Cookie: dal Garante Privacy nuove linee guida a tutela degli utenti

I cookie: cosa sono e a cosa servono

Le organizzazioni, nell’attuale contesto di digitalizzazione globale sono sempre più focalizzate a rafforzare i propri servizi web e di interazione digitale con i clienti. Pertanto, in maniera sempre più rilevante, tendono a raccogliere informazioni dagli utenti delle piattaforme digitali, con la finalità di massimizzare la propria visibilità online e migliorare l’esperienza degli utenti stessi.

A questo scopo è eseguita la raccolta di informazioni legate alla “navigazione” degli utenti, che possono essere di carattere tecnico (come, ad esempio, messaggi di errore ricevuti dalle pagine web) o relative alle preferenze e al profilo degli utenti (come ad esempio pagine visitate, lingua utilizzata, località geografica). Attraverso la raccolta di tali informazioni, inoltre, le aziende possono modulare la propria offerta commerciale in base alle necessità ed ai gusti degli utenti.

Lo strumento tipicamente utilizzato per questi scopi è costituito dai cookie, piccoli file di testo che vengono memorizzati all’interno dei dispositivi degli utenti e che sono necessari a rendere fruibile una piattaforma digitale, abilitandone diverse funzionalità. I cookie, ad esempio, consentono l’accesso alle aree riservate (es. area clienti) o permettono di tenere traccia dei prodotti inseriti nel carrello virtuale di un sito e-commerce anche a seguito della chiusura del browser. Questa tipologia di cookie, identificati come cookie tecnici, è anche utile a salvare le preferenze e a migliorare le prestazioni delle piattaforme digitali consentendo, ad esempio, la memorizzazione di alcune informazioni all’interno delle pagine web (come dati per la compilazione semi-automatica dei campi di determinati moduli) o di spostarsi tra le diverse sezioni di una sito web rimanendo connessi con la propria utenza.

I cookie possono però anche essere utilizzati per raccogliere dati personali degli utenti (come ad esempio nome, regione in cui si trovano), allo scopo di condurre attività di marketing anche attraverso l’impiego di tecniche di profilazione o tracciamento, che registrano le preferenze o le pagine visitate degli utenti. Questi sono comunemente identificati come cookie analitici (come informazioni sulle visite alle pagine web), di marketing e profilazione (come promozione di prodotti sulla base dei precedenti acquisti) e per il loro utilizzo la normativa privacy richiede la raccolta di uno specifico consenso dall’utente.

Qualora invece, questi stessi cookie raccolgano informazioni in maniera aggregata non è necessario raccogliere il consenso dall’utente ed in tal caso si parla di cookie analitici aggregati.

I dati personali raccolti attraverso l’utilizzo dei cookie potrebbero anche essere trasmessi, previo consenso, a terze parti esterne, che potrebbero, a loro volta, utilizzarli per effettuare operazioni di tracciamento (come registrare la cronologia di navigazione di un utente) e/o profilazione (come salvare le preferenze relative a determinati tipi di prodotti) degli utenti stessi.

Le novità introdotte dalle Linee Guida

Le Linee Guida introducono nuovi requisiti che consentono agli utenti maggior visibilità e controllo rispetto al trattamento dei propri dati. I temi più rilevanti riguardano i seguenti aspetti:

• Per l’attivazione dei cookie tecnici e analitici aggregati non è necessario raccogliere un consenso esplicito, ma è sufficiente che l’utente sia informato della loro presenza. Diversamente, per l’attivazione dei cookie analitici, di marketing e profilazione, e per l’attivazione dei cookie relativi ai social network (utilizzati ad esempio per collegare un sito web al profilo social di un utente, attraverso l’interazione con un plug-in come il pulsante “Mi piace”) deve essere richiesto uno specifico consenso.
• Il consenso tramite scrolling, ovvero acquisito tramite lo “scorrimento” del mouse all’interno di una pagina visitata dall’utente, è considerato “inadatto”. Il consenso, quindi, può essere validamente prestato dall’utente solo se è conseguenza di un’azione esplicita e consapevole che sia riscontrabile e dimostrabile (ad es. il click sull’apposito pulsante presente all’interno del banner).
• L’utente deve avere la possibilità di proseguire la navigazione chiudendo il banner cookie, ad esempio selezionando un apposito tasto facilmente individuabile al suo interno (come il pulsante “X”), senza dover necessariamente fornire alcun consenso. In tal caso non dovrà essere utilizzato alcun cookie ad eccezione dei cookie tecnici.
• Deve essere garantita la possibilità all’utente di verificare in qualsiasi momento e in qualsiasi sezione di una piattaforma (ad es. tramite l’utilizzo di un elemento grafico, un’icona o altro accorgimento tecnico da posizionare nel footer della pagina web) le preferenze fornite sull’utilizzo dei cookie, consentendone la modifica o l’aggiornamento.
• L’informativa cookie messa a disposizione degli utenti deve indicare anche gli eventuali altri soggetti destinatari dei dati personali (ad es. partner commerciali) ed i relativi tempi di conservazione. Tale informativa potrà essere resa anche su più canali e con diverse modalità (ad es. con pop-up, video, interazioni vocali).

Il Garante Privacy ha previsto 6 mesi di tempo a partire dalla pubblicazione delle Linee Guida in Gazzetta Ufficiale, effettuata in data 9 luglio 2021, per effettuare l’adeguamento delle piattaforme digitali rispetto a tali requisiti. 

Un approccio per la gestione dei cookie

Protiviti ha sviluppato una significativa esperienza nella gestione e nell’adeguamento dei requisiti normativi in ambito Privacy e, in particolare, per quanto riguarda la gestione dei cookie sulle piattaforme digitali gestite dalle organizzazioni.

L’approccio e la metodologia di Protiviti prevedono, anche attraverso l’adozione di specifici strumenti tecnologici, l’esecuzione di attività per l’adeguamento alla normativa:

• mappatura delle piattaforme digitali e classificazione dei relativi cookie nelle idonee categorie (tecnici, analitici aggregati, di marketing / profilazione, dei social media);
• identificazione e implementazione di soluzioni tecnologiche per la gestione dei cookie, che consentano, ad esempio, la scansione delle piattaforme digitali per mappare e categorizzare i cookie utilizzati, la configurazione del cookie banner e del centro preferenze (cookie preference center) ovvero la sezione dalla quale è possibile modificare i consensi espressi, o il popolamento automatico della lista dei cookie all’interno della cookie policy pubblicata sul sito Web;
• definizione dei requisiti tecnici e funzionali (es. requisiti tecnici per la configurazione del banner e del centro preferenze cookie, come il numero di pulsanti da prevedere, requisiti funzionali, come la posizione del banner cookie o la struttura della tabella riepilogativa dei cookie utilizzati all’interno della cookie policy) da implementare, secondo le esigenze di business e le indicazioni della brand identity aziendale (es. font e grafica delle diverse componenti del banner e dei relativi elementi come i pulsanti per l’interazione con lo stesso);
• predisposizione della documentazione da pubblicare sulla piattaforma digitale, come ad esempio l’informativa cookie, contenente, tra gli altri, l’elenco dei cookie utilizzati, la relativa tipologia e l’indicazione dei cookie di prima o terza parte.