Allegato n. 1 al provvedimento del Garante per la protezione dei dati personali n. 231 del 10 giugno 2021 “Linee guida cookie e altri strumenti di tracciamento”
LINEE GUIDA COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO SCHEDA DI SINTESI
| Oggetto | Cookie e altri strumenti di tracciamento. |
| Normativa | Artt. 122 del Codice e 4, punto 11), 7, 12, 13 e 25 del Regolamento. |
| Cookie ed altri
strumenti di tracciamento |
I cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori “attivi”).
Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa (c.d. identificatori “passivi”), consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei cookie. |
| Cookie ed altri
identificatori tecnici |
Sono utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o
dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice). Non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa. |
| Cookie analytics prime e terze parti | Sono equiparabili ai cookie e agli altri identificatori tecnici solo se: – vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile; – viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
– le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi. È tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale. Il titolare che effettui in proprio la mera elaborazione statistica dei dati relativi a più domini, siti web o app ad esso riconducibili può utilizzare anche i dati in chiaro, nel rispetto del vincolo di finalità. |
| Cookie e altri
identificatori di tracciamento con funzione non tecnica |
Utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete. |
| Principali novità introdotte dal GDPR aventi effetti
sull’uso dei cookie e altri strumenti di tracciamento |
– accountability;
– integrazione dell’informativa (specificare anche i tempi di conservazione dei dati); – rafforzamento del consenso (deve essere “inequivocabile”); – rispetto dei principi di privacy by design e by default. |
Allegato n. 1 al provvedimento del Garante per la protezione dei dati personali n. 231 del 10 giugno 2021 “Linee guida cookie e altri strumenti di tracciamento”
| Informativa e
consenso |
Come rendere l’informativa:
– linguaggio semplice ed accessibile; – fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari; – anche in modalità multilayer e multichannel; – se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale; – se si trattano anche altri cookie e altri identificatori “non tecnici”, si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga: a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve); b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento; c) l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici. Ai fini dell’acquisizione del consenso, il banner dovrà pertanto contenere: d) il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default; e) un comando per accettare tutti i cookie o altre tecniche di tracciamento; f) il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento. Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio; No alla reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso, tranne: se mutano significativamente le condizioni del trattamento; se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo; se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner. |
Allegato n. 1 al provvedimento del Garante per la protezione dei dati personali n. 231 del 10 giugno 2021 “Linee guida cookie e altri strumenti di tracciamento”
| Nel caso di utenti provvisti di account (cd. utenti autenticati), divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi se non previo consenso. | |
| Informazioni
ulteriori da rendere agli utenti |
I criteri di codifica dei cookie e degli altri strumenti di tracciamento adottati, da comunicare, su richiesta, all’Autorità; la possibilità, per gli utenti autenticati, di acconsentire al tracciamento effettuato anche attraverso l’analisi incrociata dei comportamenti tenuti tramite l’utilizzo di diversi device. |
| Analisi di alcune modalità di raccolta del consenso | Scrolling: di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.
Cookie wall: illecito, salva l’ipotesi -da verificare caso per caso- nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento. |
| Validità dei
consensi già raccolti |
Se conformi alle caratteristiche richieste dal Regolamento, i consensi raccolti in precedenza mantengono la loro validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili |
| Tempo per
l’adeguamento dei sistemi e dei trattamenti già in atto ai principi espressi dalle Linee Guida |
6 mesi dalla pubblicazione delle Linee Guida nella Gazzetta Ufficiale |
