Le nuove linee guida del Garante privacy sui cookie introducono obblighi onerosi per i gestori dei siti Internet che Giulio Coraggio, responsabile del settore technology dello studio legale DLA Piper, ha analizzato.
La trascrizione del podcast è disponibile a questo LINK e potete iscrivervi alla newsletter, Innovation Law Insights, inviando un'email a eventi@dlapiper.com
Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology dello studio legale DLA Piper, e questo è il podcast "Diritto al Digitale".
Oggi parliamo delle nuove linee guida del garante sui cookie che introducono alcune interessanti novità. Prima di tutto l'ambito di applicazione. Non si applica soltanto ai cookie, ma tutte a tutte le forme di tracciamento online, ivi compreso il fingerprinting.
Si mantiene la categorizzazione tra cui i cookie tecnici e di profilazione e i tecnici comprendono i cookie analytics, se viene adottata una forma di mascheramento dell'indirizzo IP. quindi confermando l'orientamento precedente.
La famiglia dei cookie di profilazione viene estesa perché vanno a comprendere tutti i cookie che non possono essere considerati tecnici, quindi tutti i cookie che non sono necessari al funzionamento dei servizi richiesti dall'utente.
Rispetto alla modalità di acquisizione del consenso, si mantiene la possibilità di utilizzare solo il consenso con scroll down. I requisiti applicabili sono veramente molto stringenti però, bisogna dimostrare che ci sia stata una scelta, e la scelta deve essere documentabile. Onestamente penso che ben pochi siti utilizzeranno questa opzione.
Vengono bannati tutte le cookie wall in cui c'è un obbligo da parte dell'utente di accettare i cookie. La richiesta del consenso non può essere più riproposta all'infinito finché il l'utente non presta il suo consenso, ma una volta che l'utente per esempio cliccando sulle X negano il consenso, questa richiesta non può essere riproposta, a meno che non cambino sostanzialmente le condizioni del trattamento e se non sia possibile tracciate il precedente consenso, per esempio se l'utente ha cancellato i cookie sul proprio sul proprio browser o a meno che non sia passati almeno sei mesi dalla precedente prestazione del consenso all'accesso al sito.
Il gestore deve capire che di default soltanto tutti i cookie tecnici siano installati, mentre si mantiene l'impostazione iniziale della informativa multilayer. Quindi ci sarà un banner che ha deve conformarsi con una serie di requisiti in termini di posizionamento, dimensioni, addirittura caratteri anche della X in alto a destra nel banner stesso.
Il banner deve essere accessibile ai portatori di handicap in conformità con quanto previsto di recente dai recenti cambiamenti normativi, deve e consentito all'utente di prestare un consenso specifico, quanto meno per categoria di cookie, e questa è una novità per quanto onerosa. Quindi si troverà l'utente con la scelta di by-passare tutti i cookie o di poter selezionare tramite un'area delicata i cookie che si vuole installare con un tick nell'informativa estesa o nel banner stesso in un'area in cui queste selezioni per categoria o per singolo cookie devono essere ovviamente accessibili.
Un'altra novità è che deve essere consentita la possibilità all'utente di rivederle le sue preferenze tramite un'area accessibile nel Footer del sito internet. Quindi questa potrebbe essere per esempio un link all'informativa suoi cookies che contiene le scelte oppure un'area dedicata.
Viene adottato già un approccio di legal design sulla base del quale deve essere chiaramente comprensibile da un utente quando vorrà rivedere le scelte che ha selezionato o non ha selezionato.
Tutti questi cambiamenti non potevano entrare in vigore da un giorno all'altro, infatti il Garante dà sei mesi di tempo per conformarsi. Sembrano tanti ma non lo sono perché si tratta di soluzioni tecniche che rappresentano una tendenza in qualche modo anche a livello europeo, ma che per i siti per esempio che hanno impostazioni di stile tra virgolette americano rappresenta un cambiamento decisamente oneroso