Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Linee guida sui cookie del Garante Privacy: indicazioni per siti web.

21/04/2022

Linee guida sui cookie del Garante Privacy: indicazioni per siti web ed e-commerce

 

Il 10 giugno 2021 il Garante Privacy ha redatto le nuove Linee Guida sui cookie.
 

Il provvedimento è stato pubblicato il 10 luglio ed è quindi adesso possibile conoscere come l’Autorità vuole che i siti web e gli ecommerce debbano rispettare la c.d. “cookie law”.
 

Ricordiamo che a novembre 2020 il Garante Privacy aveva pubblicato una bozza di Linee guida sull’uso dei cookie. Il documento era stato oggetto di una c.d. “consultazione pubblica” tra gli operatori (anche LegalBlink aveva presentato le proprie osservazioni, molte delle quali si ritrovano nelle Linee guida sui cookie).
 

Il Garante Privacy ha quindi esaminato le osservazioni espresse dagli operati in merito alla bozza di Linee guida in precedenza pubblicate e ha rilasciato il documento definitivo, che adesso possiamo commentare.
 

Le Linee guida sono molto importanti perchè delineano come i siti web dovranno gestire i cookie rilasciati sui terminali degli utenti.
 

Per questo motivo i legali di LegalBlink hanno preparato la presente Guida, dedicata a web agency e titolari di siti web ed ecommerce. Così chiunque è messo in condizione di pubblicare un sito a norma di legge, evitando reclami degli utenti o sanzioni del Garante Privacy.
 

AGGIORNAMENTO: Leggi le FAQ del Garante Privacy sull’uso dei cookie.
 

 

Premessa delle Linee guida sui cookie

 

Il Garante Privacy inizia le nuove Linee guida sui cookie con una doverosa premessa normativa (qui riassunta): 
 

“Il quadro giuridico di riferimento è infatti, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (il Codice della Privacy), quanto dal GDPR …  come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020″.


Inoltre, l’Autorità ricorda a tutti noi che le prime Linee guida sull’uso dei cookie risalgono al 2014.


Insomma, non solo un ricco panorama normativo di contorno, ma anche un provvedimento del Garante Privacy (le Linee guida del 2014) che meritano di essere riviste in base sia al recente progresso tecnologico, sia alle novità del GDPR.


Come vedrai esaminando questa Guida, molte delle indicazioni previste dalle precedenti Linee guida del 2014 sono ancora valide (e ciò conferma la lungimiranza del nostro Garante Privacy). Inoltre, trovano applicazione molti concetti espressi dal GDPR (sopratutto in tema di consenso).


I legali di LegalBlink hanno esaminato il provvedimento e lo hanno riassunto in questa Guida, declinando molti concetti per agevolare il lavoro di web agency e titolari di siti web o e-commerce.


Ad ogni modo, come descritto nelle conclusioni , i primi soggetti coinvolti dalle Linee guida sui cookie sono le società che gestiscono i generatori di documenti legali. Infatti, sarà necessario adeguare il banner cookie alle nuove indicazioni.
 

In tal senso, LegalBlink il 9 luglio ha partecipato a una Tavola rotonda con il Garante Privacy organizzata da 4eCom.  In questa occasione sono state recepite utili indicazioni per implementare al meglio i nuovi obblighi.
 

Seguici sui social … o iscriviti alla nostra newsletter!

 

Prima di leggere l’articolo … aspetta! Se vuoi rimanere aggiornato sulle questioni cookie e sulle novità legali del mondo ecommerce e digitale seguici sui nostri canali LinkedInFacebook e YouTube.
 

Oppure, iscriviti alla nostra newsletter: l’unica dedicata ai temi legali che interessano le web agency e siti web! Il nostro ultimo articolo della newsletter ha riguardato il registro preferenze cookie.
 

cosa sono i cookie


Cosa sono i cookie e le loro funzioni


Le Linee guida sui cookie ricordano innanzitutto cosa siano i cookie e le loro funzioni.
 

Cosa sono i cookie

 

Con questo termine si intendono:
 

stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.


Pertanto, i cookie sono piccoli file che vengono installati sui terminali dell’utente da parte del sito web o e-commerce o da terze parti (per il tramite del sito stesso). Questi file vengono installati quando l’utente visita un determinato sito.


I terminali possono essere, per esempio:
 

  • computer
  • tablet
  • smartphone
  • ovvero ogni altro dispositivo in grado di archiviare informazioni. 


Le funzionalità dei cookie


I cookie assolvono a molteplici scopi, quali:
 

  • monitoraggio di sessioni
  • memorizzazione delle scelte dell’utente
  • gestire la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.


In buona sostanza, le Linee guida sui cookie confermano quanto già indicato dalla Autorità nelle precedenti Linee guida del 2014. Vale a dire che i cookie possono differenziarsi in:
 

  • cookie tecnici. Sono quelli che permettono al sito di funzionare correttamente
  • cookie di profilazione. Per le Linee guida sui cookie essi sono
 

“utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete”.


In buona sostanza, i cookie di profilazione sono quelli che vengono usati per:
 

  • proporre pubblicità personalizzata in base agli interessi manifestati dall’utente durante la sua navigazione in rete
  • fornire servizi personalizzati
  • scopi di analisi statistica sulla navigazione dell’utente in rete.
 


Le Linee guida sui cookie e il ruolo del consenso 


Nelle Linee guida il Garante conferma che il rilascio dei cookie tecnici può avvenire senza il consenso dell’utente.


Questi cookie, infatti, sono necessari al sito per funzionare e quindi non ha senso richiedere il consenso dell’utente per prestare un servizio (la navigazione sul sito) richiesto dall’utente stesso.


Invece, i cookie di profilazione possono essere installati solo previo consenso dell’utente.


Il consenso è quindi l’unica base giuridica che legittima il rilascio dei cookie di profilazione.


I cookie di profilazione non possono essere rilasciati per “legittimo interesse” del sito web


Alcuni generatori di documenti legali indicano nella cookie policy che il rilascio dei cookie di profilazione è permesso per “legittimo interesse” del sito web.


Questa impostazione è stata criticata dai legali di LegalBlink e infatti non figura nelle cookie policy generate attraverso il nostro generatore.


Le Linee guida sui cookie confermano che non è ammesso usare il “legittimo interesse” del sito web per rilasciare cookie di profilazione sui terminali degli utenti.


L’unica base giuridica che permette il rilascio dei cookie di profilazione è il consenso.


Le Linee guida sui cookie vietano il c.d. “scrolling” e il “cookie wall”


Il Garante Privacy conferma altresì il divieto del c.d. “scrolling” della pagina per ottenere il consenso al rilascio dei cookie. Vieta altresì il ricorso al “cookie wall”.


Lo scroll della pagina non legittima il rilascio dei cookie di profilazione


Il consenso al rilascio dei cookie deve essere sempre un consenso “espresso”. Non è così se il sito inizia a rilasciare cookie di profilazione solo perchè l’utente ha “scrollato” (magari involontariamente) la pagina.
 

Su questo punto le Linee guida sui cookie sono categoriche:
 

“il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso”.

Divieto del “cookie wall”


Le Linee guida sull’uso dei cookie definiscono il “cookie wall” come:
 

“un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito“.


Pertanto, con il cookie wall l’utente è obbligato ad accettare i cookie di profilazione se vuole accedere al sito. E’ ovvio che in uno scenario come questo, il consenso dell’utente non può dirsi libero.


Di conseguenza, le Linee guida sui cookie vietano l’uso dei cookie wall.
 

linee guida sui cookie


Il meccanismo di acquisizione del consenso secondo le Linee guida sui cookie


Cosa deve fare il sito web o ecommerce per ottenere un valido consenso al rilascio dei cookie?


In primo luogo, le Linee guida confermano l’impianto originario delle Linee guida del 2014, con alcune precisazioni e aggiornamenti.


Vietato rilasciare cookie di profilazione senza previo consenso


Nella sezione dedicata al consenso (pag. 10), le Linee guida ricordano che il sito web o ecommerce può rilasciare cookie di profilazione solo se l’utente ha espresso un consenso in tal senso.


Il consenso dovrà essere ottenuto con le modalità che andiamo a descrivere.


Presentare un banner al primo accesso: come rispettare le Linee guida sui cookie

 

Quando l’utente accede al sito al primo accesso, il sito web o ecommerce dovrà presentare un banner cookie con le seguenti caratteristiche:
 

A. X posta a destra del banner e relativa avvertenza

 

Il banner deve avere una “X” collocata alla sua destra. Come ormai sanno tutti gli utenti di internet, la X serve per “chiudere” una determinata sezione, TAB o banner.
 

Ebbene, se l’utente chiude questo banner cliccando su X il sito non dovrà rilasciare cookie di profilazione.


Pertanto, la chiusura del banner equivale a rifiuto al rilascio dei cookie di profilazione.


Inoltre, il banner dovrà informare l’utente che:
 

“la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici”.


In tal senso, è molto importante che il banner riprenda il wording proposto dalle Linee guida sull’uso dei cookie.


Ciò, sia per chiarezza espositiva, sia per perseguire quell’intento di uniformare la comunicazione legale proposto dalle stesse Linee guida sui cookie.  


B. Informativa minima da inserire nel banner


Oltre alla X posta in alto a destra, il banner dovrà contenere una “informativa minima” sull’uso dei cookie.
 

Secondo le Linee guida sui cookie si tratta di una informativa relativa al fatto che il sito web utilizza cookie tecnici e potrà
 

“esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve (cfr. punto iv che segue), utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web“.


Anche in questo caso è molto importante che l’informativa breve si attenga al contenuto proposto dalle Linee guida sui cookie.


In buona sostanza, il banner deve informare l’utente che il sito usa cookie tecnici e anche cookie di profilazione (ciò, secondo il wording proposte dal Garante Privacy).


C. Link alla cookie policy


Il banner dovrà contenere anche un link alla cookie policy.


Come noto, la cookie policy è il documento che illustra all’utente la politica sull’uso dei cookie del sito web di rifermento. 


Il link alla cookie policy deve essere sempre presente anche nel footer del sito.  


D. Comando per esprime il consenso al rilascio dei cookie di profilazione


Il banner dovrà esporre anche un tasto che se cliccato dall’utente legittima il rilascio dei cookie di profilazione.
 

Il wording del tasto deve essere scritto in modo chiaro e comprensibile per qualsiasi utente. Possono essere usate formule come:
 

  • presto il consenso
  • acconsento al rilascio dei cookie di profilazione
  • accetto.


E. Link ad area dedicata. Contenuto dell’area dedicata


Il banner deve contenere anche un link ad un’area dedicata dove l’utente potrà selezionare/deselezionare i cookie di profilazione rilasciati dai fornitori terzi (es. Google o Facebook).


Per selezionare/deselezionare i fornitori terzi si può inserire in questa area i link alla pagina del fornitore dove lo stesso fornitore mette a disposizione lo strumento di opt-out  (in tal senso c’è continuità con le Linee guida sull’uso dei cookie pubblicate dal Garante Privacy nel 2014).


Per esempio, Google mette a disposizione una pagina dove l’utente può acconsentire/negare il rilascio dei cookie di Google Analytics:


https://tools.google.com/dlpage/gaoptout


Se il fornitore terzo non offre all’utente questo strumento di opt-out, allora sempre in questa sezione, con riferimento a quel fornitore, il sito web deve informare l’utente che potrà selezionare/deselezionare il cookie di profilazione usando le impostazione del proprio browser. 


In questa area è inoltre possibile dividere i cookie di profilazione in categorie (profilazione statistica o pubblicitaria) e permettere all’utente di selezionare/deselezionare i cookie solo con riferimento a queste categorie.


Per rispettare l’obbligo generare di chiarezza e semplicità d’uso, le categorie non devono essere numericamente eccessive. Altrimenti, l’utente si trova costretto a dover negare/acconsentire a troppe categorie e la UX ne subisce.


Da ultimo, il Garante Privacy informa che in questa area le impostazioni devono essere impostazione
sul diniego al rilascio dei cookie.


Dare la possibilità all’utente di modificare le scelte sui cookie


Accendendo all’area di cui al punto precedente l’utente può effettuare le scelte sull’uso dei cookie. Successivamente, lo stesso utente potrebbe voler modificare le proprie scelte.


Ad esempio, potrebbe decidere di accettare la profilazione pubblicitaria per ricevere pubblicità online in linea con le sue preferenze.


Pertanto, il sito web o ecommerce deve indicare nel footer un link che indirizzi l’utente ad un’area del sito dove, appunto, modificare le sue scelte.


Secondo il Garante Privacy il nome del link può essere “Rivedi le tue scelte sui cookie“, o nome analogo. 


Il banner serve solo se il sito web rilascia cookie di profilazione


Anche in questo ambito il Garante Privacy conferma l’orientamento espresso nelle Linee guida del 2014.


Infatti, anche per le nuove Linee guida sull’uso dei cookie se il sito web o ecommerce non rilascia cookie di profilazione il banner non deve essere presentato. 


Lo scopo del banner è quello di permettere all’utente di negare/permettere il rilascio dei cookie di profilazione. Se il sito web non rilascia cookie di profilazione è logico non presentare alcun banner cookie. 

cosa dice il garante privacy sui cookie


Quando richiedere il consenso al rilascio dei cookie secondo le Linee guida sui cookie

 

Il Garante Privacy prende atto di un comportamento che interessa (purtroppo) molti siti:
 

“Ancora con riferimento alle modalità di acquisizione del consenso, l’osservazione del comportamento dei siti web e le segnalazioni pervenute hanno evidenziato l’ulteriore problematica della spesso ridondante ed invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia liberamente scelto”.


Le Linee guida sui cookie pertanto vietano di riproporre troppo spesso il banner quando l’utente ha già scelto di non essere profilato.


Il banner cookie, quindi, può essere riproposto quando:
 

  • vi sono sostanziali modifiche sulla gestione dei cookie. Ad esempio, il sito rilascia cookie di profilazione pubblicitaria oltre che statistica; oppure sono state aggiunte nuove “terze parti” alla informativa cookie.
  • sono trascorsi comunque almeno 6 mesi dall’ultima presentazione del banner. 


Il contenuto della cookie policy


Le Linee guida sui cookie intervengono anche sul contenuto della informativa cookie.


In primo luogo è necessario aggiornare questa informativa inserendo le definizioni rinvenibili nelle Linee guida, ad esempio, sulla definizione di “cookie” oppure sulla loro categorizzazione.


Inoltre, è necessario strutturare la cookie policy in modo più attinente a quelle che sono le informazioni previste dagli artt. 12 e 13 del GDPR.


Il sito dovrà sempre pubblicare due informative separate, cookie policy e informativa privacy, ma sempre facendo riferimenti a questi articoli del Regolamento Privacy.


Inoltre, si dovranno indicare i periodi di conservazione delle informazioni, o almeno i criteri di conservazione.


ATTENZIONE: il Garante Privacy non richiede che la cookie policy debba indicare i cookie rilasciati dal sito. Questa informazione deve essere riportata nell’area che compare cliccando sul banner cookie (v. sopra punto E).
 

Quanto tempo si ha per rispettare le Linee guida sui cookie?


I siti hanno tempo 6 mesi dalla pubblicazione in Gazzetta Ufficiale delle Linee guida sui cookie per mettersi a norma. 


Il documento è stato pubblicato il 10 luglio 2021. Pertanto, il termine scade il 10 gennaio 2022.


Conclusioni sulle Linee guida sull’uso dei cookie


Alla data di uscita delle Linee guida sui cookie nessun generatore di documenti legali può dirsi conforme alla indicazioni in esso contenute. 
 

I primi soggetti coinvolti dalle nuove indicazioni saranno pertanto le società che gestiscono questi generatori, che dovranno adeguare i loro tool alle nuove prescrizioni.
 

I legali di LegalBlink sono già all’opera per adeguare il generatore di cookie policy e il banner cookie a quanto indicato dal Garante Privacy.


LegalBlink è il punto di riferimento legale dell’ecommerce e in questo ruolo, il 9 luglio, ha partecipato a una esclusiva Tavola rotonda con il Garante Privacy organizzata da 4eCom. In questo evento sono emerse utili informazioni per implementare al meglio le indicazioni provenienti dalle Linee guida sui cookie.


Pertanto, se anche tu sei un utente LegalBlink  sarai presto aggiornato in tal senso. Altrimenti, affidati anche tu a LegalBlink e dimentica le questioni legali: pensano a tutto i nostri legali!
 

Se vuoi pubblicare anche una privacy policy a norma, ti consigliamo di leggere la nostra guida sul generatore di privay policy.

 

Team LegalBlink