Il 25 maggio 2018 è entrato in vigore il GDPR, un regolamento europeo che riguarda la protezione dei dati e che si rivolge tanto alla presenza online che a quella offline. L’applicazione del GDPR ha scatenato, e continua a scatenare, non poche preoccupazioni tra i proprietari di siti web. E proprio quando pensi di aver già fatto tutto il dovuto per mettere a norma il tuo sito, arriva un nuovo provvedimento da parte del Garante della Privacy e via di nuovo a cercare di capirci qualcosa.
Infatti il 9 luglio 2021 il Garante ha pubblicato in Gazzetta Ufficiale le nuove linee guida cookie e altri strumenti di tracciamento, prevedendo 6 mesi di tempo per l’adeguamento: i titolari di siti web dovranno eseguire eventuali aggiornamenti e modifiche ad informative e gestione dei consensi entro il 9 gennaio 2022.
Sì, ma nel concreto cosa cambia e come possiamo adeguarci?
Quali siti sono sottoposti al GDPR e quali invece non sono interessati?
I siti che devono adeguarsi alle norme sul trattamento dei dati sono quelli professionali. L’art. 2 del GDPR stabilisce che i trattamenti di dati effettuati da persone fisiche per attività personali non rientrano nell’ambito del GDPR. Attenzione però, perché a volte anche un blog di ricette, creato per hobby, può essere molto complesso.
Diamo per assodato che ci siamo già tutte adeguate al GDPR come lo conoscevamo fino ad oggi. Quali sono le novità introdotte a luglio 2021?
Le novità riguardano le Linee guida pubblicate dal Garante italiano per la protezione dei dati personali a giugno 2021 (in Gazzetta Ufficiale il 9 luglio 2021), con riferimento all’utilizzo dei cookie e degli altri strumenti di tracciamento installati sui siti internet.Che differenza c’è tra cookie e altri strumenti di tracciamento?
La definizione di cookie, data dal Garante stesso, è ormai conosciuta: i cookie sono “stringhe di testo che i siti web visitati dall’utente ovvero siti o web server diversi posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo”.
Attraverso la tecnologia dei cookie, cioè, il nostro sito o siti terzi, le cosiddette “terze parti”, possono memorizzare le preferenze dell’utente, la sua interazione con un sito e consentire così al titolare del trattamento dei dati di creare un profilo dell’utente, per inviargli pubblicità mirate.
Questa è solo una delle possibilità offerte dall’utilizzo dei cookie, ma ce ne sono moltissime altre. Nelle ultime Linee guida il Garante affronta anche il tema degli “altri strumenti di tracciamento”, ovvero tecnologie che non utilizzano i cookie, ma che sono in grado di raggiungere i medesimi risultati, legati alla creazione del profilo di un utente. La differenza sostanziale, scrive il Garante, sta nel fatto che mentre i cookie sono considerati identificatori “attivi” che l’utente può attivare o disattivare, gli altri strumenti di tracciamento sono considerati identificatori “passivi”, che l’utente non può disattivare in via autonoma (e la cui presenza va però indicata nella cookie policy), ma che può disattivare solo facendo ricorso all’azione del titolare del sito. Scrive il Garante: “Tra gli strumenti “passivi” è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, ovvero per conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione. Per tali ragioni, il fingerprinting e gli ulteriori strumenti di tracciamento devono dunque essere ricompresi nell’ambito di applicazione delle presenti Linee guida”.Quali tipi di cookie installano i siti e quali siamo obbligate a bloccare, come titolari del sito?
Il Garante distingue tra i cookie tecnici, che servono sostanzialmente per fare in modo che il sito funzioni e funzioni bene e velocemente e i cookie di profilazione, che sono invece utilizzati per raggruppare gli utenti in profili omogenei e offrire un servizio personalizzato o inviare messaggi pubblicitari mirati. Questa la grande distinzione fatta nelle Linee Guida sui cookie.
Ad oggi non esiste una codificazione universale relativa ai cookie, quindi la loro categorizzazione deve essere fatta dal titolare stesso del sito, sulla base della funzione di ciascun cookie installato.
Precisa il Garante, che i cookie cosiddetti Analytics, possono essere considerati tecnici, quando vengono utilizzati per creare statistiche aggregate (quindi con l’anonimizzazione dell’IP) e con riferimento ad un solo sito internet, in modo che l’utilizzo di tali cookie non consenta di risalire ad un utente specifico.In concreto, quali novità introducono le nuove linee guida e cosa dobbiamo fare entro il 9 gennaio per adeguarci?
Occorre fare un check up del nostro sito con:
Revisione della cookie policy estesa per essere certi che sia a norma
Revisione dell’informativa breve presente nel banner dei cookie
Revisione delle funzionalità del banner dei cookie (link all’informativa estesa, preselezione solo dei cookie tecnici, possibilità per l’utente di espandere il banner e scegliere per categoria, possibilità di accettare solo i cookie tecnici o accettarli tutti)
in caso di soli cookie tecnici (e analytics anonimizzato) non è necessario il banner cookie
lo scroll down non è un metodo idoneo ad acquisire il consenso all’installazione dei cookie
il cookie wall è illegittimo
il cookie banner deve essere riproposto dopo 6 mesi, non prima, se non ci sono stati mutamenti sostanziali nella tipologia di cookie installati
link nel footer per permettere di modificare le proprie scelte
possibilità per l’utente di fare una scelta granulare
Qui puoi scaricare la Scheda di Sintesi rilasciata dal Garante della Privacy.