Il 9 Luglio dell'anno corrente, alla luce del nuovo regolamento europeo in materia di privacy, il Garante della Privacy ha approvato nuove linee guida riguardanti l'utilizzo dei cookie e dei dati raccolti tramite essi.
La precedente normativa infatti (risalente al 2014) non può considerarsi più sufficiente sia per la diffusione di determinate tecnologie invasive (come ad esempio il fingerprinting), sia per la non corretta attuazione delle modalità di acquisizione del consenso da parte di molti gestori di siti web.
Le regole appena introdotte mirano infatti a risolvere i problemi della precedente, andandola ad integrare (non a sostituirla) per delineare specifiche più esaustive e stringenti.
Sono due i punti su cui si concentra il Garante della Privacy:
→ l'informativa, che dovrà indicare anche gli eventuali soggetti destinatari dei dati personali (cookie di terze parti);
→ il consenso ai cookie che l'utente deve poter fornire in maniera libera, informata, consapevole e basato su un'esplicita azione positiva, senza che la fruibilità del sito venga impedita in caso di rifiuto.
Dal momento che il testo dell'informativa è piuttosto lungo e di non semplice lettura/comprensione (almeno in alcuni passaggi), cercheremo in questo articolo di spiegare i dettagli tecnici a cui ci si dovrebbe attenere.
TEMPISTICHE PER L'ADEGUAMENTO
Il garante della privacy dà ai proprietari dei siti web 6 mesi di tempo a partire dalla data di pubblicazione delle Linee Guida nella Gazzetta Ufficiale. Essendo la pubblicazione risalente al 9 Luglio 2021, il termine ultimo è quindi previsto per il 9 Gennaio 2022!
ATTENZIONE: NON SOLO COOKIE
Un errore molto comune è pensare che queste norme riguardino soltanto i cookie. In realtà non è così: la normativa si applica infatti a tutte quelle tecnologie che memorizzano/accedono alle informazioni sul dispositivo dell'utente come ad esempio il fingerprinting (per le impronte digitali) o il pixel tag. Tutti questi – compresi i cookie - vengono comunemente definiti “strumenti di tracciamento” (tracker).
NB: in seguito all'interno di questo articolo, per comodità, useremo il termine cookie per riferirci a tutti gli strumenti di tracciamento.
TUTTI I SITI WEB DEVONO ESSERE ADEGUATI?
Se vengono utilizzati dei cookie all'interno del sito web, si.
TIPOLOGIE DI COOKIE
Le nuove norme distinguono in maniera netta i cosiddetti “cookie tecnici” dagli altri.
I Cookie Tecnici sono quelli considerati necessari al corretto funzionamento del sito web (es. i cookie utilizzati per i login).
Non richiedono l'acquisizione del consenso, ma devono essere indicati nell'informativa.
Per tutte le altre tipologie di cookie invece (analitici, di profilazione, ecc) è necessario permettere all'utente di decidere se accettarli o meno. Si possono perciò raccogliere in categorie, per ognuna delle quali l'utente può scegliere se prestare il consenso o meno.
IL BANNER
Cambiamenti sostanziali riguardano il banner che viene proposto quando si arriva per la prima volta nel sito web. Le nuove linee guida fissano delle caratteristiche ben precise a cui attenersi:
→ Non deve oscurare la pagina.
→ Deve contenere l'informativa breve dove si specifica che il sito potrebbe installare altri cookie dopo il consenso.
→ Deve prevedere un pulsante di chiusura (o rifiuto) che graficamente sia evidente e simile agli altri pulsanti presenti nel banner.
→ Deve contenere un comando “Accetta tutti”.
→ Deve contenere un comando per personalizzare le scelte.
→ La chiusura del banner deve equivalere alla non accettazione dei cookie non necessari.
PERSONALIZZAZIONE DELLE SCELTE
Come detto in precedenza, l'utente deve avere la possibilità di personalizzare le proprie scelte, decidendo quali categorie di cookie consentire e quali no (fermo restando che i cookie necessari non possono venire disabilitati). Ad esempio un utente può accettare i cookie analitici ma impedire che vengano installati sul proprio dispositivo i cookie di marketing.
Il sito deve perciò offrire un pannello con l'elenco delle categorie, ognuna delle quali può essere abilitata o meno; inoltre è richiesto, per ogni categoria, di elencare i cookie utilizzati, specificando oltre al nome, la durata e il soggetto di riferimento.
Ancora non è chiaro se vanno elencati dettagliatamente anche i cookie di terze parti (ovvero quelli che vengono messi da soggetti terzi, come ad esempio i cookie utilizzati da google analytics, da facebook, ecc). Alcune fonti ritengono sia improbabile che si debba elencare ogni singolo cookie dei soggetti di terze parti e che possa essere sufficiente citare nella categoria il soggetto terzo (esempio google nel caso di google analytics). Tuttavia non c'è una vera uniformità in merito e la grande maggioranza dei siti web sembra stia optando per la via più cauta, elencando dettagliatamente anche i cookie di terze parti.
RIPROPOSIZIONE DEL BANNER
Il banner non può essere riproposto prima di 6 mesi dall'ultima scelta effettuata (a meno che non ci siano cambiamenti significativi alle condizioni di trattamento). L'utente inoltre dovrà avere sempre la possibilità di modificare le proprie scelte, pertanto in ogni pagina deve esserci un link che permetta di farlo.
COOKIE WALL E SCROLLING
La normativa rende inoltre illegittime due pratiche che negli ultimi anni erano divenute un po' la prassi per la maggior parte dei siti web:
→ il cosiddetto cookie wall, ovvero l'impossibilità di accedere al sito se non veniva prestato il consenso dall'utente, viene ora definitivamente proibito;
→ il consenso desunto dallo scrolling: prima di questa legge in molti siti web i cookie venivano considerati “accettati” se l'utente scrollava la pagina; questo non sarà più possibile perché per l'accettazione sarà necessaria un'azione chiara e consapevole da parte dell'utente.
LA COOKIE POLICY
Anche la cookie policy (informativa estesa) va adeguata alle nuove linee guida e pertanto deve indicare le tipologie di cookie installate (con il relativo elenco dettagliato dei cookie) e i soggetti terzi che installano cookie nel sito web; per questi ultimi è anche necessario linkare le rispettive privacy policy, permettendo così all'utente di conoscere il dettaglio di tutti i cookie che verranno installati.
La cookie policy deve ovviamente descrivere dettagliatamente le finalità di utilizzo dei cookie; inoltre, un link a questa deve essere sempre disponibile nell'informativa breve oltre che nel footer del sito.
COOKIEBOT E ALTRE SOLUZIONI
Dal momento che l'implementazione della nuova normativa non è affatto banale, può essere conveniente cercare in rete soluzioni che permettano di adeguare il nostro sito web abbastanza facilmente. In internet si trovano infatti tanti strumenti che offrono talvolta soluzioni gratuite. Tra questi ci viene in mente cookiebot (https://www.cookiebot.com/it) che offre una versione free per i domini fino a 100 sottopagine: lo strumento richiede un'iscrizione tramite email e, una volta registrato il dominio, lo scansiona entro 24h individuando tutti i cookie presenti, stabilendone origine e durata. Tramite un apposito pannello si può realizzare facilmente il banner, mentre l'integrazione finale consiste semplicemente nell'inserire alcuni script all'interno del codice del nostro sito (uno script per il banner, uno per la cookie policy).
Potenzialità interessante è la scansione automatica mensile che cookiebot esegue sul nostro dominio, aggiornando banner e cookie policy qualora vengano individuati nuovi cookie, senza che sia richiesto un intervento da parte del programmatore.
Quella rappresentata da cookiebot è solo una delle tante soluzioni che si trovano in rete; noi la proponiamo soltanto perché è quella che chi scrive questo articolo ha potuto testare in maniera più approfondita. Altri strumenti sicuramente adeguati possono essere offerti da iubenda (https://www.iubenda.com/it/cookie-solution) o da cookiehub (https://www.cookiehub.com), ma in generale cercando in internet possono venir fuori diversi tool interessanti e che possono fare al caso nostro.
.jpg){kind=avatar}
I dati del 
Articolo → 
