Il fornitore non è sempre responsabile del trattamento

Le nuove Linee Guida sui cookie

Con provvedimento del 10 giugno 2021 (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021), il Garante per la protezione dei dati personali ha pubblicato le “Linee guida cookie e altri strumenti di tracciamento” (di seguito, le Linee Guida) con relativa scheda di sintesi (qui) e FAQ (qui).

Di seguito i principali punti trattati dal provvedimento.

Strumenti di tracciamento passivi

Oltre ai cookie, tipici strumenti di raccolta dati attivi, ovvero il cui funzionamento resta nella disponibilità dei soggetti interessati (gli utenti dei siti internet), esistono anche strumenti passivi, ossia tecniche di raccolta dati che permettono al gestore del sito di identificare l’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo da lui utilizzato. Si tratta delle cc.dd. tecniche di fingerprinting.

Considerata la natura e finalità tipica del fingerprinting, questo può essere utilizzato solo nel rispetto delle Linee Guida e quindi, come vedremo, con il consenso espresso dell’interessato.

Strumenti di tracciamento e consenso

I cookie si dividono per la legge di due grandi categorie, i cookie tecnici e cookie di profilazione. I primi sempre legittimi anche senza il consenso dei soggetti interessati (ma ovviamente assistiti da idonea informativa), i secondi utilizzabili solo con il consenso dei soggetti interessati.

I cookie tecnici sono quelli che consentono di effettuare o migliorare le prestazioni di un servizio o la sua esperienza della navigazione in rete. I cookie di profilazione (e, più in generale, gli identificatori non tecnici), sono invece una categoria residuale nella quale rientrano tutti gli strumenti e tecniche utilizzati per il perseguimento di uno scopo tipicamente commerciale del titolare.

Come applicare i cookie

Le Linee Guida chiariscono che il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento all’interno del proprio terminale di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso «in nessuna circostanza».

Altra pratica “sospetta” sono i cc.dd. cookie wall, ovvero quel meccanismo di accettazione dei cookie di tipo “take it or leave it”, nel quale cioè l’utente è obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. Tale meccanismo, non consente, a parere del Garante, di qualificare l’eventuale consenso così ottenuto come «libero» (art. 4, punto 11, GDPR).

Quando applicare i cookie

I banner per l’informativa e il consenso dei cookie non dovrebbero essere proposti ripetutamente all’utente quando questi abbia già rifiutato il consenso. Fanno eccezione i seguenti casi:

  • allorché mutino significativamente una o più condizioni del trattamento (es.: mutino le “terze parti”);
  • in caso di cancellazione dei cookie da parte dell’utente o comunque impossibilità da parte del gestore di accedervi per qualunque motivo;
  • quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Quali cookie applicare

Al momento del primo accesso dell’utente a un sito web, nessun cookie o altro strumento diverso da quelli tecnici può essere posizionato all’interno del dispositivo, né può essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

Usabilità

Il Garante è conscio che la gestione dei cookie da parte dell’utente può essere una grande seccatura. Nelle Linee Guida suggerisce l’adozione di una buona prassi dei gestori consistente nel «posizionamento in ciascuna pagina del dominio, eventualmente pure accanto al link all’area dedicata alle scelte, di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi dall’utente consentendone, dunque, in ogni momento l’eventuale modifica o aggiornamento».

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il TAR detta regole restrittive per i DPO persone giuridiche

Sintesi Per ottenere il risarcimento del danno non patrimoniale per illecito trattamento di dati...

Privacy

Il fornitore non è sempre responsabile del trattamento

Dopo 9 anni dall’inizio delle indagini, il Tribunale di Versailles è arrivato a condannare Ikea ...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

Con proprio provvedimento del 29 aprile scorso, il Garante privacy ha definitivamente approvato il ...

Privacy

X