Lo scorso 9 luglio sono state pubblicate sulla Gazzetta Ufficiale le nuove Linee guida sui Cookie. Entro sei mesi dalla pubblicazione, in scadenza il prossimo 10 gennaio, i titolari del trattamento dovranno conformarmi ai principi di dette Linee Guida.
Nel dettaglio le citate Linee Guida costituiscono un aggiornamento delle precedenti Linee Guida emanate nel 2014 e sono state elaborate in ragione della necessità di allineare le stesse alle novità normative intervenute nel frattempo in materia. Il documento chiarisce le modalità per una corretta implementazione dei cookie e degli altri strumenti di tracciamento.
L’obiettivo cui le citate Linee Guida tendono riguarda, in particolare, la corretta modalità di rilascio dell’informativa agli interessati e la corretta acquisizione del loro consenso on-line. Il rilascio di adeguata informativa è indispensabile affinché l’utente possa decidere se installare o meno i cookie eventualmente presenti sul sito, in modo da consentire allo stesso di scegliere in maniera libera e consapevole.
L’informativa dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni.
Quanto all’installazione dei cookie, dovrà essere garantito che, al primo accesso dell’utente sul sito web, nessun cookie o altro strumento di tracciamento (quale ad es. cookie di terze parti) venga installato all’interno del dispositivo. Sono fatti salvi i cookie tecnici che, in ragione della loro finalità relativa al funzionamento della pagina web, non richiedono alcun consenso da parte dell’utente. È proprio un’idonea raccolta del consenso che deve costituire l’unica base giuridica per una corretta implementazione di tutti quei cookie che non rientrano tra i citati cookie tecnici.
Le Linee Guida citano tra le modalità non consentite di raccolta del consenso quella del c.d. “scrolling”, secondo cui l’interessato rilascerebbe valido consenso proseguendo nella navigazione sul sito web, strumento ritenuto inadatto salvo il caso in cui lo stesso si ponga all’interno di un processo più articolato che consente all’utente di generare un evento registrabile e documentabile presso il server del sito su cui sta navigando qualificando, pertanto, la stessa come un’azione in grado di manifestare in maniera inequivoca l’espressione del citato consenso.
Parimenti illecito è considerato il c.d. “cookie wall”, che condiziona la funzionalità del sito all’installazione dei cookie, salvo il caso in cui il titolare consenta all’interessato la possibilità di accedere ad un contenuto o ad un servizio equivalenti, senza prestare il consenso alla relativa installazione.
Sulla base di tali assunti, pertanto, il Garante ha previsto la necessità che la raccolta o meno del consenso avvenga attraverso idoneo banner ben distinguibile al primo accesso sulla pagina web da parte dell’utente.
Ai fini della corretta acquisizione del consenso il banner deve avere specifiche caratteristiche quali: un comando quale una “X” in alto a destra per chiudere il banner senza che l’utente rilasci alcun consenso all’uso dei cookie mantenendo le impostazioni di default; un comando per accettare tutti i cookie o altre tecniche di tracciamento; un link che rinvii ad un’altra area in cui consentire all’utente di scegliere le funzionalità da installare sul proprio dispositivo.
Sempre con riferimento alle modalità di raccolta del consenso il Garante ha chiarito, altresì, che il banner non deve essere riproposto all’utente prima di sei mesi dal primo rilascio, impedendo di fatto la reiterazione della richiesta ad ogni accesso al sito web dell’utente finalizzato a sollecitare il rilascio del consenso, salvo che siano mutate significativamente le condizioni del trattamento.
Da ultimo il Garante ha precisato che in ogni caso i consensi raccolti in precedenza, se conformi al Regolamento, mantengono la loro validità a patto che gli stessi siano stati registrati e, pertanto, documentabili.