Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
21/04/2022
Il 10 giugno 2021 il Garante Privacy ha redatto le nuove Linee Guida sui cookie.
Il provvedimento è stato pubblicato il 10 luglio ed è quindi adesso possibile conoscere come l’Autorità vuole che i siti web e gli ecommerce debbano rispettare la c.d. “cookie law”.
Ricordiamo che a novembre 2020 il Garante Privacy aveva pubblicato una bozza di Linee guida sull’uso dei cookie. Il documento era stato oggetto di una c.d. “consultazione pubblica” tra gli operatori (anche LegalBlink aveva presentato le proprie osservazioni, molte delle quali si ritrovano nelle Linee guida sui cookie).
Il Garante Privacy ha quindi esaminato le osservazioni espresse dagli operati in merito alla bozza di Linee guida in precedenza pubblicate e ha rilasciato il documento definitivo, che adesso possiamo commentare.
Le Linee guida sono molto importanti perchè delineano come i siti web dovranno gestire i cookie rilasciati sui terminali degli utenti.
Per questo motivo i legali di LegalBlink hanno preparato la presente Guida, dedicata a web agency e titolari di siti web ed ecommerce. Così chiunque è messo in condizione di pubblicare un sito a norma di legge, evitando reclami degli utenti o sanzioni del Garante Privacy.
AGGIORNAMENTO: Leggi le FAQ del Garante Privacy sull’uso dei cookie.
Il Garante Privacy inizia le nuove Linee guida sui cookie con una doverosa premessa normativa (qui riassunta):
“Il quadro giuridico di riferimento è infatti, ad oggi, costituito tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (il Codice della Privacy), quanto dal GDPR … come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020″.
Inoltre, l’Autorità ricorda a tutti noi che le prime Linee guida sull’uso dei cookie risalgono al 2014.
Insomma, non solo un ricco panorama normativo di contorno, ma anche un provvedimento del Garante Privacy (le Linee guida del 2014) che meritano di essere riviste in base sia al recente progresso tecnologico, sia alle novità del GDPR.
Come vedrai esaminando questa Guida, molte delle indicazioni previste dalle precedenti Linee guida del 2014 sono ancora valide (e ciò conferma la lungimiranza del nostro Garante Privacy). Inoltre, trovano applicazione molti concetti espressi dal GDPR (sopratutto in tema di consenso).
I legali di LegalBlink hanno esaminato il provvedimento e lo hanno riassunto in questa Guida, declinando molti concetti per agevolare il lavoro di web agency e titolari di siti web o e-commerce.
Ad ogni modo, come descritto nelle conclusioni , i primi soggetti coinvolti dalle Linee guida sui cookie sono le società che gestiscono i generatori di documenti legali. Infatti, sarà necessario adeguare il banner cookie alle nuove indicazioni.
In tal senso, LegalBlink il 9 luglio ha partecipato a una Tavola rotonda con il Garante Privacy organizzata da 4eCom. In questa occasione sono state recepite utili indicazioni per implementare al meglio i nuovi obblighi.
Prima di leggere l’articolo … aspetta! Se vuoi rimanere aggiornato sulle questioni cookie e sulle novità legali del mondo ecommerce e digitale seguici sui nostri canali LinkedIn, Facebook e YouTube.
Oppure, iscriviti alla nostra newsletter: l’unica dedicata ai temi legali che interessano le web agency e siti web! Il nostro ultimo articolo della newsletter ha riguardato il registro preferenze cookie.
Le Linee guida sui cookie ricordano innanzitutto cosa siano i cookie e le loro funzioni.
Con questo termine si intendono:
stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
Pertanto, i cookie sono piccoli file che vengono installati sui terminali dell’utente da parte del sito web o e-commerce o da terze parti (per il tramite del sito stesso). Questi file vengono installati quando l’utente visita un determinato sito.
I terminali possono essere, per esempio:
I cookie assolvono a molteplici scopi, quali:
In buona sostanza, le Linee guida sui cookie confermano quanto già indicato dalla Autorità nelle precedenti Linee guida del 2014. Vale a dire che i cookie possono differenziarsi in:
“utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete”.
In buona sostanza, i cookie di profilazione sono quelli che vengono usati per:
Nelle Linee guida il Garante conferma che il rilascio dei cookie tecnici può avvenire senza il consenso dell’utente.
Questi cookie, infatti, sono necessari al sito per funzionare e quindi non ha senso richiedere il consenso dell’utente per prestare un servizio (la navigazione sul sito) richiesto dall’utente stesso.
Invece, i cookie di profilazione possono essere installati solo previo consenso dell’utente.
Il consenso è quindi l’unica base giuridica che legittima il rilascio dei cookie di profilazione.
Alcuni generatori di documenti legali indicano nella cookie policy che il rilascio dei cookie di profilazione è permesso per “legittimo interesse” del sito web.
Questa impostazione è stata criticata dai legali di LegalBlink e infatti non figura nelle cookie policy generate attraverso il nostro generatore.
Le Linee guida sui cookie confermano che non è ammesso usare il “legittimo interesse” del sito web per rilasciare cookie di profilazione sui terminali degli utenti.
L’unica base giuridica che permette il rilascio dei cookie di profilazione è il consenso.
Il Garante Privacy conferma altresì il divieto del c.d. “scrolling” della pagina per ottenere il consenso al rilascio dei cookie. Vieta altresì il ricorso al “cookie wall”.
Il consenso al rilascio dei cookie deve essere sempre un consenso “espresso”. Non è così se il sito inizia a rilasciare cookie di profilazione solo perchè l’utente ha “scrollato” (magari involontariamente) la pagina.
Su questo punto le Linee guida sui cookie sono categoriche:
“il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso”.
Le Linee guida sull’uso dei cookie definiscono il “cookie wall” come:
“un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito“.
Pertanto, con il cookie wall l’utente è obbligato ad accettare i cookie di profilazione se vuole accedere al sito. E’ ovvio che in uno scenario come questo, il consenso dell’utente non può dirsi libero.
Di conseguenza, le Linee guida sui cookie vietano l’uso dei cookie wall.
Cosa deve fare il sito web o ecommerce per ottenere un valido consenso al rilascio dei cookie?
In primo luogo, le Linee guida confermano l’impianto originario delle Linee guida del 2014, con alcune precisazioni e aggiornamenti.
Nella sezione dedicata al consenso (pag. 10), le Linee guida ricordano che il sito web o ecommerce può rilasciare cookie di profilazione solo se l’utente ha espresso un consenso in tal senso.
Il consenso dovrà essere ottenuto con le modalità che andiamo a descrivere.
Quando l’utente accede al sito al primo accesso, il sito web o ecommerce dovrà presentare un banner cookie con le seguenti caratteristiche:
Il banner deve avere una “X” collocata alla sua destra. Come ormai sanno tutti gli utenti di internet, la X serve per “chiudere” una determinata sezione, TAB o banner.
Ebbene, se l’utente chiude questo banner cliccando su X il sito non dovrà rilasciare cookie di profilazione.
Pertanto, la chiusura del banner equivale a rifiuto al rilascio dei cookie di profilazione.
Inoltre, il banner dovrà informare l’utente che:
“la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici”.
In tal senso, è molto importante che il banner riprenda il wording proposto dalle Linee guida sull’uso dei cookie.
Ciò, sia per chiarezza espositiva, sia per perseguire quell’intento di uniformare la comunicazione legale proposto dalle stesse Linee guida sui cookie.
Oltre alla X posta in alto a destra, il banner dovrà contenere una “informativa minima” sull’uso dei cookie.
Secondo le Linee guida sui cookie si tratta di una informativa relativa al fatto che il sito web utilizza cookie tecnici e potrà
“esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve (cfr. punto iv che segue), utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web“.
Anche in questo caso è molto importante che l’informativa breve si attenga al contenuto proposto dalle Linee guida sui cookie.
In buona sostanza, il banner deve informare l’utente che il sito usa cookie tecnici e anche cookie di profilazione (ciò, secondo il wording proposte dal Garante Privacy).
Il banner dovrà contenere anche un link alla cookie policy.
Come noto, la cookie policy è il documento che illustra all’utente la politica sull’uso dei cookie del sito web di rifermento.
Il link alla cookie policy deve essere sempre presente anche nel footer del sito.
Il banner dovrà esporre anche un tasto che se cliccato dall’utente legittima il rilascio dei cookie di profilazione.
Il wording del tasto deve essere scritto in modo chiaro e comprensibile per qualsiasi utente. Possono essere usate formule come:
Il banner deve contenere anche un link ad un’area dedicata dove l’utente potrà selezionare/deselezionare i cookie di profilazione rilasciati dai fornitori terzi (es. Google o Facebook).
Per selezionare/deselezionare i fornitori terzi si può inserire in questa area i link alla pagina del fornitore dove lo stesso fornitore mette a disposizione lo strumento di opt-out (in tal senso c’è continuità con le Linee guida sull’uso dei cookie pubblicate dal Garante Privacy nel 2014).
Per esempio, Google mette a disposizione una pagina dove l’utente può acconsentire/negare il rilascio dei cookie di Google Analytics:
https://tools.google.com/dlpage/gaoptout
Se il fornitore terzo non offre all’utente questo strumento di opt-out, allora sempre in questa sezione, con riferimento a quel fornitore, il sito web deve informare l’utente che potrà selezionare/deselezionare il cookie di profilazione usando le impostazione del proprio browser.
In questa area è inoltre possibile dividere i cookie di profilazione in categorie (profilazione statistica o pubblicitaria) e permettere all’utente di selezionare/deselezionare i cookie solo con riferimento a queste categorie.
Per rispettare l’obbligo generare di chiarezza e semplicità d’uso, le categorie non devono essere numericamente eccessive. Altrimenti, l’utente si trova costretto a dover negare/acconsentire a troppe categorie e la UX ne subisce.
Da ultimo, il Garante Privacy informa che in questa area le impostazioni devono essere impostazione
sul diniego al rilascio dei cookie.
Accendendo all’area di cui al punto precedente l’utente può effettuare le scelte sull’uso dei cookie. Successivamente, lo stesso utente potrebbe voler modificare le proprie scelte.
Ad esempio, potrebbe decidere di accettare la profilazione pubblicitaria per ricevere pubblicità online in linea con le sue preferenze.
Pertanto, il sito web o ecommerce deve indicare nel footer un link che indirizzi l’utente ad un’area del sito dove, appunto, modificare le sue scelte.
Secondo il Garante Privacy il nome del link può essere “Rivedi le tue scelte sui cookie“, o nome analogo.
Anche in questo ambito il Garante Privacy conferma l’orientamento espresso nelle Linee guida del 2014.
Infatti, anche per le nuove Linee guida sull’uso dei cookie se il sito web o ecommerce non rilascia cookie di profilazione il banner non deve essere presentato.
Lo scopo del banner è quello di permettere all’utente di negare/permettere il rilascio dei cookie di profilazione. Se il sito web non rilascia cookie di profilazione è logico non presentare alcun banner cookie.
Il Garante Privacy prende atto di un comportamento che interessa (purtroppo) molti siti:
“Ancora con riferimento alle modalità di acquisizione del consenso, l’osservazione del comportamento dei siti web e le segnalazioni pervenute hanno evidenziato l’ulteriore problematica della spesso ridondante ed invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia liberamente scelto”.
Le Linee guida sui cookie pertanto vietano di riproporre troppo spesso il banner quando l’utente ha già scelto di non essere profilato.
Il banner cookie, quindi, può essere riproposto quando:
Le Linee guida sui cookie intervengono anche sul contenuto della informativa cookie.
In primo luogo è necessario aggiornare questa informativa inserendo le definizioni rinvenibili nelle Linee guida, ad esempio, sulla definizione di “cookie” oppure sulla loro categorizzazione.
Inoltre, è necessario strutturare la cookie policy in modo più attinente a quelle che sono le informazioni previste dagli artt. 12 e 13 del GDPR.
Il sito dovrà sempre pubblicare due informative separate, cookie policy e informativa privacy, ma sempre facendo riferimenti a questi articoli del Regolamento Privacy.
Inoltre, si dovranno indicare i periodi di conservazione delle informazioni, o almeno i criteri di conservazione.
ATTENZIONE: il Garante Privacy non richiede che la cookie policy debba indicare i cookie rilasciati dal sito. Questa informazione deve essere riportata nell’area che compare cliccando sul banner cookie (v. sopra punto E).
I siti hanno tempo 6 mesi dalla pubblicazione in Gazzetta Ufficiale delle Linee guida sui cookie per mettersi a norma.
Il documento è stato pubblicato il 10 luglio 2021. Pertanto, il termine scade il 10 gennaio 2022.
Alla data di uscita delle Linee guida sui cookie nessun generatore di documenti legali può dirsi conforme alla indicazioni in esso contenute.
I primi soggetti coinvolti dalle nuove indicazioni saranno pertanto le società che gestiscono questi generatori, che dovranno adeguare i loro tool alle nuove prescrizioni.
I legali di LegalBlink sono già all’opera per adeguare il generatore di cookie policy e il banner cookie a quanto indicato dal Garante Privacy.
LegalBlink è il punto di riferimento legale dell’ecommerce e in questo ruolo, il 9 luglio, ha partecipato a una esclusiva Tavola rotonda con il Garante Privacy organizzata da 4eCom. In questo evento sono emerse utili informazioni per implementare al meglio le indicazioni provenienti dalle Linee guida sui cookie.
Pertanto, se anche tu sei un utente LegalBlink sarai presto aggiornato in tal senso. Altrimenti, affidati anche tu a LegalBlink e dimentica le questioni legali: pensano a tutto i nostri legali!
Se vuoi pubblicare anche una privacy policy a norma, ti consigliamo di leggere la nostra guida sul generatore di privay policy.
Team LegalBlink