La recente entrata in vigore delle Linee Guida in materia di cookies e tecnologie traccianti del Garante per la Protezione dei Dati Personali ha aperto numerosi interrogativi: quando un sito internet può dirsi conforme? E soprattutto, quali sono le attività che il gestore del sito deve compiere per dirsi conforme?
Qui di seguito cerchiamo di fare un po’ di chiarezza con una breve procedura operativa, utile per guidare l’utente nella gestione del suo sito internet.
1- Analisi del sito internet: verifica dei cookies presenti
Il punto di partenza per una gestione a norma è l’analisi del sito internet, volta alla verifica dei cookies già presenti nello stesso.
Materialmente, basterà cancellare la cronologia cookies dal proprio motore di ricerca, collegarsi al sito internet e verificare i cookies che vengono identificati dal browser (di solito utilizzando i menu “Ispeziona elemento” o “Sviluppo”).
In questo modo, il gestore sarà in grado di avere una panoramica sugli strumenti traccianti e i cookies effettivamente presenti sul proprio sito internet, e sarà anche in grado di analizzarli uno per uno, valutando l’opportunità o la necessità di mantenere attivi tali strumenti, o eventualmente di sostituirli con altri cookies.
L’analisi diventa quindi fondamentale anche per la costruzione del sito internet, in quanto permette al gestore di conoscere e selezionare secondo le sue necessità i cookies più utili.
2- Categorizzazione dei cookies
L’analisi del sito è necessaria anche per permettere al gestore, una volta individuati i cookies per lui necessari, di categorizzarli, e dunque di identificare le funzioni di ogni singolo cookie che si intende installare tramite il sito.
Poniamo il caso che il nostro gestore voglia utilizzare il suo sito internet anche per attività di marketing e profilazione: individua per questa finalità il Pixel di Facebook, denominato “_fbp”. Tale strumento deve essere correttamente identificato nel sito, e inserito nella categoria dei cookies di profilazione e tracciamento, considerato che “_fbp” ha, come funzione principale, quella di tenere traccia delle visite sui siti web per fornire una serie di prodotti pubblicitari, come le offerte in tempo reale di inserzionisti di terze parti.
L’operazione è fondamentale, considerato anche che il gestore dovrà dare una specifica descrizione di tutte le tecnologie traccianti utilizzate all’interno del banner. Considerata la diffusione di strumenti automatizzati per la categorizzazione, si anticipa la produzione di un successivo contributo sul tema, per fornire ulteriori indicazioni operative utili.
3- Definizione del banner
Una volta definiti i cookies utili e dopo averli raggruppati nelle categorie di riferimento in base alle loro funzioni, il titolare del trattamento dovrà provvedere all’adozione di uno specifico banner, sezione grafica che dovrà necessariamente riportare alcune informazioni, e in particolare:
- l’indicazione che il sito utilizza cookies tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
- il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
- l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
- Oltre a queste prime essenziali informazioni, il banner dovrà poi contenere:
- il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione, mantenendo le impostazioni di default;
- un comando per accettare tutti i cookie o altre tecniche di tracciamento;
- il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Quest’area rappresenta, di fatto, le operazioni di categorizzazione effettuate nel punto 2: in questo spazio, il gestore dovrà suddividere i cookies per categorie di appartenenza, descrivendo per ognuno di loro il nome identificativo e le funzioni specifiche (funzioni che dovranno essere coerenti con la categoria di appartenenza, motivo per cui il gestore non potrà inserire il cookie “_fbp” tra i cookies analitici, ma più correttamente tra i cookies di profilazione e tracciamento).
4 – Blocco dei cookies per i quali l’utente non abbia acconsentito
Una volta definiti i cookies, sarà necessario, dal punto di vista tecnico, impedire al sito internet di installare automaticamente tutti quei cookies che sono sottoposti a consenso, laddove il consenso venga negato oppure non rilasciato, semplicemente con la chiusura della finestra del banner (che, si ricorda, non determina la registrazione di un mancato consenso, ma semplicemente l’operatività delle impostazioni di default, che devono tenere attivi solamente i cookies tecnici e necessari). Il gestore del sito dovrà in questo caso fare particolare attenzione, al fine di evitare che le cautele predisposte tramite la fase di categorizzazione e della formazione del banner vengano bypassate da impostazioni tecniche non conformi.
5 – Definizione della cookie policy
Una volta definito il banner, e soprattutto una volta definita l’area di categorizzazione dei cookies, il titolare del trattamento dovrà gestire e redigere la cookie policy completa, secondo quanto previsto dall’art. 13 Reg. (UE) 2016/679. In particolare, il gestore dovrà essere in grado di definire le finalità di ogni singolo cookie utilizzato, gli eventuali altri soggetti destinatari dei dati personali trattati tramite tali strumenti e i tempi di conservazione delle informazioni.
L’informativa estesa dovrà essere raggiungibile a mezzo del link nel banner, e, come specificato recentemente dal Garante, potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).
6- Rendicontazione dei consensi
Come anticipato nell’articolo “[GDPR e Cookies] Il (falso) mito del registro dei consensi”, Il titolare del trattamento è chiamato oggi a implementare meccanismi specifici tali da consentirgli di dimostrare di aver correttamente ottenuto il consenso dell’utente in tutti i casi di utilizzo di cookies di profilazione, tracciamento, o cookies di terze parti che per le loro funzionalità non possano inserirsi nella categoria di cookies analitici. Il gestore del sito, in particolare, dovrà essere in grado di fornire prova a livello individuale della raccolta del consenso dell’utente e di dimostrare che il meccanismo di raccolta del consenso ha tutte le caratteristiche tali da garantire la validità del consenso stesso (libero, specifico, informato e inequivocabile), fornendo così la prova della validità complessiva del processo di raccolta. Per ulteriori spunti operativi in merito di raccolta e rendicontazione del consenso, si consiglia la lettura del contributo sopra richiamato.
7- Attività di monitoraggio e controllo
Il gestore del sito dovrà infine tenere monitorato il sito web, provvedendo ad analisi periodiche di verifica al fine di controllare che le impostazioni date siano mantenute.
Le operazioni descritte, poi, dovranno essere ripetute ogniqualvolta il titolare del trattamento decida di utilizzare nuovi cookies o tecnologie traccianti, per poter provvedere in modo corretto agli aggiornamenti del banner e della cookie policy, in conformità con quanto previsto dalle Linee Guida.