Siti web a norma di legge: cosa fare ed entro quanto
I cookie
I siti web non sono costituiti solo da testi, immagini, video e form per recuperare dati o inviare messaggi. Gran parte della struttura portante è invisibile.
Lo scheletro dei siti web è costituito dal codice di programmazione e dai cosiddetti “cookie”.
I cookie (in inglese “biscotto”) sono stringhe di testo che i siti web visitati dagli utenti posizionano ed archiviano all’interno del dispositivo terminale dell’utente medesimo, perché siano poi ritrasmessi agli stessi siti alla visita successiva.
Hanno diverse finalità, tra cui: migliorare la navigazione del sito web, analizzare le statistiche di navigazione, memorizzare le preferenze dell’utente (lingua, credenziali di accesso, oggetti inseriti nel carrello) e mostrare annunci pubblicitari mirati e specifici.
Quanti tipi di cookie esistono?
I cookie possono essere classificati e definiti in base alla loro durata:
- di sessione: vengono cancellati alla chiusura del browser;
- permanenti: vengono eliminati in una data specifica o dopo un determinato periodo di tempo (ore, giorni, mesi o anni);
in base alla loro provenienza:
- di prima parte: appartengono al sito web che l’utente sta visitando;
- di terze parti: appartengono a siti web diversi da quello che l’utente sta visitando;
in base alla finalità che hanno:
- Cookie tecnici: utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. Per cui finalizzati esclusivamente al funzionamento del sito web.
Non richiedono l’acquisizione del consenso, ma vanno comunque indicati nell’informativa (banner e/o Cookie Policy).
- Cookie analitici: utilizzati, ad esempio, per valutare l’efficacia di un servizio o per misurare il “traffico” di un sito internet (numero di visitatori, fascia oraria di connessione, area geografica, etc.).
Sono equiparabili ai cookie tecnici solo se:
- vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
- viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
- le terze parti si astengono dal combinare tali “cookie analytics” con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi.
Negli altri casi è necessario richiedere il consenso all’utente.
- Cookie di profilazione: utilizzati per ricondurre a soggetti determinati, (identificati o identificabili), specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte. Attraverso l’utilizzo di questi cookie sarà possibile inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.
I cookie di profilazione necessitano sempre di un consenso da parte dell’utente.
Il cookie banner: cos’è e come utilizzarlo
È obbligatorio che l’utente sia informato su quali cookie sono installati sul sito nel preciso momento in cui inizia la navigazione in modo tale che possa prestare liberamente (e consapevolmente) il proprio consenso.
Per questo motivo, il cookie banner (breve informativa di poche righe) deve essere subito mostrato nella homepage del sito internet su cui l’utente ha deciso di navigare. Ha lo scopo di informare gli utenti della presenza di eventuali cookie, dei loro diritti a riguardo e di chiederne il consenso all’installazione.
Le nuove linee guida del Garante contenute nel Provvedimento n. 231 del 10 giugno 2021 forniscono delle indicazioni molto chiare sulle caratteristiche che deve avere il cookie banner:
- il linguaggio dei contenuti del banner deve essere semplice e comprensibile;
- il banner può essere mostrato anche in modalità multilayer (specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto);
- deve essere presente il link all’informativa estesa (Privacy Policy);
- deve essere fruibile anche da parte di disabili ai sensi della legge 9 gennaio 2004, n. 4, (come di recente modificata) o multichannel (video, chatbot, etc.);
- se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale (Privacy Policy).
Quando vengono utilizzati anche cookie analitici e di profilazione, il banner dovrà contenere:
- l’indicazione che il sito utilizza cookie tecnici, analitici e/o di profilazione (questi ultimi utilizzabili dal sito solo previo consenso dell’utente);
- il link alla Privacy Policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
- l’indicazione che la prosecuzione della navigazione mediante la selezione di un esplicito comando o di un elemento contenuto nella pagina sottostante il banner comporta la prestazione del consenso alla profilazione;
- un comando per accettare tutti i cookie o altre tecniche di tracciamento;
- il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso;
- In relazione a quest’ultimo punto si prevede che i cookie possano essere raggruppati per categorie omogenee, mentre le terze parti devono essere elencate e devono essere raggiungibili attraverso specifici link.
- un comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default.
Se l’utente dovesse visitare più volte lo stesso sito web, quest’ultimo dovrà essere impostato in modo tale che il cookie banner compaia solo la prima volta per dare la possibilità all’utente di esprime i propri consensi. Per cui è vietata la reiterazione della richiesta del consenso, salvo il caso in cui dovessero mutare una o più delle condizioni alle quali è stato raccolto o quando sia impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo.
È fondamentale che gli utenti abbiano sempre la percezione dello stato dei consensi che hanno fornito e che ci sia la possibilità di modificare le scelte fatte in precedenza attraverso due strumenti da inserire nel footer del sito:
- un segno grafico o un’icona;
- link “rivedi le tue scelte sui cookie” che consenta la modifica dei cookie installati.
Il cookie banner non può essere riproposto prima di 6 mesi a meno che:
- mutino significativamente una o più condizioni del trattamento e dunque il banner assolve anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”;
- quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati).
E i consensi già ottenuti prima dell’introduzione della nuova normativa?
Le linee guida stabiliscono che mantengano la loro validità a patto che siano conformi alle caratteristiche richieste dal Regolamento e che al momento della loro acquisizione, siano stati registrati e siano dunque documentabili.
Attenzione allo “scrolling” e al “cookie wall”!
- Scrolling: il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento. Di per sé, quindi, lo scrolling è inadatto alla raccolta di un idoneo consenso;
- Cookie Wall: processo per il quale il sito blocca la navigazione dell’utente nel caso in cui non dovesse rilasciare il consenso all’installazione di determinati cookie. Il suo utilizzo è illecito, salva l’ipotesi – da verificare caso per caso – nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento.
Quanto tempo rimane per adeguarsi alla nuova normativa sui cookie?
Il Garante ha attribuito un termine di 6 mesi per conformarsi, ovvero entro il 9 gennaio 2022.
Per un ulteriore approfondimento sul tema cookie, condividiamo i link al Provvedimento del Garante e alle relative FAQ.