Cookie e navigazione online: le ultime novità dal Garante

Da quando è entrato in vigore nel 2014 il provvedimento del Garante della Privacy per l’acquisizione del consenso ai cookie sui siti web sembra passata “un’era geologica”. All’epoca di internet, infatti, i cambiamenti sono continui e molto rapidi. 

Quasi tutti vivono con sofferenza, e a ragione, il momento in cui devono aprire una pagina web di un nuovo sito. Leggere la ricetta per la “vera amatriciana” dietro un banner per il consenso ai cookie potrebbe essere “una nuova disciplina sportiva” e non una di quelle più divertenti e appaganti.

Cos’è un cookie e a cosa serve?

I cookie sono stringhe di testo che i siti web (indicate come “prime parti” nei testi di legge) visitati dall’utente oppure siti o web server diversi (le cosiddette “terze parti”) posizionano e archiviano all’interno del dispositivo di navigazione dell’utente.

Le informazioni codificate nei cookie possono contenere dati non personali come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare il sito. Spesso però possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail.

I browser possono memorizzare i cookie e poi trasmetterli nuovamente ai siti web che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più ambienti web.

I cookie possono, per esempio, essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico. Sempre attraverso di essi è possibile veicolare anche la pubblicità comportamentale (behavioural advertising) e misurare l’efficacia del messaggio pubblicitario.

Tutti i cookie devono essere classificati e dettagliati in una specifica pagina del sito che deve contenere il testo dell’informativa cookie estesa (quella presente sui banner, quando è presente, è solo un breve riassunto) e l’opzione che consente di modificare il consenso al tracciamento.

Sono davvero necessarie delle nuove linee guida sui cookie nel 2021?

Sì. In buona sostanza, il provvedimento precedente, così come le buone pratiche consigliate dall’EDPBoard (l’organismo che riunisce tutti i Garanti della privacy europei) sono stati in buona parte disattesi, rendendo la navigazione internet una frustrante impresa per tutti.

Lo scopo di queste linee guida è circoscrivere il perimetro di azione delle misure già esistenti. Non sono state introdotte delle novità significative per quanto riguarda le regole da rispettare, ma è stato messo al centro il concetto di legal design: per l’utente deve essere chiaramente e facilmente comprensibile ciò che accetta o rifiuta.

Anche l’approccio del Garante cambia e diviene molto più deciso e fermo in materia di controlli e potenziali multe. Il tracciamento dei dati in sé è lecito e utile, a condizione che avvenga nel rispetto delle norme contenute nel GDPR. Per questo motivo, oggi nella maggior parte dei siti web, troviamo opzioni di tracciamento pulsanti come “Accetta tutti” o “Personalizza”. Nel primo caso, ovviamente, clicchiamo quando siamo “con il sugo che brucia sul fuoco” e non sappiamo se nella vera amatriciana ci voglia la panna o no. Il secondo caso è un trucchetto per farci pentire di non aver cliccato “Accetta tutti”.

Le linee guida che entrano in vigore da gennaio 2022, invece, invertono il paradigma della scelta. Lo stravolgimento imposto serve a riportare in primo piano il concetto di privacy by design espresso nel GDPR: il fornitore del servizio (chi possiede il dominio) può imbastire il proprio percorso di tracciamento senza “approfittarsi” a tradimento dell’utente. Questi, infatti, non deve essere forzato a una scelta negoziale ma deve essere, invece, tranquillo di poter entrare e uscire senza lasciare “tracce”.

È stato promesso un controllo totale delle difformità: è ovvio che sarà così, perché altrimenti non si sarebbe arrivati a queste linee guida più rivolte all’esperienza utente che alla facilità della profilazione marketing. Il Garante della privacy italiano sta cercando di rendere più difficile per le aziende di data brokering continuare a fare incetta di informazioni personali senza controllo.

Cosa dicono le più recenti linee guida per l’utilizzo dei Cookie?

Al momento del primo accesso in un sito web nessun cookie o altro strumento di tracciamento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente.

Sarà poi sempre necessario richiedere il consenso all’utilizzo di cookie di profilazione attraverso un banner ben visibile. Il banner dovrà dare agli utenti la possibilità di proseguire la navigazione senza essere tracciati. Basterà, infatti, chiudere il banner cliccando su una “X” riconoscibile.

La “X” indicherà dunque la scelta di “rifiuto del tracciamento” e non la semplice eliminazione del banner. Come succede per tutte le altre X nelle finestre di dialogo dei sistemi, il click chiude il pop up del consent banner senza però far partire nessun tipo di tracciamento. 

Questa si può ritenere come l’unica vera novità delle linee guida: si può, dunque, salutare il già citato scrolling in pagina (che non è mai stata peraltro una forma legittima di acquisizione del consenso per il tracciamento e per i cookie). Attraverso il semplice scrolling, infatti, non si può distinguere se l’utente stia dando il consenso al tracciamento o stia piuttosto cercando un’informazione in basso nella pagina.

Adesso, con il fatto che l’accettazione al tracciamento deve essere un’azione univoca, è chiarissimo che lo scrollbar non può essere espressione del consenso informato.

Per chi non l’avesse ancora fatto, è necessario consentire al browser di rivedere le preferenze nella pagina dedicata alla cookie policy implementando una sezione in cui è possibile modificare le opzioni precedentemente espresse. Nella stessa pagina deve essere pubblicata per intero l’informativa cookie con dati e funzionalità dei sistemi di tracciamento.

Il documento evidenzia le informazioni circa gli altri soggetti destinatari dei dati personali e i tempi di conservazione di questi dati. Decade quindi la possibilità di “propinare”, per legittimo interesse, l’elenco con migliaia di data broker che cercano di speculare sui dati personali. Come da Regolamento europeo, il legittimo interesse non è (e non è mai stato) una base giuridica per il trattamento dei dati e non si può utilizzare per tracciare gli utenti. 

Le linee guida sottolineano che l’accesso e l’espressione di un consenso o un rifiuto al tracciamento deve essere fruibile facilmente anche a portatori di disabilità. Questa parte coinvolge non solo centinaia di siti web della pubblica amministrazione che avrebbero dovuto rendere fruibili i loro portali da tempo, ma tutti i domini.

Per questa necessità vogliamo evidenziare il lavoro di Accessiway, il nostro partner che commercializza un servizio utile a dare accessibilità ad app e siti internet a coloro che sono affetti da disabilità permanenti o temporanee. Insieme con Synesthesia, stiamo lavorando per realizzare sistemi informatici fruibili con piena accessibilità a tutti e, di conseguenza, anche strumenti per la registrazione del consenso adatti.

La scelta dell’utente, infine, deve essere registrata e conservata per un periodo prolungato di tempo. È errato, quindi, presentare il banner di richiesta del consenso a ogni accesso: un cookie tecnico dovrà ricordarsi le nostre preferenze per almeno sei mesi.

Mettiamo un punto fermo

Da tempo ci si interroga sul futuro dei cookie che tutti i browser già limitano e Google intende eliminare dal 2023 con il progetto FloC. Apple ne fa un cavallo di battaglia da anni e anche noi abbiamo trattato l’argomento parlando di campagne pubblicitarie.

L’evoluzione del tracciamento degli utenti sul web potrà passare da una profilazione individuale e personale, come nella situazione attuale, a un metodo per informazioni aggregate sul comportamento di consumo, come sarà in futuro.

Come esperti di privacy e utenti della rete interessati, osserviamo il panorama digitale trasformarsi sotto i nostri occhi. Offriamo soluzioni efficaci per approcciare tanto queste recenti linee guida quanto il cambiamento che sarà proposto dalle Big Tech. Smart Flow e Synesthesia hanno creato un servizio di adeguamento dei portali che comprende la gestione relativa a policy e consenso a profilazione marketing per app e siti web.

Desideriamo che tutti abbiano la possibilità di prendere coscienza dell’impatto che questo insieme di regole dovrà esercitare affinché navigare sul web continui a essere un piacere per chi lo fa come utente e profittevole per chi propone il proprio business.

A gennaio 2022, quando inizieranno i controlli da parte del Garante privacy sull’implementazione delle nuove linee guida, potremo guardare la ricetta della vera amatriciana senza essere interrotti da fastidiosi pop up. Se hai dei dubbi o necessiti di un aiuto, rivolgiti a noi: Smart Flow e Synesthesia hanno team di esperti qualificati per risolvere ogni tua necessità.

Se hai domande o feedback, scrivici. Saremo contenti di leggere le tue richieste o le tue opinioni.