Torna su

Help Desk
 

 

 

Linee guida in materia di cookie ed altri strumenti di tracciamento

9 settembre 2021
di lettura

Scopo delle Linee guida è quello di riassumere il regime privacy sull’uso dei cookie e degli altri strumenti di tracciamento web, precisando le modalità per una corretta informativa in materia, finalizzata a raccogliere, dove necessario, il consenso degli interessati secondo il Regolamento UE 2016/679 (GDPR). L’emanazione del provvedimento si è resa necessaria per aggiornare la disciplina di settore, risalente al maggio 2014, antecedente al citato GDPR, come alla seguente riforma interna del cosiddetto Codice Privacy.

Funzioni dei cookie e degli altri strumenti di tracciamento

Le nuove linee guida chiariscono, innanzitutto, funzioni e natura dei cookie. Questi altro non sono che stringhe di testo che i siti web (“prime parti”) visitati dall’utente, o altri server/siti web di “terze parti”, archiviano nei terminali (quali computer o altri mobile-device).

Nello specifico, il Garante chiarisce come i software per navigare online (c.d. browser), memorizzano nei nostri device vari cookie, ritrasmettendoli nuovamente ai siti che li hanno generati in occasione di una successiva visita dello stesso utente, mantenendo memoria della sua precedente interazione con i siti visitati. Altrettanto può dirsi anche per altri strumenti o tecniche virtuali, che permettono di raggiungere finalità del tutto analoghe a quelle sopra indicate.

Tra questi, il più diffuso è, certamente, il fingerprinting, ossia quello strumento capace di identificare il device usato dall’utente raccogliendo varie informazioni sulla configurazione del device come organizzato dall’utente. Tecnica questa - come dichiarato dal Garante - ben più insidiosa rispetto a quella dei cookie. Notevoli, infatti, le differenze, tra l’impiego dei cookie e l’uso del fingerprinting.

Nel primo caso, l’utente che non voglia esser profilato, oltre a rifiutare il consenso all’uso dei cookie, o ricorrere ad altre tutele ancora, potrà sempre rimuovere direttamente i cookie archiviati nel proprio dispositivo. Soluzione questa preclusa, invece, per i fingerprinting (o altri identificatori “passivi”), dove l’utente non disporrà di alcuno strumento azionabile autonomamente a difesa della sua privacy.

Chiarita la natura dei cookie, come degli altri strumenti di tracciamento, le Linee guida specificano, poi, le funzioni dei citati strumenti, volti ad agevolare, da un lato, la fruibilità del web (consentendo, per esempio, alle pagine online di caricarsi più velocemente), o permettendo, dall’altro, di raccogliere e instradare informazioni e dati personali in rete, per veicolare pubblicità comportamentale (“behavioural advertising”) e misurare l’efficacia dei messaggi pubblicitari online.

Tipologie dei cookie e relativo regime (sintesi)

Anche le nuove Guidelines, come il provvedimento del 2014, specificano le tipologie di cookie presenti nel web, riconducibili, in linea di massima, a tre categorie.

Innanzitutto, i cookie tecnici - soggetti al solo obbligo di menzione nell’informativa - utilizzati essenzialmente per effettuare/agevolare la navigazione online.

  • I cookie di profilazione, utilizzati per attribuire a determinati soggetti, identificati o identificabili, specifiche azioni o schemi di condotte ricorrenti nell’uso delle funzionalità offerte al fine di profilarli, e perciò soggetti a citazione/descrizione nell’informativa (estesa e breve), come al consenso dell’utente.
  • Ed infine, i cookie analitici utilizzati, per valutare l’efficacia di un servizio della società dell’informazione e utili, specie, per progettare un sito web e per misurarne il traffico. Cookie, questi, equiparati, come in passato, a quelli tecnici - e in quanto tali installati senza assenso dell’interessato, previa descrizione nell’informativa - al verificarsi delle seguenti condizioni: in primis, la struttura dei cookie dovrà permettere l’occultamento di porzioni dell’indirizzo IP memorizzato dal mezzo di tracciamento (in modo da rendere il dato personale riferibile a una pluralità di dispositivi, creando incertezza sull’identità informatica del ricevente); in secondo luogo, andrà pattuito con ogni terza parte l’obbligo di impiegare i cookie in questione esclusivamente per statistiche aggregate, vietando, infine - terzo e ultimo requisito - di combinare i dati così raccolti, e minimizzati, con altri dati, soggetti, in tal senso, a un generale divieto di arricchimento.

Chiarimenti sull’acquisizione del consenso online

Il regime dello “scrolling” e del “cookie-wall” 

Dopo aver ribadito la bontà del pregresso sistema d’informativa e raccolta dei consensi online sull’uso dei cookie (tramite banner e rinvio ad apposita info-estesa, con acquisizione, se del caso, dei richiesti consensi), le linee guida forniscono ulteriori chiarimenti sulle prassi più diffuse nel web, quali lo scrolling, o la controversa pratica del cookie wall. Eccone, in breve, una veloce panoramica.

Innanzitutto, quanto alla prima tecnica di raccolta del consenso - consistente nel collegare l’assenso dell’utente all’installazione dei cookie al solo “scroll down” del cursore di pagina - le Linee guida, seguendo un’impostazione comunitaria ben consolidata - ribadiscono l’inadeguatezza di una simile tecnica. Il solo scroll down - si legge nel provvedimento - non può affatto costituire, per lo meno in forma isolata, un idoneo strumento per raccogliere il consenso all’uso e all’installazione dei cookie di profilazione, o di altri strumenti di tracciamento. Tuttavia, il Garante non pare escludere, a priori, la legittimità del predetto scrolling, ma solo quando lo stesso costituisca una delle componenti di un più ampio e articolato processo che consenta all’utente di segnalare al titolare del sito, una scelta inequivoca e consapevole (al tempo registrabile e documentabile), volta a prestare il proprio consenso all’uso dei cookie, o di altri strumenti di tracciamento, come richiesto dalle vigenti norme.

Ulteriori chiarimenti riguardano la diffusa tecnica del c.d. cookie wall, intendendosi con tale espressione un meccanismo vincolante (“take it or leave it”), nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione dei cookie, o altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. Ebbene, sul punto le Linee guida precisano come una simile prassi - non consentendo di qualificare l’eventuale consenso così ottenuto in conformità ai caratteri imposti dal GDPR (con particolare riferimento al requisito della “libertà” del consenso) - è da ritenersi in genere illecito, salva l’ipotesi, da verificarsi in concreto, in cui il titolare del sito offra all’interessato la possibilità di accedere al contenuto, o a un servizio equivalente, senza prestare il proprio consenso all’installazione e all’uso di cookie, o altri strumenti di tracciamento. 

Reiterata richiesta di consenso dopo la mancata prestazione dello stesso 

Prima di affrontare i temi centrali relativi sia alle modalità operative per somministrare la prescritta informativa cookie, sia alle tecniche di raccolta del prescritto consenso (ovvio se del caso), il Garante si pronuncia su un’ulteriore pratica ampiamente diffusa nel web. Trattasi, nella specie, della prassi, assai fastidiosa per ogni internauta, consistente nel riproporre il banner per acquisire il consenso dell’utente, laddove questo l’abbia già ripetutamente negato; pratica, questa, senz’altro suscettibile di ledere la libertà dell’internauta, inducendolo ad acconsentire all’insistente richiesta online, pur di proseguire nella navigazione libero dall’ossessiva ricomparsa del banner contenente l’informativa breve e annessa richiesta di consenso.

Ebbene, fermamente condannata tale pratica, le Linee guida precisano, per contro, la relativa legittimità al verificarsi di una delle seguenti circostanze:

  • innanzitutto, quando mutino significativamente una o più condizioni del trattamento dati proposto online;
  • qualora l’utente abbia scelto di cancellare i cookie legittimamente installati nel proprio device;
  • quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Le soluzioni proposte dal Garante (informativa + consenso)

È ferma opinione del Garante come l’informativa breve tramite banner, e ove necessario, l’annesso consenso richiesto sempre tramite banner, costituiscano, ad oggi, soluzioni ottimali, come già esplicitato con provvedimento del 2014. Tuttavia, è necessario, anche in quest’ambito, valutare l’opportunità di chiarimenti, aggiornamenti, o migliorie alla luce del mutato assetto normativo. E a tal proposito viene, innanzitutto, ribadito come per impostazione predefinita, al momento del primo accesso ad un sito web da parte di qualsiasi utente, nessun cookie, eccezion fatta per quelli tecnici, vengano posizionati nel relativo dispositivo.

Qualora l’utente dovesse poi scegliere di mantenere l’impostazione di default - rifiutando così il consenso al posizionamento dei cookie, o all’impiego di altri strumenti analoghi - quell’utente dovrebbe solo limitarsi a chiudere il citato banner selezionando l’apposito comando, contraddistinto, di norma, da una X posizionata, secondo prassi, in alto a destra all’interno del banner stesso, senza dover accedere ad altre aree o pagine a ciò dedicate. Ma non basta; il Garante nel suo meritevole sforzo esemplificativo, si spinge oltre, descrivendo nel dettaglio il banner, che oltre alla citata X dovrebbe, contenere:

  • l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla citata X, comporterà la continuazione della navigazione in assenza di cookie, o altri strumenti di tracciamento diversi da quelli tecnici;
  • un’informativa minima relativa al fatto che il sito utilizza – se così è ovviamente – cookie, o altri strumenti, tecnici e potrà utilizzare - solo previa acquisizione del consenso da prestarsi con modalità da indicare all’utente - anche cookie di profilazione, o strumenti analoghi, per inviare messaggi pubblicitari, modulare la fornitura del servizio personalizzato (al di là di quanto necessario alla sua erogazione), o per effettuare analisi e monitoraggio dei comportamenti dei visitatori del sito web;
  • il link alla privacy policy, ossia un’informativa estesa posizionata in un secondo livello accessibile con un solo click, anche tramite un link posizionato nel footer di ogni pagina del dominio visitato - dove verranno fornite in modo chiaro e completo le indicazioni di cui agli artt. 12 e 13 del GDPR, anche con riguardo ai predetti cookie, o altri strumenti analoghi;
  • un comando con il quale esprimere, se ritenuto opportuno, il consenso accettando il posizionamento di tutti i cookie, o l’impiego di eventuali altri strumenti di tracciamento;
  • il link a una ulteriore area dedicata dove selezionare, in modo analitico, solo le funzionalità, i soggetti “terze parti” e i cookie, anche raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Le informazioni da rendere in conformità al GDPR

Da ultimo, il Garante illustra alcuni miglioramenti che i titolari potranno adottare per rendere informative conformi ai requisiti di trasparenza (e altro ancora) come prescritto negli articoli 12 e 13 del GDPR, compresa l’eventuale indicazione di altri soggetti destinatari dei dati personali, ovvero sui i tempi di conservazione delle informazioni acquisite.

E ancora sul punto, le Linee guida si soffermano sulla necessità di fornire informazioni su come gli interessati potranno esercitare ogni loro diritto garantito dal GDPR, inclusi quelli relativi alle istanze di accesso, o ai reclami ad un’Autorità di controllo.

In aggiunta a quanto sopra, e nel confermare la logica di massima semplificazione possibile, il Garante consiglia, infine, di adottare, informative non solo multistrato (multilayer, e cioè su più livelli), ma anche tramite più canali e modalità (c.d. multichannel), in modo da sfruttare tutte le potenzialità del virtuale volto a creare più opportunità di contatto tra il titolare e gli interessati; si pensi, ad esempio, al diffuso ricorso a strumenti video, oppure ai c.d. pop-up informativi, alle interazioni vocali, come agli assistenti virtuali, oltre all’impiego del telefono e al ricorso ai sistemi di chatbot.

Termine per adeguarsi (entro e non oltre il 9 gennaio 2022)

Posta la complessità del tema, e viste le difficoltà, non solo pratiche, per adeguarsi ai principi espressi nelle Linee guida, il Garante ha, giustamente, fissato un adeguato termine semestrale (decorrente dalla pubblicazione in Gazzetta Ufficiale del provvedimento), entro il quale conformarsi al nuovo regime; con l’avvertenza che i consensi già raccolti, purché conformi alle norme del GDPR, potranno ritenersi ugualmente validi, a condizione che, al momento della loro acquisizione, siano stati registrati e documentati, anche mediante evidenze informatiche.

Linee guida Cookie e altri strumenti di tracciamento (Provv. 231/2021, Gazz. Ufficiale n. 163 del 9 luglio 2021)

Vuoi ricevere maggiori informazioni o consigli per la tua azienda?

Scopri il servizio gratuito DigIT Expert per aziende della provincia di Cosenza, Genova, Milano, Monza Brianza, Lodi, Modena, Lucca, Massa Carrara, Pisa, Pordenone, Ravenna, Salerno, Sondrio, Udine.

Iscriviti a DigIT expert, fissa un appuntamento gratuito per confrontarti con un nostro esperto o poni un quesito scritto.

Vuoi analizzare le potenzialità online della tua azienda e migliorarle per vendere all'estero?

Scopri gli assessment DigIT Test, DigIT Commerce, DigIT Social. Rispondi a una serie di domande che ci serviranno per inquadrare il tuo profilo e per fornirti informazioni utili a migliorare la tua presenza online, il tuo ecommerce e la tua presenza social.

Ostacoli alla digitalizzazione, un problema per l’export
Ostacoli alla digitalizzazione, un problema per l’export

Sintetica rassegna dei principali ostacoli che le aziende incontrano nel loro percorso di trasformazione digitale.

6 dic 2023
Laura Giacometti
Nuove tecnologie
Polizze assicurative Cyber per le Pmi italiane
Nuove tecnologie
Digitalizzazione e Responsabilità aiutano l’esportazione
Digital Marketing, Nuove tecnologie
L'Evoluzione di ChatGPT: arrivano i GPTs Personalizzati
Nuove tecnologie
I principali strumenti di Business Analytics
E-commerce, Nuove tecnologie
Rivenditori più efficaci con Google Cloud e Intelligenza Artificiale
E-commerce, Nuove tecnologie, Tendenze nel mondo
Singapore e l'UE firmano l’Accordo sul commercio digitale
Digital Marketing, Nuove tecnologie, Tendenze nel mondo
Gaming: boom di richieste in tutto il mondo
Comunicazione, Digital Marketing, Nuove tecnologie
ChatGPT e advertising: potenzialità e sfide
Blockchain, Nuove tecnologie
I marchi del lusso acquisiscono nuovi clienti con la tecnologia blockchain
Blockchain, Normative, Nuove tecnologie
Problematiche legali del Metaverso
Problematiche legali del Metaverso
21 giu 2022
Marco Tupponi
Blockchain, Nuove tecnologie
Nuova generazione del Web3 grazie alla blockchain: il mercato italiano è in standby
E-commerce, Marketplace, Nuove tecnologie
I settori che investono di più in export digitale: scenari, vantaggi, strumenti innovativi
Digital Marketing, E-commerce, Nuove tecnologie
La digitalizzazione delle imprese: moda da imporre o necessità da adottare per migliorare?
Nuove tecnologie
Il metaverso e le nuove frontiere del virtual shopping
Nuove tecnologie
Smartworking, tecnologia e internazionalizzazione
Nuove tecnologie
Le (nuove) competenze del digital export
Digital Marketing, Nuove tecnologie
L’Intelligenza Artificiale Emozionale sempre più centrale nel digital marketing
Nuove tecnologie, Social Media, Turismo
La digitalizzazione del turismo in Italia
Nuove tecnologie, Turismo
Il piano per l’innovazione digitale del settore turistico
Normative, Nuove tecnologie
Linee guida in materia di cookie ed altri strumenti di tracciamento
Digital Marketing, Nuove tecnologie, Social Selling
La gamification digitale: uno strumento strategico per aumentare le vendite
Blockchain, Nuove tecnologie
Il fenomeno NFT (Non Fungible Token): un trend in ascesa
Il fenomeno NFT (Non Fungible Token): un trend in ascesa
25 mag 2021
Raffaella Còndina, Raffaella Còndina
E-commerce, Nuove tecnologie
La tecnologia di “computer vision” cambierà l'esperienza d’acquisto
Nuove tecnologie
Israele: hub di innovazione tecnologia e porta verso Oriente
Digital Marketing, Nuove tecnologie
Turismo 2021: attrarre flussi dall’estero con il digitale e l’innovazione
Nuove tecnologie, Social Media
Il museo virtuale: uno strumento per accelerare la ripresa turistica
Digital Marketing, Nuove tecnologie
Paese, Settore e Prodotto: le tre colonne del Digital Export
Nuove tecnologie
Sei errori di cyber sicurezza che non dovresti fare
Nuove tecnologie
Un futuro possibile per gli eventi, le fiere e per le pmi
Digital Marketing, Nuove tecnologie
Cresce l'omnicanalità in Italia: opportunità e sfide
Digital Marketing, E-commerce, Nuove tecnologie
Rendere efficace il digital export integrando marketing automation e e-commerce
Nuove tecnologie
La nuova era delle fiere virtuali
La nuova era delle fiere virtuali
30 nov 2020
Raffaella Còndina
Nuove tecnologie, Tendenze nel mondo
Realtà aumentata, realtà virtuale, realtà mista
E-commerce, Marketplace, Nuove tecnologie
Infografica: Digitalizzare per (R)esistere
E-commerce, Marketplace, Nuove tecnologie
Innovative payments: collaborare paga
Nuove tecnologie
L’economia digitale
Nuove tecnologie
Artificial Intelligence: learn to fly
Marketplace, Normative
Cina: norme e regole base per la vendita BtoC
Digital Marketing, Formazione, Normative, Tendenze nel mondo
Unione Europea: norme e regole base per la vendita BtoC
Comunicazione, Motori di ricerca, Normative
GDPR e privacy per il trattamento dei dati nell’Unione Europea
E-commerce, Normative, Tendenze nel mondo
Tassazioni e fiscalità per la vendita BtoC
Marketplace, Normative
USA: normative fiscali e doganali per il BtoC
Normative
Proprietà intellettuale e sorveglianza doganale