Dal Garante Privacy arrivano le nuove linee guida per i cookies. Il provvedimento va ad aggiornare quello precedente, risalente all’anno 2014 e quindi emesso prima dell’introduzione del Regolamento Europeo (GDPR). Si torna sull’argomento, spiega il Garante, proprio per adeguare le indicazioni ai principi del GDPR e per fornire alcune precisazioni rispetto ai comportamenti messi in atto dai gestori di siti Web.
Cookies tecnici e di profilazione: l’importanza del consenso
Il punto di partenza è la distinzione tra cookies tecnici e quelli di profilazione: il Garante ribadisce che i secondi richiedono il consenso dell’utente, precisando che una base giuridica alternativa non è contemplata. Da qui la neces-sità di predisporre alcuni accorgimenti, espressione di quella logica di privacy by default e privacy by design che permea il GDPR.
Servirà quindi che il visitatore del sito riceva una richiesta, espressa in modo chiaro, se intende acconsentire all’impiego di cookies profilanti. L’eventuale consenso, che dovrà essere inequivoco, andrà espresso con un’attività che non può essere il semplice scrolling. Al momento del primo accesso, il gestore del sito non potrà installare sul device del visitatore nessun cookie diverso da quelli tecnici.
I banner, da usare per indirizzare nelle scelte il visitatore, non dovranno essere ridondanti, in modo da non compromettere la fruizione della navigazione o da orientare le decisioni. Nel caso di utilizzo dei soli cookies tecnici, l’informativa potrà essere minima. All’utente dovrà però essere garantita la possibilità di rivedere le proprie scelte, soprattutto nel caso in cui vi siano delle modifiche nel funzionamento del sito.
Cookies analitici e di terze parti
I cookies analitici continuano ad essere considerati tecnici, a condizione che sia garantito l’anonimato degli utenti. In questo senso, sarà possibile ricorrere alle tecniche di mascheramento di parte dell’indirizzo IP. Sarà inoltre importante verificare che i soggetti che forniscono il servizio di web measurement non combinino i dati. Quanto ai cookies di terze parti, il titolare del sito dovrà specificare le loro funzionalità e i soggetti coinvolti.
A margine, un auspicio: quello cioè che venga adottato un sistema universalmente accettato di codifica semantica dei cookies, in modo da poterli distinguere tra di loro.
Qui il link alla scheda riassuntiva predisposta dal Garante.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale