[GDPR e Cookies] Una procedura operativa

La recente entrata in vigore delle Linee Guida in materia di cookies e tecnologie traccianti del Garante per la Protezione dei Dati Personali ha aperto numerosi interrogativi: quando un sito internet può dirsi conforme? E soprattutto, quali sono le attività che il gestore del sito deve compiere per dirsi conforme?

Qui di seguito cerchiamo di fare un po’ di chiarezza con una breve procedura operativa, utile per guidare l’utente nella gestione del suo sito internet.

1- Analisi del sito internet: verifica dei cookies presenti

Il punto di partenza per una gestione a norma è l’analisi del sito internet, volta alla verifica dei cookies già presenti nello stesso.

Materialmente, basterà cancellare la cronologia cookies dal proprio motore di ricerca, collegarsi al sito internet e verificare i cookies che vengono identificati dal browser (di solito utilizzando i menu “Ispeziona elemento” o “Sviluppo”).

In questo modo, il gestore sarà in grado di avere una panoramica sugli strumenti traccianti e i cookies effettivamente presenti sul proprio sito internet, e sarà anche in grado di analizzarli uno per uno, valutando l’opportunità o la necessità di mantenere attivi tali strumenti, o eventualmente di sostituirli con altri cookies.

L’analisi diventa quindi fondamentale anche per la costruzione del sito internet, in quanto permette al gestore di conoscere e selezionare secondo le sue necessità i cookies più utili.

2- Categorizzazione dei cookies

L’analisi del sito è necessaria anche per permettere al gestore, una volta individuati i cookies per lui necessari, di categorizzarli, e dunque di identificare le funzioni di ogni singolo cookie che si intende installare tramite il sito.

Poniamo il caso che il nostro gestore voglia utilizzare il suo sito internet anche per attività di marketing e profilazione: individua per questa finalità il Pixel di Facebook, denominato “_fbp”. Tale strumento deve essere correttamente identificato nel sito, e inserito nella categoria dei cookies di profilazione e tracciamento, considerato che “_fbp” ha, come funzione principale, quella di tenere traccia delle visite sui siti web per fornire una serie di prodotti pubblicitari, come le offerte in tempo reale di inserzionisti di terze parti.

L’operazione è fondamentale, considerato anche che il gestore dovrà dare una specifica descrizione di tutte le tecnologie traccianti utilizzate all’interno del banner. Considerata la diffusione di strumenti automatizzati per la categorizzazione, si anticipa la produzione di un successivo contributo sul tema, per fornire ulteriori indicazioni operative utili.

3- Definizione del banner

Una volta definiti i cookies utili e dopo averli raggruppati nelle categorie di riferimento in base alle loro funzioni, il titolare del trattamento dovrà provvedere all’adozione di uno specifico banner, sezione grafica che dovrà necessariamente riportare alcune informazioni, e in particolare:

  • l’indicazione che il sito utilizza cookies tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
  • il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
  • l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
  • Oltre a queste prime essenziali informazioni, il banner dovrà poi contenere:
  • il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione, mantenendo le impostazioni di default;
  • un comando per accettare tutti i cookie o altre tecniche di tracciamento;
  • il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Quest’area rappresenta, di fatto, le operazioni di categorizzazione effettuate nel punto 2: in questo spazio, il gestore dovrà suddividere i cookies per categorie di appartenenza, descrivendo per ognuno di loro il nome identificativo e le funzioni specifiche (funzioni che dovranno essere coerenti con la categoria di appartenenza, motivo per cui il gestore non potrà inserire il cookie “_fbp” tra i cookies analitici, ma più correttamente tra i cookies di profilazione e tracciamento).

4 – Blocco dei cookies per i quali l’utente non abbia acconsentito

Una volta definiti i cookies, sarà necessario, dal punto di vista tecnico, impedire al sito internet di installare automaticamente tutti quei cookies che sono sottoposti a consenso, laddove il consenso venga negato oppure non rilasciato, semplicemente con la chiusura della finestra del banner (che, si ricorda, non determina la registrazione di un mancato consenso, ma semplicemente l’operatività delle impostazioni di default, che devono tenere attivi solamente i cookies tecnici e necessari). Il gestore del sito dovrà in questo caso fare particolare attenzione, al fine di evitare che le cautele predisposte tramite la fase di categorizzazione e della formazione del banner vengano bypassate da impostazioni tecniche non conformi.

5 – Definizione della cookie policy

Una volta definito il banner, e soprattutto una volta definita l’area di categorizzazione dei cookies, il titolare del trattamento dovrà gestire e redigere la cookie policy completa, secondo quanto previsto dall’art. 13 Reg. (UE) 2016/679. In particolare, il gestore dovrà essere in grado di definire le finalità di ogni singolo cookie utilizzato, gli eventuali altri soggetti destinatari dei dati personali trattati tramite tali strumenti e i tempi di conservazione delle informazioni.

L’informativa estesa dovrà essere raggiungibile a mezzo del link nel banner, e, come specificato recentemente dal Garante, potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

6- Rendicontazione dei consensi

Come anticipato nell’articolo “[GDPR e Cookies] Il (falso) mito del registro dei consensi”, Il titolare del trattamento è chiamato oggi a implementare meccanismi specifici tali da consentirgli di dimostrare di aver correttamente ottenuto il consenso dell’utente in tutti i casi di utilizzo di cookies di profilazione, tracciamento, o cookies di terze parti che per le loro funzionalità non possano inserirsi nella categoria di cookies analitici. Il gestore del sito, in particolare, dovrà essere in grado di fornire prova a livello individuale della raccolta del consenso dell’utente e di dimostrare che il meccanismo di raccolta del consenso ha tutte le caratteristiche tali da garantire la validità del consenso stesso (libero, specifico, informato e inequivocabile), fornendo così la prova della validità complessiva del processo di raccolta. Per ulteriori spunti operativi in merito di raccolta e rendicontazione del consenso, si consiglia la lettura del contributo sopra richiamato.

7- Attività di monitoraggio e controllo

Il gestore del sito dovrà infine tenere monitorato il sito web, provvedendo ad analisi periodiche di verifica al fine di controllare che le impostazioni date siano mantenute.

Le operazioni descritte, poi, dovranno essere ripetute ogniqualvolta il titolare del trattamento decida di utilizzare nuovi cookies o tecnologie traccianti, per poter provvedere in modo corretto agli aggiornamenti del banner e della cookie policy, in conformità con quanto previsto dalle Linee Guida.

Valentina De Nicola

Valentina De Nicola

Nata a Venezia, si è laureata presso l’Università degli studi di Padova presentando una tesi in diritto penale d’impresa dal titolo “Gruppo d’impresa e D.Lgs. 231/2001: problemi e prospettive”. Dopo la laurea ha svolto il praticantato ed è stata abilitata al patrocinio, continuando ad approfondire il tema dei modelli organizzativi che l’hanno progressivamente avvicinata alla materia della data protection. È stata privacy consultant presso una primaria società di consulenza, sviluppando progetti di compliance per società private e pubbliche amministrazioni. È stata abilitata alla professione forense nel 2019, ed è iscritta all'Albo degli Avvocati di Venezia dal 2021, è certificata privacy specialist secondo la norma UNI ISO 11697:2017 presso AICQ SICEV, e sta continuando il suo percorso di specializzazione ultimando il Master di II livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università di Roma Tre; è interessata allo sviluppo di sistemi di gestione aziendali e nel tempo libero si dedica alla musica e alla lettura.