Sono passati pochi mesi da quando il Garante per la protezione dei dati personali ha pubblicato le linee guida inerenti l’uso dei cookies nei siti web, sulle quali aveva avviato una procedura di consultazione pubblica.
Le linee guida fungono da integrazione ai passati interventi, quali il Provvedimento n° 229 dell’8 maggio 2014, le FAQ in materia di informativa e consenso all’uso dei cookies del 3 dicembre 2014 e i chiarimenti in merito all’attuazione della normativa in materia di cookie del 5 giugno 2015.
Il loro scopo è fornire indicazioni sul diritto applicabile all’utilizzo dei cookies e di altri strumenti di tracciamento, nonché specificare le corrette modalità di presentazione dell’informativa privacy.
I PUNTI SALIENTI
La menzione di “altri strumenti di tracciamento”
Il documento menziona strumenti/metodi che svolgono le stesse attività di profilazione dei cookies, ossia raccogliere informazioni relative all’utente e al suo comportamento nel sito web per scopi pubblicitari, e che devono essere sottoposti alle medesime linee guida.
Tra questi si cita il fingerprinting, un metodo di “lettura” delle informazioni relative alla configurazione del dispositivo utilizzato dall’utente per navigare nei siti web (per es. tipo e versione del browser, sistema operativo, fuso orario, lingua, risoluzione schermo, ecc.). Le informazioni raccolte con questa tecnica sarebbero utili per definire l’identità digitale dell’utente ed inserirlo in specifici cluster a cui proporre contenuti pubblicitari in linea con i dati raccolti.
Tra i cookies e l’impiego del fingerprinting, però, viene sottolineata una differenza significativa: nel primo caso, infatti, l’utente che non intende essere profilato può rimuovere direttamente i cookies, perché archiviati nel suo dispositivo (oltre a poter rifiutare il consenso alla profilazione). Nel secondo caso, l’utente non è in possesso di nessuno strumento per la rimozione di file di testo nel suo dispositivo, in quanto il metodo fingerprinting presuppone la sola lettura della configurazione del dispositivo usato dall’utente.
Pertanto, in questo caso, l’utente non avrebbe accesso libero e diretto ai suoi dati e dovrebbe necessariamente fare ricorso all’azione del titolare per potervi accedere.
I chiarimenti sul consenso online riportate nel Provvedimento del 2014
Viene confermata la modalità per l’acquisizione del consenso, riportata nel Provvedimento dell’ 8 maggio 2014, che prevede l’impostazione dell’informativa su due livelli di approfondimento: un’informativa breve, inserita in un banner a comparsa immediata e un’informativa estesa, accessibile dal banner e situata in una sezione dedicata (second layer).
Vengono considerati inidonei i seguenti metodi di raccolta del consenso:
- Lo scrolling (comparsa dell’informativa breve allo scorrere della pagina web), a meno che non sia inserito in un processo più articolato che permette all’utente di generare un evento registrabile e documentabile;
- Il cookie wall, perché presuppone l’obbligo dell’utente ad accettare la ricezione dei cookie di profilazione per accedere al sito;
- La reiterazione del consenso, a meno che l’utente non cancelli i cookies installati nel suo dispositivo o se, per il proprietario del sito, risulti impossibile sapere se un cookie sia già stato installato nel dispositivo dell’utente.
L’aggiornamento del contenuto dei banner riferiti alla cookie policy dei siti web
Vengono fornite indicazioni relative alla forma e al contenuto del banner, che deve avere una dimensione tale da rappresentare una discontinuità nella fruizione dei contenuti e deve permettere all’utente di esprimere il suo consenso all’uso dei cookies.
L’utente deve avere la possibilità di scegliere di mantenere solo le impostazioni di default, che non prevedono l’attivazione di cookies di profilazione, e di poter chiudere il banner senza accedere ad altre aree del sito.
Per impostazione predefinita, infatti, i cookies di profilazione dovranno essere disattivati dal sito web e nessun cookie eccetto quelli tecnici (utili per la corretta fruizione del sito) dovrà essere installato all’interno del dispositivo usato, previo consenso dell’utente.
L’utente che accede al sito deve avere il potere di scegliere di consentire o meno l’attivazione dei cookies di profilazione, consentendo quindi un uso più ampio dei suoi dati.
Inoltre, se nel sito web si utilizzano solo cookies tecnici non vige l’obbligo di presentazione dell’informativa breve nella homepage.
I chiarimenti sull’assimilazione dei cookie analytics a quelli tecnici
Viene stabilito che i cookies analytics possono essere assimilati ai cookies tecnici (e quindi possono essere usati senza l’obbligo del consenso dell’utente) solo se il loro potere identificativo viene ridotto al minimo, per esempio mediante il mascheramento della quarta porzione dell’indirizzo IP. In ogni caso, i dati “minimizzati” non dovranno essere combinati con altri dati raccolti, pena il maggior rischio di identificazione dell’utente.
Le novità del contenuto dell’informativa privacy, relativa alle modalità del trattamento dei dati
Sono stati indicati dei miglioramenti applicabili alle informative privacy, per renderle conformi ai requisiti di trasparenza previsti dagli articoli 12 e 13 del Regolamento UE 679/2016, ovvero:
- L’indicazione di eventuali soggetti terzi, destinatari dei dati personali raccolti;
- I tempi di conservazione dei dati acquisiti;
- Le istruzioni su come esercitare tutti i diritti previsti dal GDPR, come avanzare una richiesta d’accesso ai propri dati personali e proporre un reclamo a un’Autorità di controllo.

Desideri maggiori informazioni?
Contattaci allo 0422-421742 o scrivi una mail a info@aeaconsulenza.it. I nostri consulenti sapranno rispondere a tutte le tue richieste inerenti questa tematica.