Entro il 10 gennaio 2022 i titolari dei siti web dovranno conformarsi alle nuove Linee guida sui cookie pubblicate dal Garante Privacy.
I cookie sono, generalmente, stringhe di testo che consentono ai siti di archiviare informazioni nel dispositivo utilizzato dall’utente. È grazie ai cookie, ad esempio, che è possibile memorizzare nel carrello virtuale gli acquisti effettuati on line, ed è sempre grazie ai cookie che è possibile attuare tecniche di behavioural advertising: archiviando le informazioni relative alle sessioni di navigazione, i siti riescono a selezionare messaggi pubblicitari calibrati sulle preferenze del singolo utente.
Tradizionalmente, i cookie vengono distinti in due macro-categorie: quelli tecnici (strettamente necessari al funzionamento del sito) e quelli di profilazione (utilizzati per comprendere gli schemi comportamentali dell’utente). Ci sono poi i cookie analytics, usati, tra l’altro, per progettare un sito o per monitorarne il traffico.
Tuttavia, come ammesso dal Garante, non è sempre agevole distinguere tra cookie tecnici, di profilazione o analytics, perché manca una codifica universalmente accettata dei cookie. Inoltre, non tutti gli strumenti di tracciamento coinvolgono dati personali e non sempre implicano il posizionamento di stringhe di testo (visualizzabili e cancellabili) nel dispositivo dell’utente.
Infatti, i cookie possono raccogliere dati personali (come l’indirizzo mail o IP) ma possono anche codificare dati non personali, come le informazioni sulla configurazione del dispositivo utilizzato dall’utente (ad esempio, la lingua). Questa seconda categoria di dati consente di attuare tecniche di tracciamento c.d. passive, cioè basate sulla sola lettura delle impostazioni che contraddistinguono il dispositivo, rendendolo così identificabile. In questi casi, l’utente non ha alcun accesso alle informazioni che lo riguardano e, come rilevato dal Garante, spesso non è neppure consapevole della loro raccolta.
Attraverso le nuove Linee guida sui cookie, il Garante ha voluto incrementare il potere di scelta degli utenti in un contesto caratterizzato dall’uso di tracciatori sempre più invasivi.
In primo luogo il Garante ha sancito il divieto, al momento del primo accesso ad un sito, di posizionare cookie diversi da quelli tecnici nel dispositivo dell’utente e il divieto di utilizzare altre tecniche di tracciamento, incluse quelle passive. Inoltre, l’informativa cookie dovrà indicare i criteri di codifica applicati dai diversi tracciatori utilizzati dal sito.
È stata poi dichiarata l’illegittimità del cookie wall, ossia di quel sistema che impone agli utenti di esprimere il consenso. Questo sistema sarà legittimo solo se verrà comunque consentito agli utenti di accedere a contenuti o servizi equivalenti, senza richiesta di consenso all’uso dei cookie o di altri tracciatori. Anche il semplice scrolling (spostamento del cursore per proseguire nella navigazione) è stato dichiarato una forma illegittima di acquisizione del consenso, perché manca un’azione positiva, registrabile e inequivoca da parte dell’utente.
Rispetto ai cookie di profilazione, il Garante ha ribadito la necessità di richiedere il consenso attraverso un banner ben distinguibile sulla pagina web. In ogni caso, gli utenti dovranno avere la possibilità di proseguire la navigazione senza essere in alcun modo tracciati. Quanto ai cookie analytics, ne è stato raccomandato l’utilizzo solo a scopi statistici.
Infine, il Garante ha censurato i meccanismi di ripresentazione del banner per la richiesta di consenso ad ogni nuovo accesso al sito. Quindi, se l’utente negherà il consenso, la scelta dovrà essere registrata dal sito e potrà essere sollecitata solo in caso di mutamento significativo delle condizioni del trattamento.