Garante Privacy e GDPR: nuove regole per il web dal 10 gennaio 2022

Lo scorso 10 luglio 2021 il Garante Privacy ha approvato le linee guida che aggiornano il GDPR in merito all'uso dei cookie sui siti web.

Le nuove direttive entreranno in vigore a partiere dal 10 gennaio 2022 ed è importante adeguarsi quanto prima per evitare pesanti sanzioni in caso di accertamento che confermi l'inadempienza.

Ecco un breve riassunto sulle novità e su come adeguarsi

Consenso con cookie banner

Se il tuo sito utilizza cookie di profilazione e/o altri strumenti per il tracciamento della navigazione, il cookie banner rappresenta un ottimo strumento per l'acquisizione del consenso dell'utente. Il GDPR richiede che il banner da presentare all'utente, che approda per la prima volta sul nostro sito web, contenga le seguenti informazioni:

• breve informativa sull'uso di cookie tecnici ed eventuali cookie di profilazione o altri strumenti di tracciamento, con le relative finalità
• il link alla cookie policy che indichi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione e l'esercizio dei diritti dell'utente
• l'indicazione chiara che, proseguendo nella navigazione del sito tramite azione positiva ed esplicita, l'utente presta il proprio consenso alla profilazione. Attenzione: il semplice scorrimento non è considerato un metodo adeguato per la raccolta del consenso
• link a un pannello di gestione dove l'utente può selezionare in maniera puntuale le funzionalità, le terze parti e le categorie di cookie che intende accettare
• un comando per accettare tutti i cookie o altri strumenti di tracciamento
• un comando per rifiutare tutti i cookie o altri strumenti di tracciamento

Per le successive visite al sito, l'utente non dovrà più visualizzare il banner di consenso ma dovrà poter accedere alla privacy/cookie policy e ad un'area dover poter modificare le preferenze di tracciamento espresse in precedenza.

Cookie tecnici (statici)

I cookie si dividono sostanzialmente in due macro categorie: cookie tecnici e cookie di profilazione.

In linea di principio, i cookie tecnici di prima parte possono essere installati senza il consenso dell'utente, mentre, per quanto riguarda i cookie statistici di terze parti, possono essere installati senza il consenso dell'utente solo se:

• non permettono l'identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi)
• il loro uso è limitato a un singolo sito/app
• non sono condivisi o comunicati a terzi
• i dati raccolti non sono combinati con altri dati.

Preferenze di consenso

Si può richiedere nuovamente di prestare il consenso solo se:

• le condizioni del consenso sono cambiate (ad esempio, sono stati aggiunti dei nuovi servizi di terza parte o ne sono stati rimossi di vecchi)
• il titolare del sito non possiede gli strumenti per tenere traccia del consenso precedente (per esempio quando l'utente ha eliminato il cookie di consenso installato sul suo dispositivo)
• sono passati almeno 6 mesi dall'ultima acquisizione.

Prova del consenso

Nel GDPR si precisa che il titolare di un sito web è tenuto a dimostrare di aver ottenuto un consenso valido secondo gli standard della normativa in vigore.

Le nuove linee guida richiedono esplicitamente di documentare le preferenze all'utilizzo dei cookie espresso dal navigatore del sito web.

Il Garante specifica infatti che per poter considerare l'azione di un utente come un consenso valido all'installazione dei cookie, a questa azione deve corrispondere un “evento informatico inequivoco, documentabile” e “riconoscibile e registrabile da parte del titolare“.

I cookie (e gli altri strumenti di tracciamento) non possono essere installati se non sulla base del consenso espresso degli utenti o, se si applicano le condizioni dell'eccezione “strettamente necessari”, anche senza il consenso degli utenti.

In particolare, l'interesse legittimo del titolare del sito web non costituisce una base giuridica valida.