Ogni utente, tutti i giorni, in qualunque sessione internet si imbatte almeno una volta nella parola cookies. Quanti sanno veramente cosa significa? Ma soprattutto, quali sono i requisiti per avere il consenso all’installazione dei cookies?
Sicuramente gli addetti ai lavori, probabilmente qualche curioso, forse le persone più attente alla tutela della propria privacy ne conoscono il significato.
Il numero si abbassa notevolmente se parliamo di requisiti per il consenso all’installazione. Eppure il tema è più importante di quanto sembra.
Il regolamento ePrivacy è ancora allo stato di bozza
Uno dei potenziali motivi della scarsa informazione potrebbe essere dato anche dall’assenza di un regolamento specifico che definisca la materia.
Il regolamento complementare al GDPR che avrebbe dovuto approfondire il settore delle comunicazioni elettroniche, garantendo la riservatezza delle comunicazioni che possono contenere dati connessi a una persona giuridica ma anche dati non personali, ha un nome: Regolamento ePrivacy.
La divulgazione di questo regolamento scritto nel 2017 era prevista in concomitanza con l’entrata in vigore del GDPR, ma non ha ancora visto la luce per via della forte resistenza dei giganti del web che hanno costruito il loro successo sulla profilazione degli utenti attraverso il comportamento online, ma anche delle aziende di marketing che si occupano di advertising e che premono per far respingere la bozza.
C’è interesse da parte del legislatore europeo di allineare le comunicazioni elettroniche al GDPR e restare al passo con i progressi tecnologici, ma anche per uniformare il quadro legislativo a livello europeo e accrescere la fiducia dei consumatori nei servizi digitali dopo i recenti scandali.
La normativa applicabile in assenza del regolamento
Come anticipato, il Regolamento ePrivacy è ancora in fase di bozza, così la disposizione del Codice Privacy sui cookie non è stata completamente modificata dal GDPR: “in attesa dell’emanando regolamento europeo in materia e-privacy” che, come detto, non è ancora arrivato.
Il nodo della questione è dato dalla definizione dei requisiti del consenso per l’installazione dei cookies: il provvedimento del Garante datato 2008 indica la “prosecuzione della navigazione” come “consenso implicito”, decisamente in controtendenza con i vincoli definiti dal GDPR.
Dopo tante discussioni e altrettante modifiche, il garante ha incontrato associazioni rappresentative di consumatori e di categorie economiche coinvolte e ha individuato le modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.
Le modalità semplificate per l’adempimento: due informative
All’utente che approda in un sito va mostrato attraverso un banner in homepage una prima, breve informativa.
All’interno di questa informativa deve essere possibile attraverso un click accedere all’informativa più estesa che offre la possibilità di informarsi in maniera più approfondita e scegliere in merito ai cookie archiviati.
Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.
I requisiti del consenso all’installazione dei cookie
In attesa del Regolamento ePrivacy, il GDPR ha però corretto il tiro delle precedenti direttive ampliando il concetto di “manifestazione di volontà libera, specifica e informata” menzionato nella precedente direttiva e richiedendo una manifestazione chiara attraverso “dichiarazione o azione positiva inequivocabile come la selezione di un’apposita casella”.
Per far maggior chiarezza, il considerando 32 precisa che “non dovrebbe costituire consenso il silenzio, l’inattività o la preselezione di caselle”.
È inoltre richiesta la collaborazione da parte del titolare del trattamento per evitare ambiguità e riconoscere il consenso, distinguendolo da altre azioni: “continuare a navigare il sito e sfogliare le pagine non sono azioni chiare e positive e quindi non costituiscono consenso”.
Guida alla richiesta del consenso, i parametri
- Fornire informazioni chiare all’interno dell’informativa breve;
- Indicare la tipologia di cookie utilizzati;
- Impedire l’installazione di cookie prima del consenso;
- Inserire (almeno) all’interno del banner il link che dà accesso all’informativa estesa;
- Indicare anche i cookie utilizzati da terze parti;
- Inserire il link che dà accesso all’informativa delle terze parti eventualmente coinvolte;
- Rendere sempre accessibile il banner contenente l’informativa breve.
Il caso di Vueling airlines: il garante spagnolo prova a fare chiarezza
Molto più semplice a dirsi che a farsi: sono poche le aziende allineate sotto questo punto di vista.
In questa lista non figura Vueling Airlines, colpevole a detta del garante della privacy spagnolo di non essere conforme con le leggi spagnole e con il GDPR.
Il banner presente nella homepage del sito della compagnia aerea non consentiva all’utente di selezionare il proprio consenso al trattamento dei dati.
La continuazione della navigazione veniva erroneamente interpretata come consenso implicito al trattamento dei dati personali.
Le differenti tipologie dei cookie
Ultimo, ma non per importanza: per effettuare una corretta regolamentazione, occorre distinguere i cookies sia in base al soggetto che li installa, sia soprattutto alle finalità perseguite da chi li utilizza.
Cookies tecnici
Il titolare o gestore del web installa cookies tecnici esclusivamente per effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Cookies di navigazione
I cookies di navigazione garantiscono la normale navigazione, i cookies di funzionalità migliorano il servizio del sito (come il mantenimento dell’identificazione per l’home banking).
Non è necessario il consenso, è sufficiente l’informativa
Cookies analitici
I cookies analitici possono essere assimilati ai cookie tecnici e quindi non richiedere il consenso se vengono realizzati e utilizzati dal gestore per ragioni di ottimizzazione.
Se vengono realizzati da terze parti i requisiti aumentano:
- devono essere utilizzati dal gestore/proprietario;
- devono essere utilizzati solo per la fornitura del servizio;
- devono servire a fini statistici;
- occorre ridurre il potere identificativo;
- non possono essere arricchiti o incrociati con altri dati.
Cookies di profilazione
Tracciano la navigazione dell’utente, analizzano il comportamento online per profilare e trasmettere messaggi personalizzati.
È necessario il consenso da parte dell’utente.
