Cookie policy: la guida alle novità del 10 gennaio 2022

Lavagna con scritta Cookie Banner

Il web non è zona franca per il diritto: chi decide di essere presente on line con un sito o una pagina social […] deve operare nel rispetto della legge

Roberta Rapicavoli, “Privacy e diritto nel web”, Dario Flaccovio Editore

Il 10 gennaio 2022 sono entrate in vigore le nuove linee guida del Garante Privacy.

In questo articolo ti spiego le novità di questo provvedimento e quali passi devi effettuare per rimanere in regola.

Che cos’è un cookie?

La definizione tecnica di cookie è che si tratta di file contenenti stringhe di testo che monitorano le sessioni di coloro che visitano le pagine di un sito web. I cookie vengono salvati sul dispositivo di navigazione del visitatore del sito, di solito il browser.

Biscotto su una tastiera

Da una parte, i cookie servono per agevolare la fruizione dei contenuti, ma dall’altra anche a veicolare la pubblicità comportamentale, quella basata su determinate azioni compiute dall’utente.

Classificazione dei cookie

La categorizzazione principale dei cookie che ti interessa è quella relativa all’articolo 122 del Codice privacy, basata sulle finalità di utilizzo del cookie.

L’articolo distingue:

  • cookie tecnici
  • cookie non tecnici

I cookie tecnici sono quelli che permettono la normale navigazione del sito. Per esempio, quando su un sito è presente un’area a cui accedi solo attraverso l’inserimento di nome utente e password (login), il mantenimento di questi codici all’interno della stessa sessione di navigazione avviene attraverso un cookie tecnico che permette all’utente una navigazione più agevole, perché non devi ridigitare user e password ogni volta che visiti una nuova pagina di quello stesso sito.

Scritta Third Party Cookies su smartphone

Tutti gli altri cookie invece vengono considerati cookie non tecnici. Rientrano in questa catgoria:

  • i cookie di terze parti: cookie inviati non direttamente dal sito visitato dall’utente. Per esempio, se nel sito hai pubblicato un video di YouTube oppure incorporato una mappa di Google oppure inserito le icone per condividere i tuoi contenuti sui social media, tutti questi servizi inviano dei cookie al browser dell’utente.
  • i cookie di profilazione: cookie che tracciano il comportamento dell’utente nel sito. Possono servire per fornire all’utente pubblicità personalizzata, fare remarketing e, se hai configurato a dovere un CRM, ottenere anche il nome e il cognome di chi visita il tuo sito. Lo scopo principale di questi cookie è cercare di farti vendere di più.

La classificazione tra cookie tecnici o meno è giuridicamente rilevante in quanto, a seconda del tipo di cookie, la normativa prevede una differente procedura per l’acquisizione del consenso del visitatore del sito.

Tralasciando il caso di scuola che un sito abbia solo cookie tecnici, per i quali non è necessario acquisire il consenso, in tutti gli altri casi, è necessario acquisire il consenso del visitatore del sito perchè esso possa procedere con la navigazione.

In che modo si acquisisce il consenso di un visitatore del sito?

Modalità per l’acquisizione del consenso on line

Qui intervengono le novità giuridiche che entreranno in vigore dal 10 gennaio 2022.

La normativa prevede che il consenso dell’utente possa essere acquisito attraverso un banner (c.d. cookie banner).

Il cookie banner

Il cookie banner è il punto di riferimento per l’acquisizione del consenso dell’utente.

Come funziona? Al primo accesso devono essere attivi soltanto i cookie necessari, quelli fondamentali per far funzionare il sito, i cookie tecnici. Non devono essere attivi quelli analitici, di profilazione o di tracciamento, vale a dire quelli non tecnici.

Disegno di cookie banner su notebook

Cosa devi fare per richiedere correttamente un consenso? Il tuo sito deve mostrare un banner per il primo accesso al sito, in cui l’utente può decidere se e quali tipi di consenso dare.

Questo sarebbe rispettare la normativa.

Caratteristiche del cookie banner

Come deve essere fatto il banner per la raccolta del consenso del visitatore del sito?

Il banner deve contenere:

  • Una descrizione minima (c.d. informativa breve) sull’uso dei cookie e delle finalità
  • Il link alla cookie policy (c.d. informativa estesa)
  • Un comando con il quale l’utente può accettare l’attivazione di tutti i cookie (pulsante Accetta tutti)
  • Un comando con il quale l’utente può rifiutare l’attivazione di tutti i cookie, a parte quelli tecnici (pulsante Rifiuta). Dal 10 gennaio 2022 non sarà più accettata la possibilità di avere una X in alto a destra per negare il consenso. Così come non è sufficente lo scroll, il semplice scorrimento della pagina per supporre il rilascio del consenso da parte dell’utente. Il consenso deve essere espresso con un atto positivo inequivocabile
  • Un link a un’area dedicata in cui l’utente può selezionare o meno il consenso per le diverse categorie di cookie (c.d. consenso granulare). Per esempio cookie necessari, cookie statistici, cookie marketing.

Graficamente il cookie banner deve rappresentare una discontinuità con il resto del sito. Deve cioè essere immediatamente identificabile e non confondersi con la navigazione.

Chiave sopra un biscotto cookie

Il cookie wall, un banner a tutta pagina che non sparisce finché il visitatore del sito non fornisce il consenso, non è in regola, perché manca il requisito fondamentale della libertà del consenso. All’utente deve essere lasciata un’alternativa di visualizzazione.

Validità del consenso ai cookie

Quante volte il titolare di un sito può riproporre il banner dei cookie, con la relativa richiesta di consenso?

Il principio giuridico è che non puoi tartassare il visitatore riproponendo continuamente il cookie banner finchè l’utente malcapitato non fornisce il consenso a tutte le categorie dei cookie presenti nel tuo sito.

Non devi far rivedere il cookie banner a ogni nuova sessione di navigazione, qualora l’utente abbia acconsentito solo alle impostazioni di default.

Scritta Cookies in un fumetto con biscotti e tablet sullo sfondo

Puoi riproporre il cookie banner in 2 casi:

  • quando sono trascorsi almeno 6 mesi dall’ultimo consenso
  • ogni volta che modifichi la cookie policy

Se le condizioni del consenso sono rimaste le stesse, per esempio se non hai aggiunto nuovi servizi sul sito, per 6 mesi non devi mostrare nuovamente il cookie banner.

Per rispettare questa regola devi obbligatoriamente tenere traccia del consenso precedente, regola introdotta dalla nuova normativa che entra in vigore il 10 gennaio 2022.

Quindi, a partire dal 10 gennaio 2022, devi fornire la c.d. prova del consenso: il titolare di un sito web è tenuto a dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR.

Nel caso in cui, all’interno del periodo di 6 mesi, una o più condizioni del trattamento dei dati muti significativamente, allora puoi riproporre il cookie banner. L’attività fatta, vale a dire le variazioni introdotte nel trattamento, devono essere adeguatamente documentate. Una buona prassi è quella di tenere lo storico di tutte le versioni della privacy policy sul sito.

Conclusioni: verifica il tuo cookie banner

In attesa del futuro che secondo gli esperti sarà cookieless (Google Chrome non supporterà i cookie di terze parti a partire dalla fine del 2023, passando al FLoC [link: https://blog.google/products/ads-commerce/2021-01-privacy-sandbox/]), per adesso non resta altro che controllare che il tuo cookie banner sia in regola.

Se vuoi approfondire queste tematiche, puoi consultare l’area dedicata a questo argomento sul sito del Garante per la protezione dei dati personali [link: https://www.garanteprivacy.it/temi/cookie]

Per qualsiasi informazione contattaci!