Le regole riferite ai cookie, in realtà, si estendono a qualsiasi tecnologia o metodo che determina l’accesso o l’inserimento alle informazioni presenti nel dispositivo dell’utente oppure che realizza il tracciamento della navigazione in rete; come i “Local Shared Objects” (chiamati anche “Flash cookies”), “local storage” implementati all’interno dello standard HTML 5, le identificazioni tratte dal calcolo dell’impronta del terminale o “fingerprinting”, identificatori generati dai sistemi operativi (pubblicitari o meno: IDFA , IDFV, ID Android, ecc.), identificatori hardware (indirizzo MAC, numero di serie o qualsiasi altro identificatore di un dispositivo), insieme ad altre tecnologie come le app su smartphone, tablet, le smart TV o altri dispositivi analoghi.

Le principali regole in materia possono riassumersi come segue.

INFORMA GLI UTENTI

Informa il visitatore del sito web, in modo chiaro e comprensibile, sull’uso reale dei cookie e sulle specifiche diverse finalità dei cookie. Gli utenti devono essere in grado di comprendere le potenziali conseguenze dell’accettazione dei cookie. L’adeguata informazione incide sulla validità del consenso ottenuto.

Tutti i titolari vanno identificati nominativamente, con collegamento alla rispettiva policy privacy aggiornata (adempimento non irrilevante per talune modalità di pubblicità digitale con intervento di intermediari).

PRIMA CHIEDI IL CONSENSO

Blocca i cookie fino a quando l’utente non ha dato il consenso: prescrizione più facile a dirsi che a farsi, considerato che, secondo uno studio trasversale di quattro anni sull’impatto della direttiva ePrivacy aggiornata sul posizionamento dei cookie, il 49% dei siti Web ha inserito cookie prima di ricevere il consenso (M. Trevisan, S. Traverso et al., 2019, 4 Years of EU Cookie Law: Results and Lessons Learned).

IL CONSENSO È INEQUIVOCABILE

Il consenso dell’utente va manifestato con un’azione distinta dall’attività che l’utente svolge per la navigazione, cioè per l’uso del sito web o dell’app; a questo riguardo l’architettura della piattaforma può incidere significativamente sulla conformità legale.

Caselle di assenso preselezionate sono invalide, mentre la selezione di una casella o di un apposito collegamento ipertesto (link) possono essere una manifestazione inequivocabile, se adeguatamente informata (da cui l’importanza di un’informativa chiara e comprensibile).

Per i cookie più intrusivi per la privacy, come quelli utilizzati per il tracciamento comportamentale, è necessario prestare particolare attenzione per garantire un consenso chiaro e specifico.

AGEVOLA LA LIBERA SCELTA

Insieme all’opzione di accettazione vi deve essere anche quella di rigetto.

Accanto al pulsante per l’opzione “accetto tutti” deve essere disponibile anche il pulsante “rigetto tutti”.

L’eventuale opzione che permette di accettare tutti i cookie è valida solo se si consente all’utente anche di scegliere in merito ai singoli cookie per ciascuna finalità; la scelta granulare può essere inserita ad un livello inferiore del precedente.

Anche la presentazione visiva delle opposte opzioni (“accetto”/“rigetto”) deve risultare equanime (disponibile, visibile, di pari prominenza) e non indurre in errore l’utente.

AGEVOLA LA MODIFICA O REVOCA

La modifica o la revoca del consenso deve essere altrettanto agevole del suo conferimento (l’utente deve poter cambiare idea facilmente, avendo a disposizione mezzi per selezionare o deselezionare cookies non essenziali).

Se il consenso può essere espresso con semplici azioni, in senso analogo dovrà potersi revocarlo: se dare il consenso è facile come fare clic su un pulsante nella pagina di destinazione, il ritiro del consenso deve essere altrettanto semplice; se il consenso è prestato su un unico livello ed in un’unica pagina, l’opzione di revoca non potrà essere contenuta in livelli sottostanti o su altre pagine web.

RISPETTA E RICORDA LE SCELTE DEGLI UTENTI

In sintesi quella che segue è una basilare lista di controllo per il legittimo uso di cookie e di altre tecnologie di tracciamento:

  •  Assicurati il controllo di quali sono i cookie che sono impostati dalla piattaforma
  •  Sii certo che la piattaforma imposta solo i cookie a cui il visitatore abbia acconsentito
  •  Controlla la correttezza degli script che impostano i cookie e delle modalità di esecuzione (cioè verifica che l’esecuzione degli stessi avvenga solo quando è stato raccolto un valido consenso)
  •  Assicurati di registrare e memorizzare il consenso di ogni utente e di essere pronto a documentare, in modo attendibile tramite un registro dei consensi, ogni consenso, revoca o rifiuto nel caso di richiesta di un’autorità per la protezione dei dati
  •  L’attendibilità della prova è garantita da misure che assicurino validazione (time stamp), integrità, immodificabilità, disponibilità delle pertinenti registrazioni.