Guida agli adempimenti cookie per gli operatori di internet

Una tabella riassuntiva per identificare i necessari adempimenti in materia di cookie, con l’obiettivo di chiarire dubbi e perplessità derivanti da una normativa obsoleta

Pubblicato il 23 Giu 2022

Davide Marchese

Qubit Law Firm

cookie banner

Vogliamo fornire agli operatori di internet una chiara guida, sotto forma di tabella riassuntiva, al fine di facilmente identificare i necessari adempimenti in materia di cookie. L’obiettivo principale è quello di chiarire dubbi e perplessità derivanti da una normativa obsoleta, frammentata e spesso non chiara in ambito europeo e permettere agli operatori di avere un sito web legalmente conforme senza future sorprese.

Si precisa che per informazioni ulteriori e più esaustive rispetto a tali questioni e per ulteriori riflessioni sul tema, si rimanda all’articolo dal titolo: “Normativa sui cookie, uno scenario “spezzettato”.

Nella presente tabella verranno rappresentate in verde i requisiti e gli adempimenti previsti nello scenario europeo in materia di cookie, mentre in rosso verranno indicate le pratiche vietate.

Temi Adempimenti Normativa
Consenso ai cookie (non si applica per i c.d. cookie tecnici[1])Obbligatoria richiesta del consenso all’utente in merito all’installazione dei cookieArt. 5.3 della Direttiva E-privacy[2].
Blocco preventivo dei cookieObbligatorio che i cookie rimangano bloccati di default e che vengano attivati solo qualora l’utente presti il consensoArt. 5.3 della Direttiva E-privacy, Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020
Diritto al rifiutoObbligatorio garantire all’utente la possibilità di rifiutare l’installazione dei cookie e, nel caso in cui questi fossero stati precedentemente attivati, procedere alla loro disattivazione.

N.B. è importante che la disattivazione dei cookie non determini pregiudizi in merito alla fruibilità del sito da parte dell’utente.

Art. 5.3 della Direttiva E-privacy
Caselle preselezionateVietato prevedere il preselezionamento delle caselle per la richiesta del consenso ai cookie.art. 2 Direttiva E-privacy la quale rimanda al considerando 32 del GDPR secondo cui: “Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle”.
Cookie banner (N.B.: per le caratteristiche e i necessari requisiti del banner secondo la normativa, si rimanda alla tabella successiva)dev’essere presente un “avviso immediatamente visibile” in cui vengano fornite informazioni, dislocate su più livelli, e in cui sia presente un link, o una serie di link, attraverso i quali l’utente viene indirizzato su una specifica pagina in cui potrà trovare informazioni ulteriori e più esaustive su ogni tipologia di cookie utilizzata. Per rendere tale “avviso immediatamente visibile” la soluzione maggiormente adottata è il Cookie banner ossia un pop-up che viene mostrato alla prima visita sul sito, nella pagina iniziale, tramite il quale l’utente potrà rifiutare o accettare l’attivazione dei cookie.Guidelines 02/2013 del WP29 che si riferiscono alla necessaria presenza di un “avviso immediatamente visibile riguardo ai cookie”.
Cookie policyLa cookie policy deve sempre essere presente e deve contenere informazioni ulteriori e più dettagliate sui cookie rispetto a quanto previsto nel banner ed, in particolare, informazioni specifiche sui cookie di terze parti (ad es. se si tratta di cookie tecnici o meno) e, per ogni cookie, dovrà essere presente 1) descrizione della funzione di quel cookie, 2) luogo del trattamento, 3) tempi di conservazione, nonché informazioni in merito all’archiviazione dei dati personali acquisiti tramite cookie.Direttiva E-privacy all’art.5.3, precisa che l’utente debba essere sempre “(…) informato in modo chiaro e completo sugli scopi del trattamento” e che tali informazioni, a norma del considerando 66, debbano essere comunicate nel modo più chiaro e comprensibile possibile.
Comando di gestione delle preferenze cookie (Widget cookie e/o link al banner)Obbligatorio inserimento di un comando, sempre disponibile sul sito, attraverso il quale, con un click, il banner si riaprirà. In questo modo, l’utente potrà, in ogni momento, accedere alle informazioni relative ai cookie e modificare le preferenze fornite, revocando il proprio consenso riguardo a tutti o singoli cookie per i quali lo abbia prestato o rilasciando il proprio consenso rispetto a cookie per i quali non lo avesse ancora prestato.Le Guidelines 02/2013 del WP29 prescrivono che è necessario concedere all’utente “la possibilità di cambiare successivamente le preferenze date riguardo ai cookie” e che “le informazioni non devono scomparire dal sito una volta espresso il consenso”
Scrolling e/o proseguimento alla navigazioneIl consenso deve essere “inequivocabile” e deve rappresentare una “scelta attiva” dell’utente. Pertanto, lo “scrolling” (ossia lo scorrimento della pagina verso il basso che permetta all’utente di procedere nella consultazione del sito) o il semplice proseguimento alla navigazione da parte dell’utente, non possono essere considerati come mezzi idoneo e assimilabili all’espressione di un consenso ai cookie tramite un comportamento “attivo” quale il click su un pulsante o la selezione di una casellaArt. 2 Direttiva E-privacy, la quale rimanda all’art. 4 co. 11 GDPR (determinazione delle caratteristiche del consenso) e al considerando 32 GDPR (il consenso deve essere “inequivocabile” e, di conseguenza, “il silenzio o l’inattività” non si possano configurare come consenso”). Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020 in cui si stabilisce che “in base al considerando 32, azioni quali scorrere un sito o sfogliarne le pagine o azioni analoghe dell’utente, non potranno in alcun caso soddisfare il requisito di un’azione positiva inequivocabile”.
Cookie wall[3]Non è possibile bloccare l’accesso “generalizzato” al sito in caso di non accettazione dei cookie (ossia bloccare l’accesso al sito/al servizio principale). Ciò nonostante, è possibile bloccare l’accesso ad una sezione “specifica” del sito o limitare alcuni contenuti/servizi in caso di mancato consenso, ma sempre permettendo all’utente di usufruire del servizio principale.Guidelines 02/2013 del WP29: il consenso è “libero” solo nel caso in cui non vengano prospettate all’utente “significative conseguenze negative qualora questo non acconsenta”; in aggiunta, al considerando 25 della prima versione della Direttiva, si è stabilito che l’accesso ad uno specifico contenuto di un sito internet possa venire subordinato all’accettazione dei cookie, se usato per scopi legittimi.
Ricorso al legittimo interesse in luogo del consenso ai cookie.Il legittimo interesse non può essere considerato quale base legale idonea all’installazione dei cookie.[4]Art. 5.3 della Direttiva E-privacy (per l’attivazione dei cookie è necessario il consenso) in combinato disposto con l’art. 1 comma 2 della Direttiva e-privacy (Direttiva e-privacy si pone come lex specialis, mentre il regolamento GDPR come lex generalis, il quale si applica solo in caso di lacune della Direttiva). [5]

Cookie banner compliance

Elementi del bannerAdempimentinormativa
Presenza del pulsante “rifiuta” e del pulsante “accetta”Obbligatorio che all’utente vengano fornite entrambe le opzioni affinché il consenso sia specifico e fornito liberamenteConsiderando 17 della Direttiva E-privacy, art. 2 Direttiva E-privacy la quale rimanda all’Art. 4 paragrafo 11 GDPR per la determinazione delle caratteristiche del consenso; Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020
Pulsante “accetta tutto” e “rifiuta tutto”.Il consenso deve rappresentare una scelta libera, specifica e una reale scelta dell’utente. Di conseguenza, all’utente deve essere fornita la possibilità di accettare o rifiutare l’installazione di tutti i cookie.Guidelines 02/2013 del WP29, secondo le quali, affinché il consenso sia “concesso liberamente” e sia conseguenza di una “reale scelta”, è necessario che l’utente abbia avuto la possibilità di “scegliere liberamente tra l’opzione di accettare alcuni o tutti i cookie o di rifiutare tutti o solo alcuni cookie”.
Pulsante “accetta” e pulsante “rifiuta” con uguale rilevanza.Il consenso deve essere “fornito liberamente” e deve rappresentare una “vera scelta” dell’utente, in assenza di condizionamenti, sotterfugi o inganni. Di conseguenza, il pulsante “accetta” (o “accetta tutto”) che il pulsante “rifiuta” (o “rifiuta tutto”) devono avere uguale rilevanza.art. 2 Direttiva E-privacy la quale rimanda all’Art. 4 paragrafo 11 GDPR per la determinazione delle caratteristiche del consenso; Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29 e Linee guida dell’EDPB 05/2020
Informazioni nel bannerAll’interno del banner dovranno essere contenute le seguenti informazioni: 1) l’elenco delle categorie di cookie, divise per finalità, presenti sul sito, 2) i meccanismi sulla base dei quali si procederà all’installazione di questi (ad es. tramite il consenso o in assenza di consenso, in caso di soli cookie tecnici), 3) informazioni sulle conseguenze derivanti dall’accettazione dei cookie (ad es. il fatto che, come conseguenza, avverrà un monitoraggio delle attività dell’utente), 4) informazioni sulla possibilità di revocare il consenso in ogni momento e sulle modalità di revoca e 5) ogni altra informazione utile che possa rendere il consenso dell’utente valido secondo la normativa applicabile.Art. 5.3 Direttiva E-privacy precisa che l’utente debba essere sempre (…) informato in modo chiaro e completo sugli scopi del trattamento” e che tali informazioni, a norma del considerando 66, debbano essere comunicate nel modo più chiaro e comprensibile possibile”.
Presenza del link alla privacy policyIl consenso deve esser informato. Il consenso deve essere specifico, non in bianco, ossia fornito sulla base di determinate informazioni. Per questo motivo è necessario inserire sul banner il link alla privacy policy in cui saranno contenute informazioni ulteriori e più dettagliate in merito al trattamento dei dati personali.Guidelines 02/2013 del WP29
Consenso “granulare”, “per categoria”All’utente deve essere fornita la possibilità di acconsentire o rifiutare all’attivazione di cookie appartenenti alle singole categorie, diverse a seconda delle finalità dei cookie e dello scopo per cui essi sono utilizzatiGuidelines 02/2013 del WP29 e art. 2 Direttiva E-privacy la quale rimanda al considerando 32 GDPR
Indicazione dei cookie di terze partiObbligatorio inserire nel banner informazioni riguardanti cookie di terze parti. Ulteriori dettagli sono poi inseriti nella Cookie policy.Guidelines 02/2013 del WP29
Presenza di una “X” (in alto a destra del banner) o di altro comando che permetta agli utenti di esimersi dall’esprimere una preferenza in merito ai cookie[6]Per garantire una piena tutela dell’istituto del consenso, sarebbe necessario permettere all’utente di non esprimerne nessuno. In mancanza di un’espressa scelta da parte dell’utente, rimarranno disattivati tutti i cookie tranne quelli tecnici (utili al corretto funzionamento del sito)Garante privacy italiano (cfr Art. 5.3 della Direttiva E-Privacy)

Note

  1. Con “cookie tecnici” si intendono quei cookie che vengono attivati per la trasmissione delle comunicazioni e nella misura strettamente necessaria a fornire il servizio richiesto dall’utente, per l’attivazione dei quali non è mai necessario richiedere il consenso all’utente come previsto ai sensi dell’art. 5.3 della Direttiva E-privacy.
  2. Direttiva e-Privacy (2002/58/CE), così come modificata dalla direttiva 2009/136/CE.
  3. Per cookie wall si intende “un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga obbligato, senza avere alcuna alternativa, ad esprimere il proprio consenso all’attivazione di cookie, pena l’impossibilità di accedere al sito”. Cfr “Linee guida cookie e altri strumenti di tracciamento” (n. 9677876) del Garante italiano al sotto-paragrafo 6.1.
  4. Tale interpretazione è quella maggiormente condivisa tra gli stati membri, pur sussistendo un orientamento contrario da parte della Germania. Si riassumono in tabella i principali riferimenti normativi alla base di tale interpretazione. Per un’analisi più approfondita sul tema si rimanda all’articolo pubblicato su “Risk management 360 “Normativa sui cookie, uno scenario “spezzettato”, di Ilaria Giulia Bortolotto e Davide Marchese, pubblicato il 30 marzo 2022 e disponibile al link: https://www.riskmanagement360.it/analisti-ed-esperti/normativa-sui-cookie-uno-scenario-spezzettato/ .
  5. Ad avvalorare tale ipotesi l’art. 2 e il considerando 17 della Direttiva specificano che il “consenso” deve avere la stessa definizione e significato del consenso della persona interessata così come definito ed ulteriormente determinato nel GDPR”. Di conseguenza, il rinvio posto dalla Direttiva al GDPR riguarda solo la definizione e le caratteristiche del consenso. Non viene invece previsto un rinvio al GDPR in merito alla determinazione di ulteriori basi legali oltre il consenso. Non viene dunque posto alcun rinvio all’art. 6 GDPR, il quale prevede ulteriori basi legali, oltre al consenso, per il trattamento dei dati personali, compreso il legittimo interesse.
  6. Rispetto a tale tema, si precisa che non esiste ancora un orientamento uniforme dettato dalle istituzioni europee ma che, basandosi sull’interpretazione data dal garante italiano, tale elemento dovrebbe essere necessariamente previsto in tutti gli stati europei proprio al fine di tutelare l’istituto del consenso posto, dalla Direttiva e-privacy (art. 5.3.), quale baluardo per la tutela degli utenti in materia di cookie.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Davide Marchese
Qubit Law Firm
B
Ilaria Giulia Bortolotto
Qubit Law Firm

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4