Cosa cambia con le nuove linee guida del Garante privacy sui cookie

Le nuove linee guida del Garante privacy sui cookie introducono obblighi onerosi per qualsiasi gestore di un sito Internet.

Abbiamo analizzato le nuove linee guida del Garante privacy sui cookie nel podcast di seguito, che è anche disponibile su Apple PodcastsGoogle PodcastsSpotify e Audible, e in questo articolo.

Le 5 cose ricordare sulle nuove linee guida del Garante privacy sui cookie

Gli aspetti principali delle linee guida sui cookie (che si applicano anche ad altri sistemi di tracciamento online e.g., il fingerprinting) possono essere riassunte come segue:

  1. Categorizzazione: rimane la distinzione tra cookie tecnici (che comprendono i cookie analytics con IP mascherato) per i quali il consenso non è necessario e di profilazione (che comprendono tutti i cookie che non sono tecnici) per i quali il consenso è la sola opzione, senza possibilità di usare il legittimo interesse. All’accesso al sito, il gestore deve garantire che di default solo i cookie tecnici siano installati e le cookie wall sono bannate quando obbligano a prestare il consenso
  2. Consenso tramite scrolling: rimane la possibilità di acquisizione del consenso tramite lo scrolling, ma solo nel caso in cui sia dimostrabile che è il risultato di una scelta inequivoca e documentabile, il che rende questa prova decisamente onerosa
  3. Rinnovo della richiesta di consenso: la richiesta di consenso ai cookie non può essere riproposta, a meno che (i) non cambino le condizioni del trattamento significativamente, (ii) non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo (e.g. la cancellazione dei cookie) e (iii) non siano decorsi almeno 6 mesi dalla precedente richiesta  
  4. Infomativa multi-layer: si mantiene il modello di informativa multi-layer con (i) un banner all’accesso al sito con specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto e link all’informativa estesa, con anche l’obbligo di renderlo fruibile anche da parte di disabili ai sensi della legge 9 gennaio 2004, n. 4, come di recente modificata, (ii) la necessità di rendere edotto l’utente delle conseguenze di ogni azione, ivi compreso il clicking sulla X, (iii) la possibilità per l’utente di scegliere tra il consenso o l’opzione di modulare le sue preferenze rispetto al tracciamento e (iv) il link ad un’area in cui l’utente può selezionare i cookie anche per categorie omogenee 
  5. Revisione dei consensi: deve essere data la possibilità all’utente di rivedere le preferenze sui cookie tramite una apposita area da posizionarsi nel footer del sito dove le preferenze già prestate devono essere chiaramente riconoscibili con un approccio di legal design.

Quanto tempo c’è per conformarsi?

Il Garante ha attribuito un termine di 6 mesi per conformarsi seguendo l’approccio già adottato nei precedenti mesi dal CNIL.

La presa di posizione del Garante è in linea con quanto già enfatizzato dal EDPB nelle sue linee guida sul consenso. Tuttavia, dai rilievi sollevati dal Garante privacy emerge soprattutto la necessità di un nuovo approccio ai cookie in termini di trasparenza nei confronti degli utenti. Questa esigenza potrebbe essere ulteriormente accelerata dall’iniziativa lanciata da NOYB, l’associazione coordinata da Schrems, che ha preso di mira oltre 10.000 siti, mandando contestazioni circa il trattamento dei dati tramite i cookie e minacciando di denunciare il gestore del sito al garante locale, qualora non fossero adottati i correttivi richiesti.

Tutto ciò sta avvenendo in un periodo in cui il Regolamento ePrivacy sembra alle porte e le aziende potrebbero approfittare dell’occasione per tener conto anche di questa nuova normativa nella revisione dei propri siti. Sull’argomento potete trovare interessante l’articolo “Regolamento ePrivacy: approvato il testo finale dal Consiglio dell’Unione Europea“.

La trascrizione del podcast è disponibile di seguito:

Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology dello studio legale DLA Piper, e questo è il podcast “Diritto al Digitale”.

Oggi parliamo delle nuove linee guida del garante sui cookie che introducono alcune interessanti novità. Prima di tutto l’ambito di applicazione. Non si applica soltanto ai cookie, ma tutte a tutte le forme di tracciamento online, ivi compreso il fingerprinting.

Si mantiene la categorizzazione tra cui i cookie tecnici e di profilazione e i tecnici comprendono i cookie analytics, se viene adottata una forma di mascheramento dell’indirizzo IP. quindi confermando l’orientamento precedente.

La famiglia dei cookie di profilazione viene estesa perché vanno a comprendere tutti i cookie che non possono essere considerati tecnici, quindi tutti i cookie che non sono necessari al funzionamento dei servizi richiesti dall’utente.

Rispetto alla modalità di acquisizione del consenso, si mantiene la possibilità di utilizzare solo il consenso con scroll down. I requisiti applicabili sono veramente molto stringenti però, bisogna dimostrare che ci sia stata una scelta, e la scelta deve essere documentabile. Onestamente penso che ben pochi siti utilizzeranno questa opzione.

Vengono bannati tutte le cookie wall in cui c’è un obbligo da parte dell’utente di accettare i cookie. La richiesta del consenso non può essere più riproposta all’infinito finché il l’utente non presta il suo consenso, ma una volta che l’utente per esempio cliccando sulle X negano il consenso, questa richiesta non può essere riproposta, a meno che non cambino sostanzialmente le condizioni del trattamento e se non sia possibile tracciate il precedente consenso, per esempio se l’utente ha cancellato i cookie sul proprio sul proprio browser o a meno che non sia passati almeno sei mesi dalla precedente prestazione del consenso all’accesso al sito.

Il gestore deve capire che di default soltanto tutti i cookie tecnici siano installati, mentre si mantiene l’impostazione iniziale della informativa multilayer. Quindi ci sarà un banner che ha deve conformarsi con una serie di requisiti in termini di posizionamento, dimensioni, addirittura caratteri anche della X in alto a destra nel banner stesso.

Il banner deve essere accessibile ai portatori di handicap in conformità con quanto previsto di recente dai recenti cambiamenti normativi, deve e consentito all’utente di prestare un consenso specifico, quanto meno per categoria di cookie, e questa è una novità per quanto onerosa. Quindi si troverà l’utente con la scelta di by-passare tutti i cookie o di poter selezionare tramite un’area delicata i cookie che si vuole installare con un tick nell’informativa estesa o nel banner stesso in un’area in cui queste selezioni per categoria o per singolo cookie devono essere ovviamente accessibili.

Un’altra novità è che deve essere consentita la possibilità all’utente di rivederle le sue preferenze tramite un’area accessibile nel Footer del sito internet. Quindi questa potrebbe essere per esempio un link all’informativa suoi cookies che contiene le scelte oppure un’area dedicata.

Viene adottato già un approccio di legal design sulla base del quale deve essere chiaramente comprensibile da un utente quando vorrà rivedere le scelte che ha selezionato o non ha selezionato.

Tutti questi cambiamenti non potevano entrare in vigore da un giorno all’altro, infatti il Garante dà sei mesi di tempo per conformarsi. Sembrano tanti ma non lo sono perché si tratta di soluzioni tecniche che rappresentano una tendenza in qualche modo anche a livello europeo, ma che per i siti per esempio che hanno impostazioni di stile tra virgolette americano rappresenta un cambiamento decisamente oneroso