologie di dati raccolti e le finalità del trattamento, l’indicazione delle basi giuridiche, le modalità di trattamento, i tempi di conservazione, l’indicazione di eventuali terzi destinatari dei dati e le modalità di esercizio dei diritti degli interessati. Per quanto riguarda nello specifico i cookie o gli altri strumenti di tracciamento, sarà necessario spiegare brevemente di che cosa si tratta, esplicitando la distinzione tra i vari tipi di cookie e di strumenti esistenti ed indicando nello specifico quali cookie vengono utilizzati sul sito.

Per i cookie analitici, dovranno essere presenti le istruzioni, suddivise per i vari browser, per disattivarli in autonomia.
Le nuove regole, che riprendono ed integrano la legge già esistente, obbligheranno le aziende che hanno un sito web (ossia: praticamente tutte) ad adeguarsi, nei prossimi sei mesi, termine ultimo per la messa in conformità.
Tale attività di adeguamento non dovrà e non potrà limitarsi all’aggiornamento del banner e della cookie policy, ma dovrà consistere in un vero e proprio restyling tecnico dei siti, che anche e soprattutto nel back end dovranno gestire le anagrafiche dei consensi in maniera dinamica, pronti a registrare ogni cambiamento di idea da parte dell’utente e a dimostrare in ogni momento di avere ben chiaro il flusso dei dati e il loro trattamento.
Come sempre accade, da ogni nuova sfida possono derivare innumerevoli opportunità, ed il Titolare potrebbe approfittare di questo nuovo obbligo di legge per implementare nuove procedure di gestione del consenso digitale, anche in vista del nuovo Regolamento Europeo e-privacy, che non tarderà ad arrivare. Ormai nessuno può più negare la crucialità dei dati nei nostri sistemi di business e di conseguenza la necessità di avere sistemi informatici adeguati, non solo per la protezione dei dati degli interessati, ma anche per lo sviluppo del proprio fatturato, in piena armonia con quello che è il vero spirito del Regolamento Europeo. Lo scopo, infatti, non è porre divieti e limiti ai Titolari, ma soprattutto sostenere le imprese nella gestione di un patrimonio aziendale di inestimabile valore.
L’adozione delle procedure relative alla gestione del consenso digitale, da attuarsi in concomitanza dell’adeguamento alla nuova cookie law, oltre a mettere al riparo il Titolare dagli enormi rischi sanzionatori del GDPR, da sommarsi al danno di immagine che ne deriverebbe, potrebbe consentire alle aziende di non disperdere ed anzi conservare ed utilizzare il proprio patrimonio di dati già trattati attraverso sistemi di tracciamento, quali cookie e affini.
Solo con un consenso lecitamente e validamente raccolto, infatti, il Titolare potrà continuare ad utilizzare i preziosissimi dati raccolti con i cookie, mettendo al sicuro il proprio business e i diritti e le libertà fondamentali degli interessati, realizzando la sintesi perfetta tra profitto e protezione che, nello spirito della accountability, porta alla conformità al Regolamento Europeo.

E adesso cosa dobbiamo fare?Semplice: in prima battuta si deve contattare chi gestisce il sito e verificare che faccia le cose sopra elencate.

Per Informazioni:
segreteria@confimiumbria.it

Associazione Imprese dell’Umbria
Via Bruno Colli, 5/A
06135 – Ponte San Giovanni – Perugia P.I. e C.F. 03739460545
segreteria@confimiumbria.it