la guida

Cookie, come adeguarsi alle nuove linee guida: strumenti, esempi, errori da evitare

Tutto quello che c’è da sapere per allinearsi alle nuove disposizioni sui cookie: primo accesso al sito e cookie tecnici, cosa deve contenere il cookie banner, quali sono i tool più diffusi e semplici, qualche esempio pratico e gli errori da evitare

01 Feb 2022
Angela Lo Giudice

Avvocato, Polimeni.Legal

Le nuove linee guida del Garante Privacy sui cookie e gli altri strumenti di tracciamento sono entrate in vigore il 9 gennaio.

Vediamo insieme quali sono i passaggi necessari per l’adeguamento, tenendo presente che il “fai da te” va benissimo nei casi più semplici ma che il supporto di un avvocato (che per legge si assume la responsabilità delle scelte che fa), come vedremo, è molto importante anche nel caso in cui si utilizzino dei tool.

Cookie, come evitare le sanzioni del Garante privacy: la checklist

Linee guida cookie, il primo accesso al sito

Innanzitutto, è bene dire immediatamente che al momento dell’accesso al sito devono essere impostati di default soltanto i cookie tecnici.

Quali sono i cookie tecnici? I cookie tecnici servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. I cookie tecnici si dividono, normalmente, in sottocategorie come i cookie di navigazione o di sessione, cookie di funzionalità (permettono all´utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l´acquisto, autenticazione, al fine di migliorare il servizio reso allo stesso.) e cookie analitici  che possono essere assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Non commettete l’errore di affidarvi completamente al tool che sceglierete di installare. Tutti i tool hanno dei bug, non riuscendo a bloccare inizialmente tutti i servizi che dovrebbero essere bloccati. Occorre quindi effettuare sempre una verifica delle corrette impostazioni di default. Come si fa? Attraverso la navigazione in incognito si raggiunge il sito e poi si verifica, cliccando sul lucchetto alla sinistra della barra degli indirizzi quali sono i cookie effettivamente installati; successivamente si ricollocano manualmente i cookie sfuggiti all’interno della propria area, informando il fornitore del servizio.

Il cookie banner

La prima cosa che deve immediatamente apparire in home page (e restare visibile anche quando si cambia pagina se non viene eseguita alcuna azione) al momento dell’accesso al sito è il cookie banner.

Può essere posizionato in qualsiasi parte della pagina, purché non ne renda difficile la visualizzazione e deve essere di dimensioni “adeguate”; questo ultimo spetto è di particolare importanza nella versione mobile dove la maggior parte dei cookie banner finisce per avere dimensioni che impediscono la navigazione del sito.

Questo perché il disclaimer non deve apparire come un cookie wall, ossia quel meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.

Il cookie banner deve essere impostato in modo tale che non scompaia cambiando pagina, a meno che non si effettui una scelta.

Ricordiamo che la scelta deve essere effettuata sempre attraverso un’azione esplicita e positiva e che dunque il semplice scrolling non è sufficiente a considerare prestato il consenso all’installazione dei cookie.

Solo previo consenso, poi, potranno essere installati i cookie di terze parti con funzione non tecnica e quindi i cookie analitici ed i cookie di profilazione. Come ormai noto, i cookie analitici di terze parti sono classificabili come cookie tecnici a determinate condizioni e quindi possono essere classificati come categoria ibrida.

Queste, quindi, le tre macrocategorie di cookie che devono comparire sul cookie banner. Ogni altra suddivisione viene effettuata dai diversi tools presenti sul mercato in ragione delle concrete finalità perseguite dai cookie stessi.

Si badi bene che il legittimo interesse non costituisce base giuridica idonea per l’installazione dei cookie e quindi occorre diffidare dai tools che lo ipotizzano. Nel caso quello che intendete utilizzare offra questa possibilità, non deve essere assolutamente attivata.

Iubenda, per esempio, è uno dei tool che consente in linea di massima di basare i cookie sul legittimo interesse e pertanto è fondamentale che nel caso si decida di utilizzare un tool come questo, ci si affidi a professionisti che possano dare delle indicazioni specifiche sulle impostazioni che devono/possono essere attivate o meno.

Cosa deve contenere il cookie banner?

Un pulsante per chiuderlo mantenendo le impostazioni di default. Detto pulsante deve essere sempre presente e può essere impostato attraverso l’uso di una X o l’indicazione esplicita di rifiuto.

Un pulsante per accettare tutti i cookie ed uno per selezionare le categorie di cookie che si vogliono installare. Nel caso di cookie di terze parti dovrà essere presente il link a sito della terza parte o del suo intermediario.

Un altro aspetto di notevole importanza è dato dal fatto che le scelte di dettaglio devono poter essere sempre modificate attraverso un link presente nel footer del sito.

Ciò premesso, possiamo dire che tutti i tool oggi in commercio consentono di adeguarsi più o meno facilmente alla normativa in vigore.

Abbiamo quindi analizzato alcuni dei tool che sentiamo nominare più spesso, basandoci sulla loro facilità di utilizzo e, per farlo, abbiamo visionato il sito istituzionale di riferimento e, ove possibile, un sito cliente che ha installato tale plugin.

L’analisi dei principali tool

  • Iubenda: il disclaimer che appare nel footer del sito è significativo: Gli Utenti sono quindi invitati a non fare affidamento sui documenti generati con Iubenda senza farsi assistere da un avvocato abilitato nell’ordinamento/negli ordinamenti di riferimento.”  In effetti, come detto in precedenza, è potenzialmente possibile configurare lo strumento facendo affidamento sul legittimo interesse, in violazione del GDPR. A parte questa premessa, il cookie banner è completo di tutti gli elementi. Abbiamo prestato il consenso all’installazione di tutti i cookie e abbiamo provato a revocarlo. Il footer del sito non ha un link dedicato ma cliccando il quadratino del “buco della serratura” si viene riportati alla scelta di dettaglio. Abbiamo quindi fatto la stessa analisi un sito che installa Iubenda e abbiamo notato che non è presente, in nessuna parte del footer un link per modificare i consensi. Né tantomeno è possibile farlo all’interno della cookie policy generata con questo sistema. Abbiamo approfondito la ricerca su un sito a cui abbiamo fatto una compliance (e che utilizza Iubenda) e, considerato che avevamo fornito loro le dovute indicazioni, abbiamo appurato che i clienti sono riusciti ad installare il pulsante di scelta di dettaglio. In definitiva, Iubenda è un tool che non basta a sé stesso ma richiede aiuto nella sua corretta implementazione. Risulta, peraltro, che il registro di salvataggio dei consensi (obbligatorio per legge) sia un pacchetto acquistabile a parte.
  • CookieYes ha un cookie banner completo ma non anche una facile gestione delle scelte successive. È presente una lista dettagliata dei cookie che vengono installati ma non anche il link al sito del fornitore e questo non è compliant alla normativa. L’analisi condotta su un sito che utilizza questo strumento è corrispondente alle risultanze trovate sul sito istituzionale.
  • Cookie Bot è completo e di facile utilizzo, come pure webtoffee che è il plugin che abbiamo scelto per il nostro studio. In entrambi i casi le scelte di dettaglio si reperiscono attraverso il link alla privacy policy.
  • LegalBlink è sicuramente il sistema migliore. Intanto è realizzato da un Avvocato e come diciamo sempre, una consulenza specifica è sempre molto importante; inoltre è l’unico strumento (tra quelli analizzati) che contiene un link apposito, diverso dal link alla cookie policy, dedicato alle scelte di dettaglio.

Indipendentemente dal plugin che intendiate scegliere e tenendo presente che difficilmente i cookie banner, oggi, non siano compliant, vediamo esattamente cosa succede dopo aver fatto una scelta.

Il plugin deve installare un registro di registrazione del consenso che consenta, in qualsiasi momento, di andare a verificare quali sono state le scelte di uno specifico utente e che consenta, inoltre, la non riproposizione del banner ad ogni successivo accesso.

Il plugin deve contenere anche un elenco dei cookie, che vengono installati, suddivisi per tipologia e che il titolare del sito deve inserire all’interno della cookie policy. Questo elenco deve essere sempre aggiornato attraverso una scansione costante dei cookie e deve contenere, come già detto, le caratteristiche del cookie (compresa la durata) ed il link alla pagina del fornitore.

Adeguamento a linee guida cookie: esempi pratici

Facciamo ora degli esempi pratici.

Un sito installa solo cookie di prima parte di tipo tecnico

In questo caso non dovrà presentare il cookie banner ma farne menzione all’interno dell’homepage o dell’informativa privacy.

Un sito installa cookie tecnici e analitici di prima parte

I cookie analitici di prima parte sono assimilabili ai cookie tecnici quando vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile e quindi valgono le considerazioni appena sopra riportate.

Un sito installa cookie tecnici e analitici di prima e terza parte

Se gli analitici di terza parte hanno le seguenti caratteristiche:

–             vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;

–              viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;

–              le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi.

Allora si comportano come i cookie tecnici e quindi non ci sarà bisogno di cookie banner neanche in questo caso, ma dovrà essere presente un’apposita informativa privacy o se ne dovrà fare menzione in homepage. In caso contrario dovrà apparire il cookie banner, dovrà essere presente il link all’informativa completa, quello per le scelte di dettaglio, il pulsante per accettarli tutti o chiudere senza accettarli e il link per la gestione delle preferenze nel footer del sito.

All’interno della cookie policy dovranno essere indicati i cookie con relativa durata e link al sito terzo che li installa. Inoltre, anche ai fini della non riproposizione del banner, dovrà essere installato un registro dei consensi che consenta di tenere traccia delle scelte operate dell’utente.

Un sito installa cookie tecnici, analitici di prima e terza parte e cookie di profilazione

In questo caso, dovrà apparire il cookie banner, dovrà essere presente il link all’informativa completa, quello per le scelte di dettaglio, il pulsante per accettarli tutti o chiudere senza accettarli e il link per la gestione delle preferenze nel footer del sito.

All’interno della cookie policy dovranno essere indicati i cookie con relativa durata e link al sito terzo che li installa. Inoltre, anche ai fini della non riproposizione del banner, dovrà essere installato un registro dei consensi che consenta di tenere traccia delle scelte operate dell’utente.

Quante categorie inserire all’interno del popup di scelta dei cookie?

Noi divideremmo i cookie in tecnici, analitici, di terze parti e di advertisement/marketing, includendo al loro interno le sottocategorie ma chiedendo un solo consenso per ogni macrocategoria.

Conclusioni

Anche gli Avvocati si affidano a dei plugin per la corretta gestione dei cookie perché ci sono degli accorgimenti tecnici importanti da mettere in atto.

Quale che sia il tool che intendete utilizzare, o anche nel caso del fai da te, non fate mai i seguenti errori:

  • basarvi sul legittimo interesse (anche se vi viene data questa possibilità)
  • non mettere il link di scelta dei cookie nel footer del sito
  • non bloccare i cookie diversi da quelli tecnici al momento dell’accesso al sito
  • usare lo scroll o un cookie wall
  • non avere un registro dei consensi
  • Da ultimo, è un errore non inserire un link al sito terzo che installa cookie.
WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4