Dal 9 gennaio 2022 entrano in vigore le Linee Guida dettate dal Garante della Privacy in tema di Cookie Policy cui sono chiamati a conformarsi tutti i titolari di siti web.

In linea generale, i cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi usati per la consultazione (computer, smartphone, tablet, smart TV, ecc.) per essere memorizzati e poi ritrasmessi agli stessi siti in occasione della visita successiva. I cookie semplificano e velocizzano gli accessi ai siti web da parte degli utenti, in quanto memorizzano alcune informazioni relative agli stessi che non debbono più essere reperite ed elaborate dai dispositivi dopo il primo accesso. Così facendo, tuttavia, implicano il trattamento di dati personali dell’utente che deve mantenersi costantemente compliant alle disposizioni previste dal Regolamento Europeo n. 2016/679 in materia di privacy (c.d. GDPR).

Tenendo conto dell’evoluzione tecnologica, il Garante ha adottato lo scorso giugno nuove Linee guida sull’utilizzo dei cookies, le quali suggeriscono alcuni miglioramenti che i titolari del trattamento possono adottare al fine di rendere agli utenti una informativa conforme ai requisiti di trasparenza previsti dagli articoli 12 e 13 del Regolamento.

In particolare, l’informativa:

• deve avere un linguaggio semplice ed accessibile;
• deve essere multilayer, cioè dislocata su più livelli o anche resa tramite più canali e modalità (cosiddetto multichannel), ad esempio con il ricorso a pop-up informativi, interazioni vocali, assistenti virtuali, contatto telefono, chatbot, ecc.

Se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata in home page o nell’informativa generale del sito web.

Qualora si trattassero anche altri cookie e altri identificatori «non tecnici», è indicato l’utilizzo di banner a comparsa immediata e di adeguate dimensioni che contengano:

• un comando (ad esempio, una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo, così, le impostazioni di default che dunque, appunto per impostazione predefinita, non ne consentano l’impiego;
• l’indicazione che il sito utilizza cookie tecnici e se del caso, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve); - il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e le modalità per esercitare i diritti di cui al Regolamento;
• un comando per accettare tutti i cookie o anche altre tecniche di tracciamento;
• il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter modificare le scelte già fatte, prestando il consenso all’impiego di tutti i cookie se non dato in precedenza o revocandolo, anche in unica soluzione, se già espresso.

In particolare, le nuove Linee guida propongono significative innovazioni in tema di consenso.

Infatti, ai sensi del GDPR, il cd. scrolling non è ritenuto uno strumento adatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato, nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Il meccanismo vincolante (cosiddetto «take it or leave it») nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie o altri strumenti di tracciamento è da considerarsi illecito.

I consensi raccolti in precedenza e conformi alle caratteristiche richieste dal GDPR mantengono validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.

Per ulteriori approfondimenti si rimanda alla sezione dedicata sul sito dell’autorità Garante, consultabile qui.