Nuovi cookie banner: cosa cambia per i nostri siti?


Il Garante si è pronunciato: ecco le novità

Se hai un sito, anche il più semplice, questo articolo è per te.

Perché queste linee guida?

Era da tempo che aspettavamo queste linee guida; infatti dopo l’entrata in vigore del GDPR molti di noi si sono chiesti se le vecchie linee guida del Garante, risalenti al 2014, fossero ancora valide.

Il GDPR sul punto ha liquidato rapidamente la faccenda, disponendo che le linee guida e i provvedimenti dell’Authority, precedenti all’entrata in vigore del GDPR, sarebbero rimasti validi solo e nella misura in cui non andassero in contrasto con le nuove norme del GDPR.

Questo ci ha costretti a fare un intenso lavoro di interpretazione, per capire cose andasse ancora bene fare e cosa, invece, doveva cambiare.

Ciò ha creato non pochi dubbi e conseguenti applicazioni poco uniformi: chi ha adottato una linea più rigorosa, dando spazio ai nuovi banner comparsi sul mercato, ricchi di spunte e di pulsanti di scelta; e chi invece, più sbrigativamente, ha lasciato il banner più o meno com’era, avvisando semplicemente l’utente che la prosecuzione della navigazione (scrolling) implicava l’accettazione dell’universo intero dei cookies presenti sul sito, senza distinzioni di sorta. 

Dopo 3 anni, finalmente, il nostro Garante si è espresso e lo ha fatto con un documento molto pratico ed attuale, che racchiude i principi e le linee guida da seguire per utilizzare i cookies in modo corretto sui nostri siti.

Ecco cosa c’è di nuovo.

I Cookies: cosa sono?

Se non hai le idee chiare su che cosa siano i cookies, come funzionano e come si differenziano tra loro, puoi trovare tutte le informazioni che ti servono in questo articolo.

Per quanto ci serve oggi, teniamo bene a mente che i cookies di profilazione e di marketing sono le tipologie di cookies (assieme alle le tecnologie simili) che servono per tracciare gli utenti che navigano in rete, al fine di indirizzare loro pubblicità mirata, comportamentale e personalizzata.

Sono un pò come una microspia che si installa silenziosamente e ti segue per un certo periodo di tempo (ad esempio si attivano quando torni su quel sito e si “ricordano” magari che avevi lasciato un carrello pieno abbandonato, suggerendoti di concludere l’ordine).

E’ facile capire perché la legge ponga tanta attenzione a questi tipi di cookies: si installano in modo silenzioso senza che l’utente se ne accorga, tengono traccia delle azioni compiute in rete dal navigatore e, infine, lo riagganciano proponendogli annunci pubblicitari mirati e altamente personalizzati.

Ti faccio un esempio: se stai cercando un asciugacapelli su Google e poi, navigando sui social ti compare un annuncio personalizzato che ti ripropone proprio lo stesso prodotto, ecco quello è un cookie di profilazione che ha fatto il suo mestiere. 

La cosa potrebbe farti piacere (magari avevi sospeso la procedura di acquisto perché ti è suonato il telefono e questo reminder ti è utile per concludere l’acquisto) ma potrebbe anche infastidirti (magari non volevi davvero acquistare ma eri solo curios* di dare un’occhiata; che ora questo prodotto ti venga mostrato per un pò di tempo, qualunque cosa tu faccia in rete, potrebbe alquanto disturbarti) o potrebbe addirittura turbarti (ma come fa questo coso elettronico a sapere tutto quello che faccio in rete? E chi altro può saperlo?)

I cookies possono essere controllati in due modi: o attraverso le impostazioni del browser di navigazione o attraverso un sistema tecnico informatico che faccia da barriera, impedendo che i cookies si attivino e si installino sul browser del navigatore che non li vuole o comunque prima che abbia espresso una scelta informata e libera.

Cosa serve per usare correttamente i cookies?

Ecco perché quasi tutti i siti sono dotati di un banner che compare, di solito in alto, richiamando l’attenzione dell’utente sul fatto che quel sito fa uso di determinati cookies.

Il banner è uno strumento tecnico informatico per rendere un’informativa sintetica e per richiamare l’attenzione dell’utente che naviga sul sito. Poi l’informativa viene completata in modo più preciso ed articolata, nella cosiddetta informativa estesa.

Il contenuto dell’informativa è molto importante: deve comprendere tutti gli elementi di base previsti dagli artt. 13 e 14 del GDPR.

Può essere separata dalla Privacy policy, oppure integrata con essa.

Di solito il mio consiglio è di fare così: se il testo dell’informativa diventa molto lungo e complesso, meglio spezzarlo in diversi documenti distinti, per ogni finalità di trattamento (ad esempio: l’informativa per iscriversi alla Newsletter, l’informativa per i contatti, l’informativa sui cookies), oppure può essere utile strutturare l’informativa con tecniche multilayer, per rendere la lettura semplice e comprensibile.

Largo spazio può essere dato da un’informativa resa in modo graficamente accattivante, sotto forma di video o di fumetto: tutto ciò che rende le informazioni chiare e facilmente comprensibili è non solo ben accetto nell’universo privacy, ma fortemente incoraggiato.

Se invece l’informativa, nel suo complesso, è sufficientemente completa ma non lunga e complicata, allora va bene anche farla unica.

L’importante è sempre valutare caso per caso, anche tenendo a mente chi è il target di riferimento (se sono minori, ad esempio, è richiesta un’attenzione e cura in più nel linguaggio).

Per i cookies di profilazione e di marketing, poi, è necessario chiedere ed ottenere un consenso all’utente, un consenso che deve essere libero ed inequivocabile.

Il consenso va chiesto prima, non dopo: ecco perché entra in gioco la necessità di ricorrere a soluzioni tecnico informatiche che blocchino i cookies prima che l’utente abbia espresso la sua scelta. Per capirci, ci vuole qualcosa che impedisca ai cookies di attivarsi e non basta solo mostrare il banner, se nel frattempo le “microspie” sono già in azione. 

Insomma il banner dovrebbe fungere anche da barriera, come i caselli autostradali.

Il consenso deve essere libero, quindi non condizionato e non carpito inconsapevolmente dall’utente. Perciò deve essere integrato da un’azione positiva che il titolare del sito deve poter essere in grado di dimostrare in ogni momento.


Vuoi rimanere sempre aggiornato sui temi legali che riguardano il business e la presenza online?

Iscriviti alla Newsletter di Legale Digitale!


Scrolling e Cookie Wall

Lo scrolling era una soluzione tecnica ritenuta sufficiente nel provvedimento del Garante del 2014.

Funzionava più o meno così: nel banner si avvisava l’utente che, continuando a navigare il sito, ciò avrebbe comportato l’accettazione di tutti i cookies presenti, tutti senza alcuna distinzione.

Quindi l’utente aveva due opzioni: lasciare il sito per opporsi al trattamento oppure accettare tutto se voleva continuare la navigazione.

Nelle nuove linee guida ne viene confermata una minima validità, ma solo a patto che questa soluzione sia accompagnata da ulteriori elementi per dimostrare che il consenso è stato libero e consapevole. Insomma di per sé da solo, non basta.

Per capirci, se tu navighi in un sito e ignori il banner dei cookies perché vuoi andare dritto al sodo, leggendo l’informazione che stavi cercando, non si può certo dire che tu abbia acconsentito ai cookies di profilazione in modo libero e consapevole.

Allora la soluzione è quella di acquisire il consenso in modo corretto, oppure di lasciare il navigatore riservato, libero di crogiolarsi nel proprio anonimato, proseguendo la navigazione nel sito con l’esclusione dei cookies di profilazione e di marketing. 

Un altro tema affrontato dalle nuove linee guida del Garante è la liceità o meno del cosiddetto Cookie Wall.

In poche parole si tratta di un sistema che impedisce al navigatore di accedere ad alcuni contenuti del sito (o a volte anche a tutti) se non accetta tutti i cookies: quindi prendere o lasciare.

Molti stakeholders hanno difeso a spada tratta questo sistema, sostenendo che i contenuti di valore di un sito abbiano un costo di produzione e che se l’utente non accetta di essere profilato, è giusto che non possa accedervi.

Sul fronte privacy, però, né il nostro garante nazionale né a livello europeo questa pratica è vista con favore. 

Il Cookie wall, quindi, è da considerarsi illecito di default, salva la possibilità di valutare caso per caso; ad esempio nell’ipotesi in cui l’utente abbia comunque la possibilità di accedere a contenuti o servizi simili, senza dover per forza acconsentire all’installazione di questi mezzi di tracciamento.

Se si opta per queste scelte, è molto importante valutarle attentamente ed essere pronti con valide argomentazioni da sostenere, che siano idonee e sufficienti a fondare un consenso valido e libero.

Il design dei pulsanti

Grazie a varie segnalazioni e all’esame di tanti casi concreti, al garante non sono sfuggiti i tentativi di instradare l’utente verso la scelta desiderata (accettare tutti i cookies) mediante la progettazione di banner con pulsanti di colori e dimensioni differenziati.

Le indicazioni sono chiare: i pulsanti di opt-out, “scomodi” al titolare del sito, devono avere una grafica e una dimensione pari a quella degli altri pulsanti di opt-in.

Quindi no ad un pulsante “Accetto tutti i cookies” di dimensioni giganti e di colore giallo neon, e i pulsanti “Accetto solo i cookies necessari” piccoli e neri.

Si sta anche parlando di introdurre un sistema di codifica del design e del colore dei banner comune ed uniforme, in modo da rendere tutto più trasparente e facilmente comprensibile.

In pratica è come creare un piccolo codice della strada per i cookie banner, stabilendo le dimensioni ed i colori del banner, dei bottoni e delle caselle di spunta per esprimere le proprie scelte.

Sembra siamo ancora lontani da questo obiettivo ma in un futuro non molto lontano potremmo essere costretti ad avere tutti un banner per i cookie uniforme, come il cartello di stop e di precedenza, le cui dimensioni, colori e simboli sono previsti dalla legge e uniformi in tutto il territorio nazionale (ed anche oltre). 

Quante volte mostrare il banner

Sarebbe bello, soprattutto quando l’utente ha accettato solo i cookies necessari, poter mostrare il banner a cadenza regolare, così da indurre l’utente a cambiare idea, anche solo per togliersi il fastidio di essere continuamente interrotto durante la navigazione.

Il Garante, nelle sue linee guida, ha preso in considerazione anche questa ipotesi e ha dato delle regole molto chiare, difficili da fraintendere.

Non puoi riproporre il banner a chi ha già espresso la propria scelta, a meno che:

  • tu non abbia apportato delle modifiche ai cookies presenti sul sito che rendano indispensabile chiedere nuovamente i consenso

  • siano passati almeno 6 mesi dall’ultima manifestazione del consenso.

Quindi anche l’intento di “disturbare” eccessivamente l’utente che ha accettato solo i Cookies necessari, ripresentando il Cookie Banner a più riprese, è una condotta non Compliance e suscettibile di essere sanzionata.

Bocciate le caselle prespuntate e l’accettazione di tutti i cookie di default

Era già stato detto per i form online e non sorprende che il concetto venga ribadito per i Cookies. 

Non solo le caselle pre spuntate rendono il consenso non libero e, quindi, invalido, ma è anche necessario che, per impostazione predefinita, vi sia la negazione del consenso.

Cosa significa? Significa che se l’utente non fa nulla e chiude il banner cliccando sulla X, il risultato deve essere nel senso che non ha prestato il consenso ai Cookies per il quale il consenso è necessario.

Quindi se io utente chiudo il banner, vuol dire che non accetto nessun cookie.

Questo accorgimento è giustificato dall’esigenza di evitare che un’azione compiuta al solo fine di togliere di mezzo il fastidio del banner sia interpretata come accettazione.

Si tratta di un escamotage molto spesso utilizzato per rendere la scelta obbligata al navigatore distratto che non si cura del banner e che vuole solo trovare l’informazione che cerca.

Responsabilità della classificazione dei cookies

Spesso in consulenza mi viene detto: “Frida, ma i cookies non sono miei, sono di altri. Io non centro niente e non vedo niente. Perché dovrei pormi il problema?”

Perché il sito è la tua casa e, in quanto padrone di casa, sei responsabile di quello che succede al suo interno.

Quindi, in base alle nuove linee guida, non solo occorre fare un’analisi accurata dei cookie utilizzati ma sarà anche indispensabile provvedere a riclassificarli allorquando il cookie sia classificato erroneamente o non sia per niente classificato.

Quindi tutto quello che succede nel tuo sito è tua responsabilità e occorre vigilare costantemente per non perdere il controllo e rischiare di essere chiamati a risponderne.

Tutto questo rientra pienamente nel concetto che la Compliance è fatta di F.A.M (Formazione/consulenza – Adeguamento – Manutenzione).


Tante cose da fare, spesso incomprensibili? Questo ti spaventa?

Vuoi un affiancamento professionale per affrontare tutto con una guida esperta e un assistenza personalizzata?

Parliamone!

Compila il form e riceverai via email un veloce questionario per capire come lavorare assieme:


Cookies analitici: sono tecnici o di profilazione? 

Un altro tema importante affrontato dal Garante è quello di rispondere alla domanda: “I cookies analitici sono cookies tecnici o di profilazione?”

La risposta è: dipende.

E ti spiego il perché.

Partendo dal presupposto che gli indirizzi IP, anche solo quelli dinamici, sono a tutti gli effetti dati personali, è evidente che se il cookie analitico mi restituisce il numero di IP integralmente ed in chiaro, sto trattando un dato personale che potenzialmente, incrociato con altri dati, potrebbe realizzare una qualche profilazione.

In questo caso il cookie di analitycs è da considerarsi un cookie di profilazione, per il quale deve essere data apposita informativa ed acquisito un valido consenso.

Diversamente se il cookie restituisce dei dati aggregati (quindi un insieme statistico senza alcun riferimento specifico ad un dato personale) o se l’indirizzo IP viene parzialmente oscurato, allora il cookie può essere classificato come tecnico e, quindi, senza necessità di un apposito consenso da parte dell’utente.

Anche in questo caso, tuttavia, ciò che conta è il caso concreto, quindi ogni scelta va sempre attentamente valutata e calata nella realtà specifica che si sta prendendo in esame.

Quanto tempo abbiamo?

Le linee guida sono state pubblicate in gazzetta ufficiale il 9 luglio 2021.

Da quel momento decorrono 6 mesi di tempo per l’adeguamento di tutti i siti.

Quindi entro il 9 gennaio 2022 dovremo essere tutti in linea con le raccomandazioni del Garante.

Ogni sito, ogni business ed ogni realtà è qualcosa di unico e a sé stante. Sappiamo quali sono gli obiettivi che la legge ci richiede e dobbiamo integrali nella nostra realtà, facendo delle scelte supportate da valide argomentazioni a favore della Compliance.

Se hai dubbi, rivolgiti ad un professionista esperto in questa materia. Se desideri una consulenza da me su questo tema, VAI QUI


Se ti è piaciuto questo articolo e pensi possa essere utile anche ad altri, condividilo o giralo a chi pensi possa essere utile.



Leggi tutto

Altri articoli che ti possono interessare:

Lascia un commento

STUDIO LEGALE AVV. FRIDA DEL DIN - PIAZZA XX SETTEMBRE, 28 - 30033 NOALE (VE)

E-MAIL: FRIDA@LEGALEDIGITALE.COM
TEL: 0423563533
P. IVA 04404090260

CREDITI

Progetto grafico: Daniela De Martino

Fotografie: Silvia Pasquetto

Realizzazione sito web: A Cup of Web