Il 10 gennaio 2022 sono entrate in vigore le nuove linee guida dell’Autorità Garante per la Protezione dei dati personali su cookie e strumenti di tracciamento. In un precedente articolo abbiamo analizzato punto per punto le novità introdotte, dando qualche spunto su che soluzioni adottare. In questo approfondimento, invece, vedremo cosa fare per essere a norma con le nuove prescrizioni sempre tenendo a mente che l’informativa da pubblicare non è il punto di partenza, ma il punto di arrivo di un processo di analisi e decisionale strutturato.
Cookie, le nuove linee guida del Garante Privacy: suggerimenti pratici per le aziende
Indice degli argomenti
La fase di analisi
Innanzitutto, è opportuno soffermarsi un attimo sull’analisi del proprio sito web, cercando di capire quali e quanti cookie sono installati.
Online ci sono diversi servizi, anche gratuiti, che possono analizzare un sito e scovare quali sono i servizi utilizzati che installano cookie sui computer dei visitatori, ma, volendo, è possibile condurre l’analisi in autonomia semplicemente ricorrendo al proprio browser. Infatti, ogni produttore ha integrato nel proprio programma di navigazione, di solito nascosto nei menu “Ispeziona elemento” o “Sviluppo” uno strumento che indica quali servizi del sito web sfruttano i cookie.
Com’è logico che sia, il sito che è stato interamente programmato in prima persona, senza ricorrere a servizi terzi o a CMS, avrà molti meno cookie da dover gestire e bloccare.
Stilate una lista dei cookie che avete rinvenuto e cercate di raggrupparli per macrocategorie: cookie tecnici (ossia quelli che servono al funzionamento del sito, come, ad esempio, quelli di sessione); cookie di profilazione (ossia quelli che consentono la profilazione, anche cross site degli utenti). La distinzione è di fondamentale importanza, dato che per i secondi c’è bisogno di chiedere il consenso all’utente per la loro installazione. Per i cookie di profilazione, indicate anche se sono di prima parte (cioè creati e gestiti da voi) oppure di terza parte (cioè creati o gestiti da terzi).
Dopo aver completato l’analisi dei cookie, è opportuno verificare se il sito utilizzi anche altri “identificatori non tecnici”, ossia una di quelle tecnologie per il monitoraggio degli utenti che, però, si basano su meccanismi diversi, come il fingerprinting. Nel caso, prendetene nota, sarà importante in seguito.
Altro importante consiglio è quello di prestare molta attenzione all’uso di servizi di terze parti che consentono l’avvio, in pochi click, di interi siti web, blog o e-commerce: in questo caso il controllo su di essi è pressoché nullo, cosa che non permette di impostare correttamente i blocchi dei cookie o di redigere una cookie policy cucita su misura. Tenete, quindi, ben a mente che, in caso di controlli, sarete voi a rispondere di eventuali violazioni della normativa quali Titolari del trattamento dei dati che raccogliete tramite di essi.
La fase di riflessione
Finita l’analisi, il consiglio è quello di prendersi un momento per riflettere se, effettivamente, tutti i servizi e i cookie installati sul sito web sono effettivamente necessari al suo funzionamento e siano adatti ai nostri scopi. Mi spiego meglio: se ho solo un blog personale, molto probabilmente un servizio di analisi del traffico esterno non mi sarà utile, potendo sfruttare una miriade di script e plugin open source che non si appoggiano su server terzi e vengono eseguiti direttamente dal mio server. Da un lato, avrò le stesse statistiche sui visitatori che potrà darmi il servizio terzo, dall’altro evito di installare software che sfrutta uno o più cookie di profilazione di terze parti. Dunque, per i miei scopi potrò benissimo usare uno script open, senza così dover richiedere il consenso agli utenti per l’installazione dei cookie di profilazione del servizio terzo.
Peraltro, se iniziassimo a ragionare di più sul valore del dato, difficilmente lo condivideremmo con altre aziende non partner, dando loro un vantaggio competitivo non indifferente: il consiglio è di usare il meno possibile servizi terzi e di puntare sempre più all’uso di script eseguiti dai nostri server.
La fase di stesura della policy sui cookie
La c.d. cookie policy deve avere le stesse caratteristiche formali delle altre informative, così come stabiliti dal GDPR. Dunque, dovranno essere indicate:
- le generalità del Titolare del trattamento dei dati (cioè la ragione sociale dell’impresa o il nome e cognome della persona fisica proprietaria del sito, la sua sede legale, codice fiscale e partita IVA, un indirizzo e-mail e, volendo, un numero di telefono e l’indirizzo di posta elettronica certificata);
- il nominativo del Data Protection Officer (o Responsabile della Protezione dei Dati) e i suoi dati di contatto, se nominato;
- l’elenco dei cookie installati dal sito, suddivisi per categoria (tecnici, di profilazione e l’eventuale distinzione fra prima e terza parte), assieme a una loro breve descrizione e al periodo di trattamento dei dati così raccolti;
- l’elenco degli identificatori non tecnici in uno a una loro breve descrizione e al periodo di trattamento dei dati così raccolti;
- l’elenco dei diritti degli interessati così come tassativamente indicati dal GDPR e le modalità per esercitarli.
L’informativa sui cookie, rilasciata ai sensi dell’art. 13 del Regolamento Europeo, deve essere sempre aggiornata, ma, soprattutto, sempre raggiungibile da ogni utente da un link persistente in ogni pagina (il consiglio è quello di posizionare il link nel footer).
Ricordate, infine, che il Garante raccomanda di scriverla con un linguaggio semplice, di renderla multilayer, cioè dislocata su più livelli, e che è possibile renderla con più canali o modalità (ad esempio, tramite chatbot, assistenti virtuali ecc.).
Il banner di avvertimento sui cookie
Se utilizzate cookie di profilazione o altri identificatori non tecnici, dovrete far apparire sul sito un banner che avverta l’utente del loro utilizzo. Prestate attenzione alla sua realizzazione: deve presentare colori in contrasto rispetto al sito web, di modo da non essere confuso con esso, deve contenere un pulsante per accettare l’installazione dei cookie non tecnici, deve contenere il link all’informativa privacy e cookie e deve contenere anche un pulsante, come una “X” che consenta di chiuderlo senza accettare l’installazione dei cookie non tecnici.
Il blocco dei cookie
Infatti, il vero problema tecnico legato alla gestione dei cookie è quello di impedire che il sito web installi sul computer dell’utente i cookie tecnici senza che costui abbia preliminarmente manifestato il suo consenso. Dunque, andrà predisposto uno script ad hoc.
Bisognerà poi mettere a disposizione dell’utente uno strumento per poter revocare il consenso eventualmente prestato e ricordargli, a colpo d’occhio, quali tipologie di cookie ha accettato. Anche in questo caso il consiglio è quello di sfruttare l’area del footer del sito per inserire un link che consenta la gestione delle preferenze, oltre a mostrare, anche con una o più icone, le categorie di cookie accettate.
La registrazione dei consensi
Ultimo importante adempimento è quello di registrare i consensi raccolti (o revocati) dagli utenti in un apposito database, di modo da poter dimostrare e documentare, in caso di controlli da parte delle Autorità, di aver rispettato l’effettiva volontà dell’utente.
Attenzione: il consenso potrà essere prestato dal visitatore solo ed esclusivamente se compie un’azione positiva (come il click sul pulsante di accettazione nel banner) e non con lo scrolling del sito.
