Linee guida sui cookie del Garante Privacy per siti web ed e-commerce

Linee guida sui cookie del Garante Privacy per siti web ed e-commerce

Il 10 giugno 2021 il Garante Privacy ha pubblicato le nuove Linee Guida sull’utilizzo corretto dei cookie.
Ecco come dev’essere rispettata la cosiddetta “cookie law”.


Le Linee guida sono molto importanti perché stabiliscono in maniera definitiva come i siti web dovranno gestire i cookie. 

Il provvedimento è stato pubblicato il 10 luglio ed è quindi adesso possibile conoscere come l’Autorità vuole che i siti web e gli e-commerce debbano rispettare la c.d. “cookie law”.

Premessa:

Il Garante Privacy inizia le nuove Linee guida sui cookie con una importante e necessaria premessa normativa (qui riassunta): 

“Il quadro giuridico di riferimento è infatti, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (il Codice della Privacy), quanto dal GDPR, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020″.

Inoltre, l’Autorità ricorda a tutti noi che le prime Linee guida sull’uso dei cookie risalgono al 2014.

Insomma, non solo un ricco panorama normativo di contorno, ma anche un provvedimento del Garante Privacy (le Linee guida del 2014) che meritano di essere riviste in base sia al recente progresso tecnologico, sia alle novità del GDPR.
Molte delle indicazioni previste dalle precedenti Linee guida del 2014 sono ancora valide (e ciò conferma la lungimiranza del Garante Privacy). Inoltre, trovano applicazione molti concetti espressi dal GDPR (sopratutto in tema di consenso).


Cosa sono i cookie:

Con questo termine si intendono stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

I terminali possono essere, per esempio:
- computer
- tablet
- smartphone
- ogni altro dispositivo in grado di archiviare informazioni. 

Le funzionalità dei cookie

I cookie assolvono a molteplici scopi, quali:
- monitoraggio di sessioni
- memorizzazione delle scelte dell’utente
- gestire la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.

In buona sostanza, le Linee guida sui cookie confermano quanto già indicato dalla Autorità nelle precedenti Linee guida del 2014.

Vale a dire che i cookie possono differenziarsi in:
- cookie tecnici. Sono quelli che permettono al sito di funzionare correttamente
- cookie di profilazione. Per le Linee guida sui cookie essi sono: “utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete”.

In buona sostanza, i cookie di profilazione sono quelli che vengono usati per:
- proporre pubblicità personalizzata in base agli interessi manifestati dall’utente durante la sua navigazione in rete
- fornire servizi personalizzati
- scopi di analisi statistica sulla navigazione dell’utente in rete.

Le Linee guida sui cookie e il ruolo del consenso:

Nelle Linee guida il Garante conferma che il rilascio dei cookie tecnici può avvenire senza il consenso dell’utente.
Questi cookie, infatti, sono necessari al sito per funzionare e quindi non ha senso richiedere il consenso dell’utente per prestare un servizio (la navigazione sul sito) richiesto dall’utente stesso.

Invece, i cookie di profilazione possono essere installati solo previo consenso dell’utente.
Il consenso è quindi l’unica base giuridica che legittima il rilascio dei cookie di profilazione.
I cookie di profilazione non possono essere rilasciati per “legittimo interesse” del sito web.

Le Linee guida sui cookie vietano il c.d. “scrolling” e il “cookie wall”.

Il Garante Privacy conferma altresì il divieto del c.d. “scrolling” della pagina per ottenere il consenso al rilascio dei cookie. Vieta altresì il ricorso al “cookie wall”.

Il consenso al rilascio dei cookie deve essere sempre un consenso “espresso”. Non è così se il sito inizia a rilasciare cookie di profilazione solo perché l’utente ha “scrollato” (magari involontariamente come spesso accade) la pagina.

Su questo punto le Linee guida sui cookie sono categoriche:
“il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso”.

Divieto del “cookie wall”

Le Linee guida sull’uso dei cookie definiscono il “cookie wall” come:
“un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito“.

Pertanto, con il cookie wall l’utente è obbligato ad accettare i cookie di profilazione se vuole accedere al sito. È ovvio che in uno scenario come questo, il consenso dell’utente non può dirsi libero. Di conseguenza, le Linee guida sui cookie vietano l’uso dei cookie wall.

Il meccanismo di acquisizione del consenso secondo le Linee guida:

In primo luogo, le Linee guida confermano l’impianto originario delle Linee guida del 2014, con alcune precisazioni e aggiornamenti.

Vietato rilasciare cookie di profilazione senza previo consenso.

Nella sezione dedicata al consenso (pag. 10), le Linee guida ricordano che il sito web o ecommerce può rilasciare cookie di profilazione solo se l’utente ha espresso un consenso in tal senso.

Il consenso dovrà essere ottenuto con le seguenti modalità: quando l’utente accede al sito al primo accesso, il sito web o e-commerce dovrà presentare un banner con le seguenti caratteristiche:

A. X posta a destra del banner e relativa avvertenza

Il banner deve avere una “X” collocata alla sua destra. Come ormai sanno tutti gli utenti di internet, la X serve per “chiudere” una determinata sezione, TAB o banner.

Se l’utente chiude questo banner cliccando su X il sito non dovrà rilasciare cookie di profilazione.
Pertanto, la chiusura del banner equivale a rifiuto al rilascio dei cookie di profilazione.

Inoltre, il banner dovrà informare l’utente che:
“la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici”.

È molto importante che il banner riprenda il wording proposto dalle Linee guida sull’uso dei cookie.
Questo, sia per chiarezza espositiva, sia per perseguire quell’intento di uniformare la comunicazione legale proposto dalle stesse Linee guida sui cookie.  

B. Informativa minima da inserire nel banner

Oltre alla X posta in alto a destra, il banner dovrà contenere una “informativa minima” sull’uso dei cookie.

Si tratta di un’informativa relativa al fatto che il sito web utilizza cookie tecnici e potrà “esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve (cfr. punto iv che segue), utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web“.

Anche in questo caso è molto importante che l’informativa breve si attenga al contenuto proposto dalle Linee guida sui cookie.

Il banner deve informare l’utente che il sito usa cookie tecnici e anche cookie di profilazione (ciò, secondo il wording proposto dal Garante Privacy).

C. Link alla cookie policy

Il banner dovrà contenere anche un link alla cookie policy.
Come noto, la cookie policy è il documento che illustra all’utente la politica sull’uso dei cookie del sito web di rifermento.
Il link alla cookie policy deve essere sempre presente anche nel footer del sito.  

D. Comando per esprime il consenso al rilascio dei cookie di profilazione

Il banner dovrà esporre anche un tasto che se cliccato dall’utente legittima il rilascio dei cookie di profilazione.

Il wording del tasto deve essere scritto in modo chiaro e comprensibile per qualsiasi utente.

Possono essere usate formule come:
- presto il consenso
- acconsento al rilascio dei cookie di profilazione
- accetto

E. Link ad area dedicata. Contenuto dell’area dedicata

Il banner deve contenere anche un link ad un’area dedicata dove l’utente potrà selezionare/deselezionare i cookie di profilazione rilasciati dai fornitori terzi (es. Google o Facebook).

Per selezionare/deselezionare i fornitori terzi si può inserire in questa area i link alla pagina del fornitore dove lo stesso fornitore mette a disposizione lo strumento di opt-out  (c’è continuità con le Linee guida sull’uso dei cookie pubblicate dal Garante Privacy nel 2014).

Per esempio, Google mette a disposizione una pagina dove l’utente può acconsentire/negare il rilascio dei cookie di Google Analytics: https://tools.google.com/dlpage/gaoptout

Se il fornitore terzo non offre all’utente questo strumento di opt-out, allora sempre in questa sezione, con riferimento a quel fornitore, il sito web deve informare l’utente che potrà selezionare/deselezionare il cookie di profilazione usando le impostazione del proprio browser. 

In questa area è inoltre possibile dividere i cookie di profilazione in categorie (profilazione statistica o pubblicitaria) e permettere all’utente di selezionare/deselezionare i cookie solo con riferimento a queste categorie.

Per rispettare l’obbligo di generare chiarezza e semplicità d’uso, le categorie non devono essere numericamente eccessive. Altrimenti, l’utente si trova costretto a dover negare/acconsentire a troppe categorie e la UX ne subisce.

Da ultimo, il Garante Privacy informa che in questa area le impostazioni devono essere preselezionate sul diniego al rilascio dei cookie.


Dare la possibilità all’utente di modificare le scelte sui cookie

Accendendo all’area di cui al punto precedente l’utente può effettuare le scelte sull’uso dei cookie. Successivamente, lo stesso utente potrebbe voler modificare le proprie scelte.
Ad esempio, potrebbe decidere di accettare la profilazione pubblicitaria per ricevere pubblicità online in linea con le sue preferenze.
Pertanto, il sito web o e-commerce deve indicare nel footer un link che indirizzi l’utente ad un’area del sito dove, appunto, modificare le sue scelte.

Secondo il Garante Privacy il nome del link può essere “Rivedi le tue scelte sui cookie“, o analogo. 

Il banner serve solo se il sito web rilascia cookie di profilazione.

Anche in questo ambito il Garante Privacy conferma l’orientamento espresso nelle Linee guida del 2014.
Infatti, anche per le nuove Linee guida sull’uso dei cookie se il sito web o ecommerce non rilascia cookie di profilazione il banner non deve essere presentato. 

Lo scopo del banner è quello di permettere all’utente di negare/permettere il rilascio dei cookie di profilazione. Se il sito web non rilascia cookie di profilazione è logico non presentare alcun banner cookie. 

Quando richiedere il consenso al rilascio dei cookie secondo le Linee guida sui cookie

Il Garante Privacy prende atto di un comportamento che interessa (purtroppo) molti siti:

“Ancora con riferimento alle modalità di acquisizione del consenso, l’osservazione del comportamento dei siti web e le segnalazioni pervenute hanno evidenziato l’ulteriore problematica della spesso ridondante ed invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia liberamente scelto”.

Le Linee guida sui cookie pertanto vietano di riproporre troppo spesso il banner quando l’utente ha già scelto di non essere profilato.

Il banner cookie, quindi, può essere riproposto quando:
- vi sono sostanziali modifiche sulla gestione dei cookie. Ad esempio, il sito rilascia cookie di profilazione pubblicitaria oltre che statistica; oppure sono state aggiunte nuove “terze parti” alla informativa cookie.
- sono trascorsi comunque almeno 6 mesi dall’ultima presentazione del banner. 

Il contenuto della cookie policy

Le Linee guida sui cookie intervengono anche sul contenuto della informativa cookie.

In primo luogo è necessario aggiornare questa informativa inserendo le definizioni rinvenibili nelle Linee guida, ad esempio, sulla definizione di “cookie” oppure sulla loro categorizzazione.

Inoltre, è necessario strutturare la cookie policy in modo più attinente a quelle che sono le informazioni previste dagli artt. 12 e 13 del GDPR.
Il sito dovrà sempre pubblicare due informative separate, cookie policy e informativa privacy, ma sempre facendo riferimenti a questi articoli del Regolamento Privacy.

Inoltre, si dovranno indicare i periodi di conservazione delle informazioni, o almeno i criteri di conservazione.
Il Garante Privacy non richiede che la cookie policy debba indicare i cookie rilasciati dal sito. Questa informazione deve essere riportata nell’area che compare cliccando sul banner cookie (v. sopra punto E).

Quanto tempo si ha per rispettare le Linee guida sui cookie?

I siti hanno tempo 6 mesi dalla pubblicazione in Gazzetta Ufficiale delle Linee guida sui cookie per mettersi a norma.
Il documento è stato pubblicato il 10 luglio 2021. Pertanto, il termine scade il 10 gennaio 2022.