Nuove Linee Guida sui cookies. Vincolanti, sei mesi di tempo per adeguarsi. In difetto, sanzioni gravose

12/07/2021

Sabato 10 luglio l’Autorità Garante per la protezione dei dati personali ha pubblicato le “Linee Guida cookie e altri strumenti di tracciamento”.

A differenza della pressoché totalità dei documenti emessi dal Garante dalla data di entrata in vigore del GDPR ad oggi, le Linee Guida cookie sono vincolanti: il richiamo all’art. 154-bis, comma 1, lett. a) del Codice in materia di protezione dei dati rende chiara la volontà dell’Autorità di far valere il proprio potere di “…adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del [GDPR] …” ed il rinvio all’art. 122 per quanto concerne il consenso porta con sé la rilevantissima previsione sanzionatoria di cui all’art. 83, comma 5, GDPR: in altri termini, non adempiere alle parti prescrittive vincolanti del provvedimento in commento espone al rischio di sanzioni amministrative pecuniarie fino a euro 20.000.000, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Il provvedimento risulta evolutivo nella continuità con il precedente, pubblicato nel 2014. Vi sono tuttavia significative novità, alcune delle quali richiedono di avviare quanto prima i necessari progetti di adeguamento. Le elenchiamo, con l’indicazione del possibile impatto sulla raccolta e gestione dei dati e sulle eventuali necessità di implementazioni tecnologiche, in relazione a siti internet oggi conformi al provvedimento del 2014.

Struttura e funzionamento del sito

Il divieto di condizionare, anche solo di fatto, la fruizione del sito internet all’accettazione dei cookie (cd. cookie wall) potrebbe richiedere un profondo ripensamento qualora il Titolare si sia fino ad oggi avvalso di siti estremamente ricchi di funzionalità dipendenti dall’utilizzo di cookie. Potrebbe in tali casi rendersi necessaria la predisposizione di una versione semplificata ma meno “invasiva” del sito principale.

Da implementare – se mancante – la funzionalità di memorizzazione di data e ora di rilascio dei consensi e di successiva modifica degli stessi, unitamente ad un elemento identificativo dell’interessato.

Scelta e configurazione dei cookie da installare

La disciplina non muta significativamente, ma l’impatto sulla raccolta dei dati può essere molto elevato: può essere opportuno ripensare la politica di uso dei cookie, anche valutando strumenti differenti, più recenti, che permettano di garantire all’utente una migliore esperienza d’uso del sito, anche maggiormente personale, ma con un minor utilizzo di suoi dati personali. Ogni richiesta di consenso deve essere accuratamente valutata, tenendo in considerazione le possibili reazioni – e preclusioni – dell’interessato davanti a formule di richiesta inutilmente burocratiche, formali, oppure incomplete.

Impatto sulla raccolta dei dati: ALTO. Si rinvia al punto successivo, in materia di accettazione dei cookie.

Impatto tecnologico: BASSO, se il Titolare si limita al mero adeguamento alle Linee Guida in commento. Può essere invece superiore, se il provvedimento è colto come occasione di miglioramento e modernizzazione delle interfacce di comunicazione con l’utente fruitore del sito.

Accettazione dei cookie

Come peraltro anticipato dai provvedimenti dell’EDPB e dalla Corte di Giustizia con la sentenza C-673/17, il solo scroll della pagina non è, di regola, più sufficiente.

Va adottato uno strumento di raccolta dei consensi granulare, basato su opt-in, accessibile in autonomia dall’interessato per la modifica dei consensi precedentemente rilasciati o negati. Sono previsti divieti di reiterazione delle richieste nei confronti di chi nega il consenso, per un periodo di almeno sei mesi.

Impatto sulla raccolta dei dati: ALTO. È ipotizzabile una significativa riduzione dei consensi alla profilazione – ove prevista – ed alle altre finalità che li richiedono. La semplice fruizione della pagina, la prosecuzione nella navigazione del sito non saranno più qualificabili come equivalenti al rilascio del consenso; in mancanza di un click, tap o altro comportamento inequivocabile e memorizzabile, la navigazione sul sito dovrà avviarsi e proseguire senza cookie non strettamente definibili come tecnici o analitici anonimizzati.

Impatto tecnologico: ALTO. È probabile che si renda necessario intervenire significativamente sugli strumenti di gestione dei cookie e sul sito stesso, mutando la logica di funzionamento, rivedendo il momento e le condizioni per l’installazione dei cookie e, ove occorra, creando anche una versione del sito che per essere sufficientemente fruibile non richieda cookie differenti da quelli tecnici. Da implementare una soluzione che evidenzi, ad ogni consultazione del sito da parte di un medesimo utente – anche privo di account, quindi non “registrato” – quali consensi egli aveva rilasciato e gli permetta di modificarli autonomamente. Fortemente consigliata l’adozione di un software di gestione consensi dell’interessato, integrato nel sito. Sul mercato sono già numerosi.

Cookie analytics

Novità limitate, quantomeno avendo riguardo alle prassi del settore. Le prescrizioni affinché i cookie analytics di terza parte siano parificabili ai tecnici – e, quindi, non soggetti al consenso dell’interessato – riguardano l’incisività nell’indirizzo IP; via libera, invece, al dato integrale se il cookie è di prima parte.

Impatto sulla raccolta dei dati: BASSO, i cookie analytics già oggi non sono strumenti tramite i quali il titolare del trattamento raccoglie dati personali. Maggiore, invece, l’impatto per il divieto alla terza parte fornitrice del cookie, che vedrà ridotte le possibilità di utilizzo dei dati.

Impatto tecnologico: BASSO, per chi utilizza i cookie analytics dei principali operatori del settore.

Gestione utenti registrati

Divieto di incrociare i dati degli accessi o altre interazioni generate dall’utente dotato di un account con le informazioni ricavabili dai cookie installati sul suo device, salvo esplicito e dedicato consenso.

Impatto sulla raccolta dei dati: ALTO, quantomeno potenzialmente. Può essere opportuno rivedere la strategia di interazione con i propri utenti, verificare l’esistenza dei trattamenti in commento e come intervenire, per mantenere il valore del rapporto.

Impatto tecnologico: MEDIO. Da verificare l’impatto del progetto di rescissione dell’eventuale connessione tra i dati raccolti dalle interazioni dell’account con quelli raccolti tramite l’uso dei cookie.

Compatibilità del banner con tecnologie per disabili

Infine, il Garante rammenta l’obbligo di “…adottare ogni più opportuno accorgimento affinché le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari…

Cosa fare:

  1. censimento dei siti internet riconducibili all’ente / azienda titolare del trattamento e, per ognuno, analisi approfondita dei cookie in uso, raccogliendone le informazioni su finalità, tipologia, fonte, tempi di persistenza, editore;
  2. riconoscimento delle disposizioni applicabili per ogni cookie, in base alle nuove linee guida e studio dei gap da colmare;
  3. definizione dei piani di intervento, anche ripensando le forme e le finalità di interazione con gli utenti;
  4. implementazione e test, ca concludere entro sei mesi dalla data di pubblicazione delle Linee Guida in Gazzetta Ufficiale.

Ogni fase andrà affrontata coinvolgendo il DPO, se nominato ed osservando i principi di accountability, privacy by design e by default.  

Torna alle news