Tempo scaduto. A partire da oggi sono ufficialmente valide le nuove linee guida per la gestione dei cookie sul Web italiano. Le nuove regole sono state formulate nello scorso mese di giugno: ci sono stati sei mesi per adeguare i propri siti ed i propri servizi online alle nuove indicazioni.
I cookie sono stringhe di testo che i siti web visitati dagli utenti (cd. Publisher, o “prime parti”) ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utente medesimo, perché siano poi ritrasmessi agli stessi siti alla visita successiva.
I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, o per agevolare la fruizione dei contenuti on line, come ad esempio per tenere traccia degli articoli in un carrello degli acquisti o delle informazioni per la compilazione di un modulo informatico ecc.; ma possono essere impiegati anche per profilare l’utente, cioè per “osservarne” i comportamenti, ad esempio al fine di inviare pubblicità mirate, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali. In questo caso si parla di cookie di profilazione.
Ora deve essere tutto in regola affinché si possano perseguire i principi che il Garante ha anzitempo annunciato:
- Promozione dell’accountability;
- Offerta agli utenti di informative trasparenti e chiare;
- Rafforzamento del meccanismo del consenso;
- Rispetto dei principi di privacy by design e by default.
Cookie, da oggi le nuove linee guida
Sono due le casistiche principali illustrate nel vademecum del Garante sulle nuove linee guida (pdf):
- Se si utilizzano SOLO cookie tecnici, la relativa informazione può essere collocata in home page o nell’informativa generale del sito web;
- Se si trattano anche altri cookie e altri identificatori «non tecnici», è indicato l’utilizzo di banner a comparsa immediata e di adeguate dimensioni che contengano:
- un comando (ad esempio, una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo, così, le impostazioni di default che dunque, appunto per impostazione predefinita, non ne consentano l’impiego;
- l’indicazione che il sito utilizza cookie tecnici e se del caso, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
- il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e le modalità per esercitare i diritti di cui al Regolamento;
- un comando per accettare tutti i cookie o anche altre tecniche di tracciamento;
- il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter modificare le scelte già fatte, prestando il consenso all’impiego di tutti i cookie se non dato in precedenza o revocandolo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale – ad esempio nel footer di ogni pagina del dominio – lo stato dei consensi resi dall’utente consentendone l’eventuale modifica o aggiornamento. L’area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.
A maggior precisazione: lo scrolling non è considerato uno strumento adatto per la raccolta del consenso, così come i cookie wall che obbligano al tracciamento non sono considerati idonei. Tutto ciò è ufficialmente valido a partire da questa settimana e per il Garante inizia pertanto la fase successiva: quella del monitoraggio, affinché l’adeguamento possa essere generalizzato e l’accettazione dei cookie possa diventare una pratica più consapevole e trasparente rispetto a quanto non sia avvenuto fino ad oggi.