Cookie: le nuove Linee Guida 2022 del Garante Privacy

L’INTERVISTA 

A partire dal 9 gennaio 2022, i titolari di tutti i siti web devono recepire le nuove Linee Guida sui Cookie emanate dal Garante Privacy il 10 giugno 2021. Un adeguamento necessario per seguire le corrette modalità di acquisizione del consenso on-line degli utenti. In particolare, a cosa deve prestare attenzione il titolare di un sito web e come può tutelare il proprio business? Approfondiamo il tema con le Dott.sse Giulia Pisanelli e Valentina Franceschini, che in Scp – strategie informatiche si occupano di fornire consulenza ai nostri clienti in materia di protezione dei dati personali. 

Ciao Giulia e Valentina, cosa prevedono le nuove Linee Guida sui cookie pubblicate dal Garante Privacy? 

Le nuove Linee Guida si applicano al trattamento dei dati personali raccolti tramite cookie per tracciare l’attività degli utenti on-line per finalità tecniche, di studio o di profilazione. 

Perché sono state introdotte nuove Linee Guida 

Il documento aggiorna le indicazioni già contenute nel precedente provvedimento del Garante in materia (n. 229 dell’8 maggio 2014). Tra le novità previste, le più rilevanti riguardano i requisiti del consenso imposti dal Regolamento: per l’utilizzo di alcuni cookie, infatti, il titolare del sito deve ottenere il consenso dell’utente, che deve essere libero, specifico e manifestato in maniera inequivocabile. 

Non siamo di fronte all’introduzione di una normativa nuova, ma all’esigenza di un intervento da parte dell’Autorità di controllo per rafforzare la consapevolezza degli utenti del web 

L’obiettivo 

L’obiettivo delle Linee Guida è rafforzare il potere decisionale degli utenti con riguardo ai loro dati personali. 

Per esempio, il Garante affronta le criticità operative del cosiddetto scrolling (scorrimento della pagina web) come metodo di acquisizione del consenso: si tratta di una attività di per sé non adatta a consentire l’inequivocabile manifestazione del consenso. Inoltre, il Garante tratta la questione del cookie wall, quel meccanismo automatico con cui per accedere al sito si è obbligati a dare il consenso al trattamento dei dati personali: risulta evidente che anche in questo caso la manifestazione dell’interessato risulta estorta senza possibili alternative, per cui la scelta non può considerarsi libera 

In entrambi i casi viene meno almeno uno dei requisiti del consenso dell’utente web

I nuovi banner per la gestione dei cookie prevedono la possibilità da parte dell’utente di selezionare diverse tipologie di cookie: esistono i cookie tecnici che sono strettamente necessari al funzionamento del sito e altri cookie che invece sono usati per profilare l’utente: i cookie di funzionalità, che servono a personalizzare l’esperienza dell’utente; i cookie per inviare pubblicità mirata in base alle preferenze del visitatore; i cookie di prestazione, che consentono di vedere come i visitatori si muovono all’interno del sito, evidenziando le pagine in cui trascorrono più tempo. 

Per quanto riguarda i cookie tecnici, proprio in virtù della loro funzione tecnica, non è necessaria la specifica richiesta di consenso da parte dell’utente e spesso si trovano già selezionati di default. Il titolare del sito dovrà fornire specifica informativa, anche inserita in quella di carattere generale. 

Riguardo invece ai cookie di profilazione, ossia tutti quelli non tecnici che vengono usati per creare profili relativi all’utente che visita il sito, il consenso dell’utente è obbligatorio. 

Questo perché la loro natura non tecnica e collegata a finalità non essenziali al funzionamento del sito, impone all’utente di esprimersi in maniera inequivocabile sulla volontà di installazione di questi identificatori sul proprio terminale. 

In questi casi il titolare del sito dovrà fornire l’informativa ed anche raccogliere e conservare il consenso specifico dell’utente per 6 mesi. 

L’importanza di adeguare il proprio sito internet alla normativa 

Aggiornare il proprio sito internet alle nuove disposizioni rappresenta innanzitutto un modo per evitare eventuali sanzioni da parte del Garante. Lo scorso 22 dicembre infatti, l’Autorità ha emanato il Piano di attività ispettiva per il primo semestre 2022. Non è un caso che, tra le tematiche su cui si concentrerà l’attività di controllo, sia indicato “il trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookie”. 

Nell’esercizio delle sue attività ispettive, il Garante si avvale del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza.  

Il controllo può essere attivato d‘ufficio oppure tramite reclamo da parte dell’interessato

Nel primo caso il Garante procede autonomamente con il controllo decidendo quali accertamenti porre in essere; nel secondo caso se un utente ritiene che il trattamento dei suoi dati sia stato violato potrà comunicarlo al Garante, che si attiverà procedendo con i controlli necessari. 

Venendo al punto dolente della questione, se a seguito dei controlli viene rilevato il mancato rispetto di uno degli obblighi previsti, il Garante potrà stabilire non solo una sanzione pecuniaria, ma anche la sanzione amministrativa accessoria della pubblicazione dell’ordinanza di ingiunzione (per intero o per estratto) sul sito web. 

Nel dettaglio, si parla di sanzioni pecuniarie pesanti, già previste dal provvedimento del 2014, perché: 

  • In caso di mancata o non idonea informativa è prevista una sanzione da 6.000 a 36.000 euro; 
  • In caso di installazione dei cookie senza consenso dell’interessato, la sanzione va da 10.000 a 120.000 euro. 

Risulta quindi importante adeguarsi alle nuove Linee Guida del Garante e affidarsi ad un professionista che possa fornire consulenza in materia. 

I passaggi da svolgere per adeguarsi alla normativa 

La prima cosa da fare è procedere ad un’analisi del proprio sito per capire quali siano i cookie effettivamente raccolti.  

In base alla tipologia di cookie con cui abbiamo a che fare, gli adempimenti da porre in essere sono diversi: informativa, cookie banner, richiesta specifica del consenso. L’informativa è un documento che indica come il titolare del sito raccoglierà e utilizzerà i dati personali dell’utente, il cookie banner è un avviso “pop-up” che ha lo scopo di informare il visitatore della presenza dei cookie, infine la richiesta specifica del consenso avviene tramite una “check box” che consente all’utente di selezionare quali strumenti di tracciamento vuole autorizzare. 

Una volta conclusa l’analisi e individuate le tipologie di cookie raccolti, va modificato/aggiornato il banner che compare alla prima visita. 

Questo perché al primo accesso dell’utente al sito nessun cookie o altro strumento di tracciamento diverso da quelli tecnici potrà essere posizionato all’interno del suo dispositivo, senza consenso libero, specifico e espresso in modo inequivocabile

In presenza di cookie di profilazione, il titolare dovrà inserire un banner che sia in grado di rilevare e memorizzare le scelte dell’utente ed un’informativa descrittiva delle tecnologie utilizzate (Cookie Policy). 

Nel caso in cui il sito raccolga solo cookie tecnici, funzionali, il titolare potrà fornire le relative informazioni di utilizzo dei dati nell’informativa generale senza necessità di banner iniziali. 

Per una consulenza privacy su questo tema o su altri argomenti legati al mondo del GDPR, il team privacy di Scp è a disposizione 

Come? Se vuoi conoscere lo stato di fatto del tuo business/Ente a livello privacy e trattamento dei dati personali contattaci senza impegno scrivendo a scpdigitale@scponline.it e verrai contattato da un nostro professionista. 

Scp da oltre 40 anni si occupa di consulenza privacy in ambito informatico: per scoprire di più sui nostri servizi visita la pagina dedicata sul sito https://www.scponline.it/consulenza-e-servizi-40/gdpr-consulenza-privacy/  

Giulia Pisanelli e Valentina Franceschini Professioniste Privacy e GDPR

Giulia Pisanelli: Dopo il diploma classico e la Laurea Magistrale in Giurisprudenza, ha continuato il percorso di studi giuridici esercitando la pratica forense. Ha conseguito un Master di Specializzazione per Responsabili della Protezione dei dati personali Privacy Officer - Data Security Officer. Da 3 anni lavora presso Scp occupandosi di Consulenza in materia di Protezione dei dati personali.

Valentina Franceschini: Dopo il diploma scientifico e la Laurea Magistrale in Giurisprudenza, ha continuato il percorso di studi giuridici esercitando la pratica forense. Ha conseguito un Master di Specializzazione Data Protection Officer. Da 6 anni lavora presso Scp occupandosi di Consulenza in materia di Protezione dei dati personali e Assistenza Tecnica Gestionali HR presso Scp.