Secondo nuove disposizioni volute dal Garante della Privacy, non saranno più ritenuti validi i cookie detti “wall”, ovvero il banner che impedisce l’accesso al sito qualora non siano stati accettati i cookie di profilazione. Tale richiesta, infatti, non renderebbe gratuito il consenso prestato per l’utente che vuole accedere al sito senza essere tracciato.
Per evitare il cosiddetto “cookie invasivo”, il banner può essere riproposto solo “se le condizioni del trattamento mutano in modo significativo; quando è impossibile per il sito sapere se un cookie è già stato memorizzato nel dispositivo; quando siano trascorsi almeno sei mesi dalla precedente presentazione dello striscione”.
Sarà poi necessario inserire un link ad un’area dedicata per consentire all’utente di selezionare le funzionalità e le terze parti con cui condividere le informazioni trattate dai cookie, raggruppate anche per categorie omogenee. Nel footer del sito deve essere presente anche un link alla sezione apposita per modificare le scelte.
Dal punto di vista del design i pulsanti devono essere dello stesso colore, forma e dimensione per non “spingere” l’utente verso una specifica scelta preferita dal gestore del sito. Per favorire la massima trasparenza, lo stato dei cookie selezionati dovrebbe poi essere indicato in ogni pagina del sito, mediante un segno grafico o un’icona.
In caso di profilazione cross-device per utenti autenticati, tale circostanza deve essere comunicata nell’informativa. Un classico esempio è il login effettuato dagli utenti sui prodotti Google (Chrome, Gmail, Maps, ecc.) che consentono di tracciare la navigazione da desktop a mobile.
Come funzionano i cookies
I cookie analitici hanno sempre avuto una doppia natura. Innocuo, se il sito web li ha forniti per motivi statistici; più invasive, se fornite da terzi che avrebbero facilitato l’identificazione dell’utente.
Nel primo caso, quindi, sono da considerarsi assimilati ai cookie tecnici, non richiedendo quindi la richiesta del consenso dell’utente. Nella seconda, diventano strumenti di profilazione. Il garante, pertanto, al fine di diminuire l’invasività dei cookie di terze parti e poterli equiparare a quelli tecnici, richiede che l’indirizzo IP sia mascherato al fine di impedire l’identificazione dell’utente.
Inoltre, potranno tracciare l’utente solo sul singolo sito o app e non su altri siti che l’utente visiterà, a meno che non appartengano allo stesso gruppo aziendale. Infine, i dati ottenuti da questi cookie non possono essere combinati con dati provenienti da altre fonti né ceduti a terzi.
La Francia ha di recente irrogato due sanzioni per oltre 200 milioni di euro a carico di Facebook e Google proprio contestando una violazione relativa ai cookie, sanzione a seguito di un altro round contro Google e Amazon a dicembre 2020 per complessivi 135 milioni. Intanto anche lo stesso Parlamento Europeo ha ricevuto una sanzione dal Garante Europeo proprio, tra l’altro, per un falso cookie banner.