Apri Menu Chiudi Menu
No Lock-in
Soluzioni "con" o "senza"? A noi piacciono quelle senza lock-in:  liberi di scegliere

Linee guida cookie e altri strumenti di tracciamento

Linee guida cookie e altri strumenti di tracciamentoIl 10/01/2021 è entrata in vigore la modifica alla normativa sulla privacy emanata dal Garante, cosa è cambiato rispetto a prima? Facile e immediata la domanda, un po' più articolata la risposta, iniziamo infatti con il dire "dipende". La modifica alla normativa non stravolge le indicazioni di gestione della privacy degli utenti ma le rende ancora più efficaci nella protezione dei dati di questi.(...)

Le indicazioni delle modifiche vanno nella direzione di aggiornare la normativa all'attuale situazione di uso dei dispositivi di connessione e di rimuovere le principali soluzioni adottate da tanti siti (anche di grosse realtà) per cercare in qualche modo aggirare la normativa del GDPR, se non nella sostanza spesso nella ragione della legge.

I tentativi di aggiramento della normativa sui cookie fino ad ora sono stati fondamentalmente 4, ed ora sono stati ulteriormente normati per impedirne il ricorso:

  1. cookie wall, la schermata che impediva di proseguire se non accettando i cookie, con la falsa motivazione che fossero necessari per proseguire nella navigazione e che l'owner del sito avesse il diritto di impedire la navigazione in assenza dell'accettazione. 
  2. scrolling della pagina, l'accettazione dei cookie era attivata implicitamente dallo scorrimento della finestra del browser, cosa che non rispettava la volontarietà di accettazione del cookie 
  3. legittimo interesse, con questa dicitura era "giustificato" l'uso di qualsiasi tipo di cookie, come se solo il fatto che un dato avrebbe potuto essere interessante per l'owner di un sito o di un servizio giustificasse la legittimità del trattamento
  4. reiterazione della richiesta, attuata in caso di diniego, perché sembrava impossibile tenerne traccia, mentre in caso di accettazione diventava subito tecnicamente possibile trattenere questo dato per i secoli a venire

Visto cosa non è più possibile fare, torniamo alla risposta "dipende" ok, ma da cosa? In sostanza dal tipo di uso che viene fatto dei dati degli utenti, semplice e lineare. I casi più chiari e semplici da definire sono i casi limite, mentre nei casi intermedi sono più difficili da determinare. Ma andiamo con ordine:

a. Caso uso di cookie SOLO tecnici
Se i cookie sul vostro sito sono utilizzati solo per la gestione delle sessioni di navigazione, per tener traccia di eventuali azioni fatte dell'utente come il clic su un dato tab, o l'aver già visto una data informazione, oppure se utilizzate cookie statistici gestiti direttamente da voi (NON da terze parti) tecnicamente non dovete fare nulla se non dare informazione di tutto ciò nella apposita pagina sui cookie o privacy in cui chiarite che i cookie sono solo tecnici e utilizzati direttamente da voi per il monitoraggio del buon funzionamento del sito.

b. Caso uso cookie per fini di tracciamento
In questo caso dovete fornire un apposito banner a comparsa (ma non a scomparsa totale) che informi in modalità breve sulla necessità di effettuare una scelta relativa al tracciamento via cookie. Le opzioni a disposizione dell'utente devono essere:

  • il rifiuto totale dei cookie
  • l'accettazione totale dei cookie
  • la possibilità di approfondire l'informazione sull'uso dei cookie
  • la verifica delle decisioni prese sulla gestione dei cookie
  • la gestione per gruppi di funzione dei cookie

I primi quattro sono autoesplicativi. Il quinto punto richiede che in presenza di cookie tecnici e di tracciamento deve essere possibile accettare/rifiutare per gruppo i cookie, quindi l'utente deve poter decidere di accettare i cookie che servono per le funzionalità di navigazione utili e rifiutare quelli che sono invece legati al tracciamento e alla profilazione. 

Fra questi due casi estremi c'è il caso intermedio, più complesso da valutare, quello in cui ci siano dei cookie statistici, i così detti Analytics, che possono essere utilizzati tanto per fini "tecnici" quanto per fini di "tracciamento".

In questo caso va valutato l'uso che effettivamente viene fatto dei dati raccolti dai cookie e in seconda battuta chi effettua questa raccolta e per finire a che scopo. Ecco perché il caso intermedio è il più complicato da valutare.

Se le statistiche sono raccolte e gestite in proprio, come visto, si rientra in pieno nel caso A, se sono trattate da 3° parti, in particolare per creare automatismi relativi al profilo dell'utente, deve venir oscurato l'ultimo quartetto di cifre degli IP degli utenti in modo da non poter risalire a un singolo IP che potrebbe identificare una singola persona, ma alla classe di 256 IP, quindi un tracciamento più generale.

Al di la' dei singoli casi quello che andrebbe fatto in questo momento, se non lo si è ancora fatto, è una revisione dei cookie settati dal proprio sito, dei dispositivi di accettazione/rifiuto di questi e dei testi di spiegazione dell'uso dei cookie sul sito. Per un approfondimento sul sito del Garante ci sono direttamente le Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021.