Il 10 gennaio 2022 sono entrate in vigore le nuove linee guida sui cookie pubblicate dal Garante della Privacy.
Ciò significa che tutte quelle aziende che non si sono ancora adeguate alle disposizioni delle linee guida dovranno farlo tempestivamente, onde evitare di incorrere in future sanzioni.
Le linee guida includono indicazioni precise sulla categorizzazione dei cookie e delle altre tecnologie di tracciamento, sul design consigliato dei banner dei cookie, sulla raccolta, revisione e rinnovo del consenso e sulle informative.
Vediamole più nel dettaglio.
il Garante mantiene la distinzione tra cookie tecnici (compresi, anche, i cookie analytics con IP mascherato) per i quali non è richiesto il consenso, e cookie di profilazione per i quali il consenso, invece, è l’unica base giuridica possibile.
Il Garante spiega che la categoria dei cookie di profilazione è necessariamente ampia e contiene tutti i cookie che non sono esplicitamente considerati tecnici dalla legge.
Questo significa, secondo il Garante, che finché non ci sarà un sistema armonizzato per determinare la natura dei cookie, i proprietari di siti web devono chiarire la natura tecnica o non tecnica che attribuiscono a ciascun cookie nell’informativa sulla privacy o altrove.
In ogni caso, i proprietari di siti web devono garantire che, nell’accesso al sito web, solo i cookie tecnici vengano associati di default ai dispositivi degli utenti.
Il design dei banner dei cookie deve essere conforme alle raccomandazioni del Garante; questa autorità prevede che i banner debbano:
- apparire alla prima visita del sito, essere rapidamente distinguibili dal resto del contenuto del sito e avere CTA che abbiano lo stesso carattere, colore e dimensione;
- avere una ‘X’ in alto a destra che gli utenti possono cliccare per chiudere il banner senza dare il loro consenso;
- contenere informazioni sufficienti affinché gli utenti siano consapevoli delle conseguenze di ogni loro azione; ciò significa, in pratica, che i banner dovrebbero includere: (i) un avvertimento che cliccando sulla ‘X’ gli utenti accetteranno le impostazioni di default (e., saranno utilizzati solo i cookie tecnici); (ii) una breve spiegazione che i cookie di profilazione sono utilizzati esclusivamente con il consenso degli utenti e per mostrare pubblicità o personalizzare i servizi; (iii) un link alla politica estesa sulla privacy;
- avere una CTA attraverso la quale è possibile accettare tutti i cookie allo stesso tempo (ad esempio un pulsante “Accetta tutti”);
- avere un link ad un’altra area in cui gli utenti possono selezionare/deselezionare i cookie uno per uno o per categorie.
Revisione delle preferenze
Agli utenti deve essere data la possibilità di rivedere le proprie preferenze in materia di cookie; per questo, il Garante suggerisce di avere un’area dedicata nel footer del sito web con un design riconoscibile (ad esempio un pulsante “Rivedi le tue preferenze sui cookie”) per consentire agli utenti di ritirare o modificare facilmente i consensi già dati.
Rinnovo del consenso
I proprietari di siti web devono evitare di chiedere troppo spesso agli utenti di rinnovare il consenso per i cookie, perché ciò potrebbe spingere illegittimamente gli utenti ad accettare tutti i cookie solo per evitare il banner; il Garante chiarisce che i proprietari di siti web possono far riemergere il cookie banner solo
- (i) quando le condizioni di trattamento cambiano significativamente;
- (ii) se non è possibile per il controllore conoscere le scelte precedenti degli utenti perché – ad esempio – hanno cancellato tutti i cookie dal dispositivo; oppure
- (iii) dopo 6 mesi.
Informativa
Possono essere utilizzate informative multistrato; tuttavia, l’informativa privacy estesa deve essere accessibile con un solo click dal banner e anche agli utenti con disabilità che necessitano di assistenza tecnologica, ai sensi della legge 4/2004.
Il Garante aggiunge che l’informativa può essere anche multicanale (es. tramite video, pop-up, interazioni vocali, assistenti virtuali, call, chat bot, ecc.).
Il controllore dovrebbe decidere il design che funziona meglio per garantire agli utenti completezza, chiarezza, efficacia e accessibilità.
Scrolling
In determinate circostanze, lo scorrimento può essere considerato come consenso.
Tuttavia, secondo il Garante, questo può avvenire solo se il controllore è in grado di dimostrare che si tratta di una scelta inequivocabile per l’utente (ciò che il Garante chiama un “modello comportamentale chiaro”), documentabile ed informata; questo significa, in pratica, che la prova richiesta ai proprietari di siti web è molto onerosa.
Account registrati
I proprietari di siti web che offrono i loro servizi online solo agli utenti con un account registrato possono adottare meccanismi diversi da quelli descritti sopra.
Il Garante chiarisce che, qualunque sia il meccanismo scelto, i proprietari di siti web devono sempre informare gli utenti registrati dell’uso dei cookie, e dare loro la possibilità di scegliere se possono essere tracciati attraverso i propri dispositivi.
I siti web dovranno adeguarsi a queste nuove normative entro il 10 gennaio 2022.
Per scaricare l’infografica del Garante Privacy, clicca QUI.
Il team di Trasparenze può supportarti nell’adeguare il tuo sito web/app alle normative GDPR.
Contattataci per una consulenza mirata!