Il problema della gestione dei cookie di un sito web è un tema delicato: se, da una parte, il proprietario del sito ha certamente già affrontato la questione al momento della sua apertura, dall’altra parte non è detto che quanto fatto sia ancora valido.
Mentre si attende il preannunciato arrivo del Regolamento e Privacy (attualmente ancora fermo alla proposta di disposizione), che abrogherà e sostituirà la precedente Direttiva 2002/58/CE (meglio nota come “Cookie Law”), alcune autorità nazionali hanno iniziato a proporre alcune nuove indicazioni sulle modalità di trattamento dei dati sul web. In particolare, nel luglio 2020 l’AEPD (Autorità spagnola) ha fornito le sue linee guida sull’utilizzo dei cookie, seguita a ottobre 2020 dalla CNIL (Autorità francese), con una comunicazione sulle linee guida di modifica e le sue raccomandazioni.
In ciascuna di queste istruzioni, le autorità ricordano i principali adempimenti, riguardanti trasparenza e liceità dei trattamenti. Il presupposto di base è che l’installazione di cookie su un dispositivo richiede il consenso dell’utente e, nonostante alcune eccezioni a tale obbligo (indicate già dal Gruppo di lavoro Art. 29 nel 2012 col WP194 sull’esenzione dal consenso per i cookie), si raccomanda invece sempre di informare l’utente sull’uso di cookie, tenendo conto delle finalità per cui vengono utilizzati. Ma il consiglio generale, ancor prima di proseguire con qualsiasi altro adempimento, è quello di effettuare una revisione periodica del proprio sito web, per identificare e analizzare i cookie utilizzati.
Indice
Quali informazioni fornire e come fornirle?
Le informazioni devono essere facilmente accessibili, e dev’essere evidente per l’utente dove e come reperirle. Evitare quindi la sovrabbondanza di informazioni, e fornirle quando necessarie al momento (e negli spazi) in cui occorrono.
Ciò non dovrà pregiudicare il fatto che l’informativa completa resti disponibile in un unico documento facilmente consultabile.
La soluzione più comune è l’utilizzo del banner contenente informazioni essenziali (il responsabile del sito web; le finalità dei cookie, con particolare attenzione alla profilazione; l’eventuale presenza di cookie di terze parti, indicazioni su come configurare l’uso dei cookie), e che rimanda alla cookie policy estesa, a sua volta collegata alla privacy policy con tutto quanto richiesto dall’Art. 13 GDPR.
Le comunicazioni devono in ogni caso essere semplici e concise, tenere conto del tipo di utente medio a cui si rivolge il sito, e adattare la lingua e il contenuto dei messaggi al loro livello tecnico. Si consiglia anche di evitare frasi fuorvianti (come “utilizziamo i cookie per migliorare la vostra navigazione”), o termini vaghi (come “può”, “potrebbe”, “alcuni”, “spesso”).
Quali regole sulla raccolta e la gestione del consenso?
Vi sono vari momenti per raccogliere il consenso dell’utente. Anche qui, le modalità più comuni sono il banner, spesso collegato a un pannello di configurazione in cui l’utente possa scegliere se accettare o meno i cookie. Nonostante ancora molti non siano aggiornati, è ormai chiaro che:
• perché il consenso possa essere considerato valido, serve un’azione chiara e positiva dell’utente: la semplice visualizzazione dello schermo, lo scorrimento (“scrolling”) o la navigazione del sito web NON sono considerati idonei;
• in nessun caso sono ammesse caselle premarcate di consenso;
• l’accesso alle funzionalità del sito NON può essere subordinato all’accettazione dell’utente all’uso dei cookie (c.d. “cookie wall”);
• i cookie devono poter essere accettati in forma granulare, raggruppandoli almeno in base alla loro finalità, ma evitando l’eccesso di scelte (ad es. selezione cookie per cookie). Se si utilizza un pulsante del tipo “Accetta tutti”, è necessaria anche l’alternativa “Rifiuta tutti”;
• il consenso dev’essere rinnovato a intervalli adeguati, mantenendo le preferenze (non solo l’accettazione, anche il rifiuto!) dell’utente per il periodo stabilito, evitando di richiederle ogni volta che l’utente visita la pagina.
Come gestire i rapporti con le terze parti?
La titolarità dei dati personali è sempre in capo ai soggetti che determinano le finalità e le modalità del trattamento. Nel caso dei cookie, il gestore di un sito web non è solo titolare dei dati trattati attraverso i propri cookie, ma conserva alcune responsabilità anche riguardo a quelli di terze parti: se vogliamo usufruire dei servizi di advertising di Facebook attraverso l’utilizzo del celebre “Pixel”, ad esempio, siamo noi che decidiamo di integrarlo nel nostro sito consentendo il trasferimento di dati dell’utente a Facebook. Come abbiamo visto sopra, perciò, dovremo garantire che l’utente sia informato e acconsenta all’uso del Pixel (tipicamente dall’interazione col banner). Non solo, dovremo anche metterlo nelle condizioni di conoscere le caratteristiche dei trattamenti effettuati successivamente e autonomamente da Facebook.
Queste attività comportano chiaramente alcune complicazioni: ad esempio, informare l’utente sui trattamenti attuati autonomamente dalle terze parti (che non controlliamo e che potrebbero mutare nel tempo), è un onere che potrebbe essere risolto rimandando semplicemente alle informative predisposte dalle terze parti stesse. Ma anche in questo caso, potrebbe essere difficile ricordarsi di verificare regolarmente che tutti i link siano corretti e funzionanti.
Alla luce di queste considerazioni, la soluzione più pratica ed efficace potrebbe essere quella di ricorrere a una “piattaforma di gestione del consenso” (o CMP – “Consent Management Platform”), una soluzione tecnica – da sfruttare comunque con consapevolezza e competenze anche normative – che permette di monitorare l’intero ciclo di registrazione, archiviazione, aggiornamento, ed eliminazione dei consensi, e tramite cui tutte le entità coinvolte potranno partecipare per adempiere ai propri doveri di adeguata informazione dell’utente.