Cookie: cosa fare per adeguarsi alle nuove linee guida del Garante Privacy

Con l’entrata in vigore delle nuove linee guida del Garante Privacy su cookie e strumenti di tracciamento online, è diventato obbligatorio verificare la conformità del sito web e apportare le necessarie modifiche onde evitare l’applicazione di sanzioni da parte dell’Autorità (dai 6.000 ai 36.000 euro, in caso di omessa o inidonea informativa; dai 10.000 ai 120.000 euro, in caso di installazione di cookie senza il consenso dell'interessato).

In questo approfondimento vedremo cosa fare per essere a norma con le nuove prescrizioni.

Fase di analisi

1. analisi del sito web cercando di capire quali e quanti cookie sono installati
2. lista dei cookie rinvenuti e loro raggruppamento per macro categorie: cookie tecnici (ossia quelli che servono al funzionamento del sito, come ad esempio quelli di sessione); cookie di profilazione (ossia quelli che consentono la profilazione degli utenti)
3. verifica se il sito utilizza anche altri “identificatori non tecnici”, ossia una di quelle tecnologie per il monitoraggio degli utenti che però si basano su meccanismi diversi, come ad esempio il fingerprinting
4. attenta analisi dell’uso di servizi di terze parti che consentono l’avvio, in pochi click, di siti web, blog o e-commerce: in questo caso il controllo su di essi è molto difficile, cosa che non permette di impostare correttamente i blocchi dei cookie o di redigere una cookie policy cucita su misura.
   Tenete presente che, in caso di controlli, sarete comunque voi a rispondere di eventuali violazioni della normativa quali Titolari del trattamento dei dati che raccogliete tramite di essi.

Stesura della policy sui cookie

La cookie policy deve avere le stesse caratteristiche formali delle altre informative, così come stabilito dal GDPR.
Dunque, dovranno essere indicate:

1. le generalità del Titolare del trattamento dei dati
2. il nominativo del Data Protection Officer (Responsabile della Protezione dei Dati) e i suoi dati di contatto, se nominato
3. l’elenco dei cookie installati dal sito suddivisi per categoria
4. l’elenco degli identificatori non tecnici e loro breve descrizione
5. l’elenco dei diritti degli interessati come indicati dal GDPR, e le modalità per esercitarli

L’informativa sui cookie deve essere sempre aggiornata, ma soprattutto sempre raggiungibile da ogni utente attraverso un link persistente in ogni pagina.

Banner di avvertimento sui cookie

Se utilizzate cookie di profilazione o altri identificatori non tecnici, dovrete far apparire sul sito un banner che avverta l’utente del loro utilizzo.
Il banner deve presentare colori in contrasto rispetto al sito web in modo da non essere confuso con esso, deve contenere un pulsante per accettare l’installazione dei cookie non tecnici, deve contenere il link all’informativa privacy e cookie e deve contenere anche un pulsante, come una “X”, che consenta di chiuderlo senza accettare l’installazione dei cookie non tecnici.

Blocco dei cookie

Per impedire che il sito web installi sul computer dell’utente i cookie tecnici senza che costui abbia preliminarmente manifestato il suo consenso, sarà necessario predisporre uno script ad hoc.
Bisognerà inoltre mettere a disposizione dell’utente uno strumento per poter revocare il consenso eventualmente prestato e ricordargli, a colpo d’occhio, quali tipologie di cookie ha accettato.

Registrazione dei consensi

Ultimo importante adempimento è quello di registrare i consensi raccolti (o revocati) dagli utenti in un apposito database, di modo da poter dimostrare e documentare, in caso di controlli da parte delle Autorità, di aver rispettato l’effettiva volontà dell’utente.