Cosa cambia con le nuove linee guida del Garante privacy sui cookie

Le nuove linee guida del Garante privacy sui cookie introducono obblighi onerosi per qualsiasi gestore di un sito Internet.

Abbiamo analizzato le nuove linee guida del Garante privacy sui cookie nel podcast di seguito, che è anche disponibile su Apple PodcastsGoogle PodcastsSpotify e Audible, e in questo articolo.

Le 5 cose ricordare sulle nuove linee guida del Garante privacy sui cookie

Gli aspetti principali delle linee guida sui cookie (che si applicano anche ad altri sistemi di tracciamento online e.g., il fingerprinting) possono essere riassunte come segue:

  1. Categorizzazione: rimane la distinzione tra cookie tecnici (che comprendono i cookie analytics con IP mascherato) per i quali il consenso non è necessario e di profilazione (che comprendono tutti i cookie che non sono tecnici) per i quali il consenso è la sola opzione, senza possibilità di usare il legittimo interesse. All’accesso al sito, il gestore deve garantire che di default solo i cookie tecnici siano installati e le cookie wall sono bannate quando obbligano a prestare il consenso
  2. Consenso tramite scrolling: rimane la possibilità di acquisizione del consenso tramite lo scrolling, ma solo nel caso in cui sia dimostrabile che è il risultato di una scelta inequivoca e documentabile, il che rende questa prova decisamente onerosa
  3. Rinnovo della richiesta di consenso: la richiesta di consenso ai cookie non può essere riproposta, a meno che (i) non cambino le condizioni del trattamento significativamente, (ii) non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo (e.g. la cancellazione dei cookie) e (iii) non siano decorsi almeno 6 mesi dalla precedente richiesta  
  4. Infomativa multi-layer: si mantiene il modello di informativa multi-layer con (i) un banner all’accesso al sito con specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto e link all’informativa estesa, con anche l’obbligo di renderlo fruibile anche da parte di disabili ai sensi della legge 9 gennaio 2004, n. 4, come di recente modificata, (ii) la necessità di rendere edotto l’utente delle conseguenze di ogni azione, ivi compreso il clicking sulla X, (iii) la possibilità per l’utente di scegliere tra il consenso o l’opzione di modulare le sue preferenze rispetto al tracciamento e (iv) il link ad un’area in cui l’utente può selezionare i cookie anche per categorie omogenee 
  5. Revisione dei consensi: deve essere data la possibilità all’utente di rivedere le preferenze sui cookie tramite una apposita area da posizionarsi nel footer del sito dove le preferenze già prestate devono essere chiaramente riconoscibili con un approccio di legal design.

Quanto tempo c’è per conformarsi?

Il Garante ha attribuito un termine di 6 mesi per conformarsi seguendo l’approccio già adottato nei precedenti mesi dal CNIL.

La presa di posizione del Garante è in linea con quanto già enfatizzato dal EDPB nelle sue linee guida sul consenso. Tuttavia, dai rilievi sollevati dal Garante privacy emerge soprattutto la necessità di un nuovo approccio ai cookie in termini di trasparenza nei confronti degli utenti. Questa esigenza potrebbe essere ulteriormente accelerata dall’iniziativa lanciata da NOYB, l’associazione coordinata da Schrems, che ha preso di mira oltre 10.000 siti, mandando contestazioni circa il trattamento dei dati tramite i cookie e minacciando di denunciare il gestore del sito al garante locale, qualora non fossero adottati i correttivi richiesti.

Tutto ciò sta avvenendo in un periodo in cui il Regolamento ePrivacy sembra alle porte e le aziende potrebbero approfittare dell’occasione per tener conto anche di questa nuova normativa nella revisione dei propri siti. Sull’argomento potete trovare interessante l’articolo “Regolamento ePrivacy: approvato il testo finale dal Consiglio dell’Unione Europea“.