L’Autorità per la protezione dei dati greca (HDPA) ha pubblicato un vademecum su cookie e altre tecnologie di tracciamento, al fine di fornire ai titolari di siti web una guida pratica che, nell’ambito delle attività di trattamento di dati degli utenti, semplifichi operativamente le previsioni stabilite dalla normativa e-Privacy e dal GDPR, favorendo l’adeguamento alle normative applicabili.
Il tale contesto, l’HDPA chiarisce in primo luogo che l’utente deve essere adeguatamente informato sull’uso dei cookie e dei tracker impiegati sul sito. Al riguardo, viene valutata positivamente la possibilità di adottare un multi-layered approach, con l’utilizzo di finestre pop-up o banner, purché sia garantita in generale un’informazione chiara e completa all’utente, dovendosi specificare, tra le altre, l’identità dei responsabili del trattamento o delle categorie di destinatari cui i dati vengono trasmessi, nonché la durata del trattamento.
Inoltre, l’invio di cookie e tracker sui device usati dall’utente non tecnicamente necessari per la navigazione (e.g. i cookie analitici) deve essere indefettibilmente preceduto dall’espressione di un consenso da parte dell’interessato. A tal proposito, l’Autorità segnala che, affinché il consenso possa ritenersi lecito, è necessaria una chiara azione positiva dell’utente: saranno pertanto invalidi i consensi ottenuti tramite caselle pre-flaggate, dal proseguimento della navigazione o dallo scorrimento della pagina web. In tema di consenso, le Linee Guida stabiliscono altresì che: (i) il titolare deve garantire all’utente la possibilità di esprimere il proprio dissenso con lo stesso numero di “click” e con le stesse modalità con cui viene espresso il consenso; (ii) l’utente deve poter modificare le preferenze espresse in precedenza, sia di consenso che di diniego del consenso, tramite le stesse attività e gli stessi percorsi; (iii) non è consentita la pratica del c.d. “cookie wall”, in quanto in nessun caso il mancato consenso all’utilizzo dei cookie e delle altre tecnologie di tracciamento può essere utilizzato per limitare l’accesso ai contenuti del sito web; (iv) non devono essere presentate in modo graficamente diverso le opzioni “accetta” e “rifiuta”, al fine di evitare che l’utente possa essere in qualche modo influenzato nella scelta; infine (v) è fatto divieto al titolare di prevedere dei tempi di memorizzazione delle preferenze dell’utente differenti a seconda del conferimento o del mancato conferimento del consenso.
Va notato che quanto precede non costituisce un cambiamento nel quadro istituzionale esistente e negli orientamenti dell’Autorità. Tuttavia, l’esigenza di emanare le presenti Linee Guida nasce a seguito di un’ampia indagine condotta dall’HDPA, dalle cui risultanze è emerso un approccio generalmente non conforme alle norme applicabili da parte dei fornitori di servizi della società dell’informazione.