Registro preferenze cookie obbligatorio? Dal 10 Gennaio 2022 per me no!

Cookie, GDPR e siti web, la nuova normativa cookie entrerà in vigore il prossimo 10 Gennaio 2022.

Il web italiano sembrava essersi dimenticato dei cookie e del GDPR sino a qualche settimana fa quando si è tornati a parlare sempre più frequentemente di “registro preferenze cookie“.

Io non sono un consulente privacy, tanto meno un legale, ma dato che mi occupo di web ho voluto informarmi e capire. Da qui nasce quello che stai per leggere, ma non prendere il tutto come verità assoluta, piuttosto riflettiamo insieme e parliamone nei commenti.

Ricordo che il General Data Protection Regulation, ovvero il regolamento generale sulla protezione dei dati, riguarda l’azienda e non solo il sito web; o meglio, il sito ne è “convolto di conseguenza”. È un errore considerare la normativa cookie / GDPR come un qualcosa che riguardi il web, in realtà “parte tutto dall’offline per poi coinvolgere l’online”. Per questo l’azienda dovrebbe chiamare in causa il proprio consulente privacy e farlo indipendentemente dal sito web.

Volendo però comprendere l’obbligatorietà (o la non obbligatorietà) di questo registro, dobbiamo ripassare l’argomento cookie.

Cerchi assistenza WordPress? CONTATTACI ORA

Normativa banner cookies 2022

È li Garante Privacy a spiegarlo sul proprio sito (qui):

I cookie sono stringhe di testo che i siti web visitati dagli utenti (cd. Publisher, o “prime parti”) ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utente medesimo, perché siano poi ritrasmessi agli stessi siti alla visita successiva.

Ora, volendo tradurre quanto sopra, possiamo dire che i cookie sono piccoli file di testo che vengono “installati” sul dispositivo (computer, smartphone o tablet) dell’utente che naviga un sito web o da quelle che sono identificate come “terze parti” (da qui i cookie di terze parti) come Google, Facebook e altri. È il sito stesso ad installare questi file sul dispositivo dell’utente.

In particolare i cookie di terze parti sono cookie con finalità di profilazione (per identificare un utente) e non sono quelli essenziali al sito per funzionare, questi ultimi infatti sono cookie tecnici (cookie di prima parte).

Cookie tecnici e di profilazione sono dunque le due tipologie in cui si dividono i cookie.

Da qui la domanda: serve il consenso per installare dei cookie sul dispositivo del visitatore che naviga il nostro sito?

La risposta arriva sempre dal sito del Garante (qui):

Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.

Per l’installazione dei cookie tecnici e di quelli analytics non è richiesto il consenso degli utenti, mentre è comunque sempre necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679).

I cookie di profilazione o gli altri strumenti di tracciamento, invece, possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

E il tanto chiacchierato registro?

Bisogno d’aiuto? CONTATTACI ORA

Registro consensi cookie?

Proseguiamo sul sito del Garante:

Il banner deve:

– specificare, se questo è il caso, che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;

– contenere il link all’informativa estesa e ad una diversa area nella quale sia possibile selezionare in modo analitico solo le funzionalità, i cookie e le terze parti cui si intende prestare il proprio consenso;

– contenere un comando per esprimere il proprio consenso accettando tutti i cookie o altri strumenti di tracciamento;

– precisare che se l’utente sceglie di chiudere il banner utilizzando il pulsante con la X in alto a destra, saranno mantenute le impostazioni predefinite che non consentono l’utilizzo di cookie o altri strumenti di tracciamento diversi dai tecnici.

OK, già lo sapevamo, ma come “tener traccia” della scelta dell’utente? Qui (forse!) iniziamo ad avvicinarci all’idea di un “registro”…

Sempre dal sito del Garante:

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato.

Quindi un cookie tecnico, salvato sul dispositivo dell’utente e che non necessita ulteriore approvazione, registrerà la scelta dell’utente. È lo stesso cookie che permette al “banner cookie di non apparire” dopo l’OK dato dall’utente.

OK, ora ci siamo, ma anche questa non è una novità. E il registro? Il Garante Privacy non obbliga in alcun modo i siti web a tenere un registro preferenze cookie, o almeno io non ho trovato traccia della parola “registro” ne qui , ne qui.

Il registro preferenze cookie è obbligatorio? — Il registro consensi cookie è obbligatorio?

Perché tutto questo parlare allora?

Perché (da qui – Linee guida cookie e altri strumenti di tracciamento – 10 Giugno 2021):

È opinione del Garante che il meccanismo di acquisizione del consenso online tramite presentazione di un banner, come lo si è analiticamente descritto nel provvedimento del Maggio 2014, mantenga, ad oggi, una sua sostanziale validità. È tuttavia necessario, anche in questo caso, valutare l’opportunità di aggiornamenti o migliorie alla luce del mutato assetto normativo.

In altre parole: dal 10 Gennaio 2022 entreranno in vigore le nuove linee guida sull’uso dei cookie, a 6 mesi dalla pubblicazione in Gazzetta Ufficiale del 9 Luglio 2021, il Garante è intervenuto pubblicando una serie di approfondimenti e l’attenzione del web italiano si è nuovamente spostata verso cookie e GDPR, ma di fatto l’esigenza di dimostrare il consenso al rilascio ai cookie di profilazione è sempre stata una richiesta del Garante Privacy, ma di registro cookie obbligatorio, ad oggi, non si legge nulla se non su siti che lo vendono come “servizio aggiuntivo”…

Volendo, al più, possiamo aggiungere questo: come può il proprietario del sito web dimostrare il consenso all’utilizzo dei cookie di profilazione? Ricordiamo che il cookie col consenso è installato sul dispositivo dell’utente. Ecco che entra in gioco quello che abbiamo chiamato “registro” e che nella pratica potrebbe essere la registrazione del click sul consenso ai cookie di profilazione tramite la scrittura in un database dell’IP dell’utente (letto dal server), al tal giorno e alla tal ora.

Questo per essere particolarmente scrupolosi e “valutare l’opportunità di aggiornamenti o migliorie“. Questo è quanto, ma nessuna obbligatorietà di un registro cookie dal 10 Gennaio 2022.

Come ho scritto in apertura: non considerare quello che hai appena letto come una verità certa ed assoluta (non sono un consulente privacy) piuttosto riflettiamo insieme e parliamone nei commenti.

CONTATTI

2 commenti su “Registro preferenze cookie obbligatorio? Dal 10 Gennaio 2022 per me no!”

Buongiorno,
anche io sono, come molti in questo giorni, alla ricerca di notizie riguardanti il famigerato “Registro per il salvataggio dei consensi di chi approva l’utilizzo dei cookie attraverso un banner specifico”.
È sembrato di capire che non sia obbligatorio averlo ma ti metto a conoscenza di questo link del Garante Della Privacy
(https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili#registro)
che ne tratta in cui c’è scritto quanto segue:
Registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante).
Potrei avere un tuo parere a riguardo? Io, francamente, quando si parla di 250 dipendenti penso di esserne fuori visto che non ho dipendenti, oppure mi sbaglio?

Sarei molto grata di un tuo parere, grazie

Rispondi

Marcello Rabozzi

16 Febbraio 2022 alle 15:30

Ciao Carmela,

il link a cui rimandi non credo – ripeto, non sono un consulente privacy né un legale – che faccia riferimento al “registro cookie” (chiamiamolo così per intenderci), ma al “Registro delle Attività di Trattamento – Art. 30 GDPR” di cui puoi leggere QUI e non legato al sito web, ma “all’attività” intesa come “realtà offline”.

La maggior parte dei dubbi (e incomprensioni) legati alla “gestione dei cookie” e al GDPR nascono dall’errata convinzione che il GDPR sia un qualcosa da prendere in considerazione quando si ha un sito web; al contrario il sito web ne è coinvolto in seconda battuta, in quanto “parte di un’azienda”.

Marcello
Rispondi

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Normativa banner cookies 2022

Registro consensi cookie?

2 commenti su “Registro preferenze cookie obbligatorio? Dal 10 Gennaio 2022 per me no!”

Lascia un commento Annulla risposta