Il Garante per la Privacy ha rilasciato le nuove linee guida per la gestione dei cookie da parte dei siti Web.
Novità
- Al primo accesso al sito, sul dispositivo dell’utente possono essere salvati solo cookie tecnici. Per tutti gli altri è necessario il consenso espresso dell’utente.
- La schermata di richiesta consenso deve essere visualizzata al primo accesso, e deve contenere:
- Un pulsante per accettare in blocco tutti i cookie.
- La possibilità di un controllo più granulare, che permetta quindi all’utente maggior controllo e scelta.
- Un pulsante di chiusura (“la X”, insomma) in alto a destra che di fatto nega il consenso a tutti i cookie tranne quelli tecnici.
- La schermata di richiesta deve essere mostrata una sola volta ogni sei mesi (per sito, naturalmente), a meno che non cambino le condizioni o il sito non riesca a ritrovare i propri cookie.
- Il testo deve essere scritto in modo chiaro e semplice, e deve contenere un link all’informativa completa sulla privacy
- Lo scrolling non può essere considerato dal sito un meccanismo di espressione del consenso da parte dell’utente. L’utente deve premere o cliccare un pulsante, o comunque compiere un’azione che non possa essere fraintesa.
- Niente “cookie wall”: l’utente deve avere la possibilità di accedere al sito anche se rifiuta tutti i cookie.
Sintetizzando al massimo possiamo riassumere in pochi semplici punti:
- se il sito richiede solo cookie tecnici * (ovvero per il funzionamento e la navigazione nel sito) basta un link alla privacy policy in homepage, se no serve un banner
- devono esserci almeno tre comandi:
- uno per chiudere il banner che equivale a rifiutare i cookie, per esempio una X in alto a destra (quello che Facebook e Google non hanno e che è costato loro un bel po’ di milioncini in Francia)
- uno per accettare tutti i cookie
- uno per scegliere più nel dettaglio come procedere, voce per voce
- non basta che l’utente scrolli la pagina per acconsentire ai cookie
- non è possibile rendere disponibile il sito solo a chi accetta i cookie
- i siti possono richiedere il consenso ai cookie solo in caso di:
- cambiamento significativo della policy
- nuovo dispositivo o comunque cookie del consenso non presente o non leggibile
- passaggio di sei mesi dall’ultima richiesta.
Nota
Il classico cookie di google analytics è da equipararsi ad un cookie di tipo “personale” e pertanto, ai sensi del GDPR dell’UE, i cookie di Google Analytics necessitano del consenso degli utenti finali per poter essere attivati sul sito web.