Il 3 luglio 2019 l’ICO ha pubblicato la nuova Guida all’uso dei codici e dei cookie e tecnologie simili(Guida) che sostituisce la precedente guida sui cookie (aggiornata a maggio 2012) e integra le linee guida dell’ICO sui cookie nella suaGuida al PECR.
Attualmente, l’uso dei cookie è soggetto a due regimi sovrapposti: la normativa sulla privacy e sulle comunicazioni elettroniche (PECR) ed il GDPR (laddove i cookie comportano l’elaborazione di dati personali). Le attuali regole sono destinate a cambiare nel prossimo futuro con la proposta di nuovo regolamento sulla privacy elettronica, originariamente destinato ad entrare in vigore nel maggio 2018 contemporaneamente al GDPR. Tuttavia, al momento della stesura di questo documento, il progetto di regolamento sulla privacy elettronica non è ancora terminato e vedrà la luce entro il 2020. Ciò ha causato qualche incertezza sull’interazione tra PECR e GDPR. L’ICO ha, quindi, aggiornato le sue linee guida per chiarire la confusione post-GDPR in relazione ai cookie e per dissipare alcuni miti comuni.
La Guida chiarisce i requisiti per l’utilizzo di cookie o tecnologie simili come l’impronta digitale del dispositivo ed i pixel di tracciamento, con particolare attenzione al consenso e alla trasparenza. Conferma che il consenso GDPR si applica in relazione ai cookie. Ciò significa che l’utilizzo di cookie non essenziali deve essere basato su un consenso liberamente dato, specifico, informato e non ambiguo da parte dell’utente o dell’iscritto e deve essere confermato da una dichiarazione o da un’azione positiva. Gli utenti devono quindi intraprendere un’azione chiara e positiva per consentire l’uso di cookie non essenziali; le caselle pre-barrate o i loro equivalenti (come i cursori di default su “on”) non saranno sufficienti. Tuttavia, rimane la posizione che il consenso non è richiesto per i cookie “strettamente necessari”, vale a dire i cookie che sono veramente essenziali per fornire un servizio richiesto dall’utente. Il consenso implicito non è più accettabile (ad esempio il consenso implicito dall’uso continuato del sito Web).
I “cookie wall” che bloccano l’accesso generale ad un sito Web se il consenso non viene fornito non costituiscono un valido consenso, in quanto se l’utente non ha altra scelta che accettare i cookie, il consenso non sarà dato liberamente. Tuttavia, a volte può essere possibile utilizzare un cookie wall in relazione a specifici contenuti del sito Web in cui i cookie in questione sono necessari per fornire un particolare servizio online. La pre-abilitazione dei cookie non essenziali senza che l’utente intraprenda un’azione positiva prima che il cookie sia impostato non costituisce un consenso valido. La Guida fornisce l’esempio di un sito Web che imposta i cookie non essenziali sulla sua pagina di destinazione e include un meccanismo di consenso sui cookie che contiene la dicitura “Continuando a utilizzare il nostro sito Web, l’utente acconsente all’utilizzo dei cookie”. Il punto di vista dell’ICO è che questo non rappresenterà un valido consenso, anche se il meccanismo include anche un pulsante “Accetta” – perché i cookie sono già stati impostati nel momento in cui viene richiesto l’accordo dell’utente.
La posizione dell’ICO è che il consenso sui cookie dovrebbe essere separato da altre questioni e non dovrebbe essere impacchettato in termini e condizioni o in avvisi sulla privacy.
“Nudge behavior” non è accettabile, ad esempio quando viene dato maggiore risalto a “accept” / “accept” su “reject” / “block” (anche se è disponibile anche un’opzione “more information”).
Gli utenti dovrebbero essere invitati a riconfermare le loro preferenze a intervalli regolari. I fornitori di servizi online dovranno decidere un intervallo appropriato tra il momento in cui richiedono agli utenti di selezionare la loro preferenza (che sia il consenso o il rifiuto) anche decidere quando tale preferenza scade (dopo di che l’utente avrebbe bisogno di ricevere nuovamente l’opzione). Ad esempio, la maggior parte dei siti Web registrerà le decisioni degli utenti di accettare o rifiutare i cookie non essenziali utilizzando un cookie persistente separato, che scade dopo un certo periodo. Se il cookie persistente che registra le preferenze dell’utente scade prima della loro prossima visita, l’utente dovrebbe quindi acconsentire nuovamente se visita nuovamente il sito Web in futuro.
Nel caso in cui siano coinvolti dati personali, si potrebbe utilizzare una base giuridica diversa dal consenso (come l’interesse legittimo) per il successivo trattamento di tali dati dopo che i cookie sono stati inizialmente impostati. Tuttavia, l’ICO ritiene che il consenso sarà spesso la base giuridica più appropriata per l’elaborazione dei dati personali che segue o dipende dall’impostazione dei cookie. Ciò è particolarmente probabile se i dati sono condivisi con terze parti o utilizzati ai fini della profilazione e della pubblicità mirata.
Il PECR richiede alle organizzazioni di fornire “informazioni chiare e complete” sui cookie che utilizzano. L’ICO ha chiarito che questo è strettamente legato ai requisiti di trasparenza di GDPR e significa che un avviso sui cookie deve fornire lo stesso tipo di informazioni di un avviso sulla privacy. In particolare, un avviso sui cookie dovrebbe includere i dettagli dei cookie utilizzati e gli scopi dell’uso.
La nuova guida include maggiori dettagli rispetto alla precedente in relazione ai cookie di terze parti. Chiarisce che quando un sito web imposta cookie di terze parti, sia l’editore del sito Web sia la terza parte hanno la responsabilità di garantire che gli utenti siano chiaramente informati sui cookie e per ottenere il consenso (sebbene l’ICO riconosca che in pratica ciò sarà molto più difficile per la terza parte, dato che hanno scarso controllo diretto sull’interfaccia utente).
L’ICO incoraggia pertanto gli editori di siti Web e le terze parti che impostano i cookie per collaborare. In particolare:
- I siti web che utilizzano cookie di terze parti devono indicare chiaramente e specificamente chi sono le terze parti e spiegare che cosa faranno con le informazioni (dovrebbero essere evitati riferimenti vaghi a “partner” o “terze parti”).
- Le terze parti che desiderano impostare i cookie devono includere un obbligo contrattuale nei loro accordi con gli editori web, che richiedono all’editore web di fornire agli utenti informazioni sui cookie di terzi e di ottenere un valido consenso.
- Oltre a richiedere garanzie contrattuali, si consiglia inoltre a terze parti di impostare i cookie di adottare ulteriori misure per garantire che i consensi di cui dovranno fare affidamento siano stati validamente ottenuti dall’editore web.
Se un’organizzazione è presente su una piattaforma di social media, l’organizzazione avrà anche la responsabilità (come controllore congiunto insieme alla piattaforma di social media) rispetto agli utenti che visitano le pagine dell’organizzazione sulla piattaforma. Ciò include le situazioni in cui la piattaforma imposta i cookie sul dispositivo dell’utente quando visita la pagina dell’organizzazione. Oltre ai punti di cui sopra, la Guida fornisce anche chiarimenti su una serie di altre aree, tra cui i cookie di verifica, l’applicabilità extraterritoriale delle regole sui cookie, l’uso dei cookie di analisi e la durata dei cookie.
L’ICO ha indicato che intende adottare un approccio basato sul rischio e afferma nella Guida che è improbabile dare la priorità all’azione esecutiva in relazione ai cookie con un basso livello di intrusività e basso rischio di danni alle persone, il che è di conforto. Tuttavia, l’ICO afferma anche nella Guida che potrebbe prendere in considerazione l’adozione di misure laddove un’organizzazione si rifiuti di adottare misure per conformarsi, o utilizzi cookie intrusive sulla privacy senza adottare misure adeguate a fornire le informazioni richieste e ottenere un valido consenso.
Potresti aver già aggiornato i banner dei cookie e i meccanismi di consenso alla luce del GDPR. Tuttavia, la nuova guida fornisce chiarezza e certezza attese da lungo tempo circa l’interazione tra i requisiti del GDPR e dei cookie PECR e, per alcune organizzazioni, è probabile che sarà necessario più lavoro. L’ICO ha anche chiarito che si aspetta che le organizzazioni inizino ad adottare misure per conformarsi.
Be the first to comment