Gia pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021, entrano in vigore a partire dal 9 gennaio 2022 le indicazioni in materia di Cookies contenute nelle "Linee guida cookie e altri strumenti di tracciamento" - Registro dei provvedimenti n. 231 del 10 giugno 2021. Di seguito una sintesi delle novità. 

Le nuove linee guide pubblicate dal Garante delle Privacy tenendo conto: 

1. del quadro giuridico di riferimento, soprattutto a seguito dell’introduzione del Regolamento 2016/679 (GDPR);
2. della rapida e continua innovazione tecnica e tecnologica delle reti e degli strumenti;
3. dell’evoluzione del comportamento degli utenti, che utilizzano sempre più spesso servizi (web, social media, app, ecc.) e strumenti plurimi (computer, tablet, smartphone, smart TV, ecc.), con il conseguente moltiplicarsi delle possibilità di raccolta e incrocio dei dati ad essi riferiti.

Gli elementi chiave delle nuove Linee guida sono:

• Promozione dell’accountability;
• Offerta agli utenti di informative trasparenti e chiare;
• Rafforzamento del meccanismo del consenso;
• Rispetto dei principi di privacy by design e by default.

Le nuove Linee guida, inoltre, estendono il loro ambito di applicazione oltre che ai cookie anche ad altri strumenti di tracciamento, come ad esempio il fingerprinting

Suggeriscono alcuni miglioramenti che i titolari possono adottare al fine di rendere agli utenti una informativa conforme ai requisiti di trasparenza previsti dagli articoli 12 e 13 del Regolamento. In particolare, l’informativa:

• deve avere un linguaggio semplice ed accessibile
• deve essere multilayer, cioè dislocata su più livelli o anche resa tramite più canali e modalità (cosiddetto multichannel), ad esempio con il ricorso a pop-up informativi, interazioni vocali, assistenti virtuali, contatto telefono, chatbot, ecc.

Cookies tecnici

Se si utilizzano SOLO cookie tecnici, la relativa informazione può essere collocata in home page o nell’informativa generale del sito web.

Cookies di tracciamento

Se si trattano anche altri cookie e altri identificatori «non tecnici», è indicato l’utilizzo di banner a comparsa immediata e di adeguate dimensioni che contengano:

• un comando (ad esempio, una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo, così, le impostazioni di default che dunque, appunto per impostazione predefinita, non ne consentano l’impiego;

• l’indicazione che il sito utilizza cookie tecnici e se del caso, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve); 

• il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e le modalità per esercitare i diritti di cui al Regolamento;

• un comando per accettare tutti i cookie o anche altre tecniche di tracciamento; 

• il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter modificare le scelte già fatte, prestando il consenso all’impiego di tutti i cookie se non dato in precedenza o revocandolo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale - ad esempio nel footer di ogni pagina del dominio - lo stato dei consensi resi dall’utente consentendone l’eventuale modifica o aggiornamento. 
L’area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.

La soluzione suggerita, in linea con le previsioni di legge, non è tuttavia da considerarsi la sola che possa conseguire il duplice obiettivo di assicurare, per il tramite del trattamento, la conformità alle norme applicabili all’impiego di cookie e altri strumenti di tracciamento e la piena tutela degli interessati. Nel rispetto del nuovo regime di accountability, infatti, compete comunque al titolare l’individuazione degli accorgimenti e delle soluzioni più idonee,  eventualmente anche incrementando la trasparenza in ordine alle scelte rimesse all’interessato e privilegiando il ricorso a meccanismi di acquisizione del consenso online in grado di conseguire il più ampio livello possibile di  standardizzazione.

Il Consenso

Anche in tema di consenso le nuove Linee guida propongono significative innovazioni. 

a) SCROLLING
Ai sensi del GDPR, non è ritenuto uno strumento adatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato, nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento. Al riguardo si precisa che il consenso all’impiego di cookie e altri strumenti di trattamento, ai fini della sua validità, deve rispettare, al pari di qualsiasi altra manifestazione di volontà dell’interessato circa il trattamento dei propri dati personali, tutti i requisiti imposti dal
Regolamento; tra essi, in particolare, quello relativo all’obbligo, che grava sul titolare, di dimostrarne l’avvenuta, corretta acquisizione. Dato il regime di accountability, né nella disciplina di legge né nelle Linee Guida del Garante si prevede alcuna misura specifica circa le modalità per assicurare l’adempimento di tale obbligo. Il titolare potrà avvalersi, a tale scopo, di un apposito cookie tecnico; l’individuazione di misure alternative è rimessa esclusivamente al titolare stesso.

b) COOKIE WALL
Il meccanismo vincolante (cosiddetto «take it or leave it») nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie o altri strumenti di tracciamento è da considerarsi illecito. Fatta salva l’ipotesi - da verificare caso per caso in base ai principi del GDPR - nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti. 

I consensi raccolti precedentemente al 9 gennaio mantengono validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili. La reiterazione della richiesta di consenso verso gli utenti che non lo hanno prestato o che mantengono le impostazioni di default è consentita nei seguenti casi:

1. se cambiano significativamente le condizioni del trattamento;
2. quando sia impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo;
3. quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Maggiori informazioni e FAQ sono reperibile dal sito del Garante ai seguenti Links