IL GARANTE SI È PRONUNCIATO: ECCO LE NOVITA’


Perché queste linee guida?


Era da tempo che aspettavamo queste linee guida; infatti dopo l’entrata in vigore del GDPR molti di noi si sono chiesti se le vecchie linee guida del Garante, risalenti al 2014, fossero ancora valide.

Il GDPR sul punto ha liquidato rapidamente la faccenda, disponendo che le linee guida e i provvedimenti dell’Authority, precedenti all’entrata in vigore del GDPR, sarebbero rimasti validi solo e nella misura in cui non andassero in contrasto con le nuove norme del GDPR.

Questo ci ha costretti a fare un intenso lavoro di interpretazione, per capire cose andasse ancora bene fare e cosa, invece, doveva cambiare.

Ciò ha creato non pochi dubbi e conseguenti applicazioni poco uniformi: chi ha adottato una linea più rigorosa, dando spazio ai nuovi banner comparsi sul mercato, ricchi di spunte e di pulsanti di scelta; e chi invece, più sbrigativamente, ha lasciato il banner più o meno com’era, avvisando semplicemente l’utente che la prosecuzione della navigazione (scrolling) implicava l’accettazione dell’universo intero dei cookies presenti sul sito, senza distinzioni di sorta. 

Dopo 3 anni, finalmente, il nostro Garante si è espresso e lo ha fatto con un documento molto pratico ed attuale, che racchiude i principi e le linee guida da seguire per utilizzare i cookies in modo corretto sui nostri siti.

Ecco cosa c’è di nuovo.

I Cookies: cosa sono?


Per quanto ci serve oggi, teniamo bene a mente che i cookies di profilazione e di marketing sono le tipologie di cookies (assieme alle le tecnologie simili) che servono per tracciare gli utenti che navigano in rete, al fine di indirizzare loro pubblicità mirata, comportamentale e personalizzata.

Sono un pò come una microspia che si installa silenziosamente e ti segue per un certo periodo di tempo (ad esempio si attivano quando torni su quel sito e si “ricordano” magari che avevi lasciato un carrello pieno abbandonato, suggerendoti di concludere l’ordine).

E’ facile capire perché la legge ponga tanta attenzione a questi tipi di cookies: si installano in modo silenzioso senza che l’utente se ne accorga, tengono traccia delle azioni compiute in rete dal navigatore e, infine, lo riagganciano proponendogli annunci pubblicitari mirati e altamente personalizzati.

Ti faccio un esempio: se stai cercando un asciugacapelli su Google e poi, navigando sui social ti compare un annuncio personalizzato che ti ripropone proprio lo stesso prodotto, ecco: quello è un cookie di profilazione che ha fatto il suo mestiere. 

La cosa potrebbe farti piacere (magari avevi sospeso la procedura di acquisto perché ti è suonato il telefono e questo reminder ti è utile per concludere l’acquisto), ma potrebbe anche infastidirti (magari non volevi davvero acquistare ma eri solo curios* di dare un’occhiata; che ora questo prodotto ti venga mostrato per un pò di tempo, qualunque cosa tu faccia in rete, potrebbe alquanto disturbarti) o potrebbe addirittura turbarti (ma come fa questo coso elettronico a sapere tutto quello che faccio in rete? E chi altro può saperlo?)

I cookies possono essere controllati in due modi: o attraverso le impostazioni del browser di navigazione o attraverso un sistema tecnico informatico che faccia da barriera, impedendo che i cookies si attivino e si installino sul browser del navigatore che non li vuole o comunque prima che abbia espresso una scelta informata e libera.

Cosa serve per usare correttamente i cookies?


Ecco perché quasi tutti i siti sono dotati di un banner che compare, di solito in alto, richiamando l’attenzione dell’utente sul fatto che quel sito fa uso di determinati cookies.

Il banner è uno strumento tecnico informatico per rendere un’informativa sintetica e per richiamare l’attenzione dell’utente che naviga sul sito. Poi l’informativa viene completata in modo più preciso ed articolata, nella cosiddetta informativa estesa.

Il contenuto dell’informativa è molto importante: deve comprendere tutti gli elementi di base previsti dagli artt. 13 e 14 del GDPR.

Può essere separata dalla Privacy policy, oppure integrata con essa.

Di solito il mio consiglio è di fare così: se il testo dell’informativa diventa molto lungo e complesso, meglio spezzarlo in diversi documenti o capitoli distinti, per ogni finalità di trattamento (ad esempio: l’informativa per iscriversi alla Newsletter, l’informativa per i contatti, l’informativa sui cookies), oppure può essere utile strutturare l’informativa con tecniche multilayer, per rendere la lettura semplice e comprensibile.

Largo spazio può essere dato da un’informativa resa in modo graficamente accattivante, sotto forma di video o di fumetto: tutto ciò che rende le informazioni chiare e facilmente comprensibili è non solo ben accetto nell’universo privacy, ma fortemente incoraggiato.

Se invece l’informativa, nel suo complesso, è sufficientemente completa ma non lunga e complicata, allora va bene anche farla unica.

L’importante è sempre valutare caso per caso, anche tenendo a mente chi è il target di riferimento (se sono minori, ad esempio, è richiesta un’attenzione e cura in più nel linguaggio).

Per i cookies di profilazione e di marketing, poi, è necessario chiedere ed ottenere un consenso all’utente, un consenso che deve essere libero ed inequivocabile.

Il consenso va chiesto prima, non dopo: ecco perché entra in gioco la necessità di ricorrere a soluzioni tecnico informatiche che blocchino i cookies prima che l’utente abbia espresso la sua scelta. Per capirci, ci vuole qualcosa che impedisca ai cookies di attivarsi e non basta solo mostrare il banner, se nel frattempo le “microspie” sono già in azione. 

Insomma il banner dovrebbe fungere anche da barriera, come i caselli autostradali.

Il consenso deve essere libero, quindi non condizionato e non carpito inconsapevolmente dall’utente. Perciò deve essere integrato da un’azione positiva che il titolare del sito deve poter essere in grado di dimostrare in ogni momento.

Post simili