The Authority’s New Cookie Guidelines are Effective on January 10, 2022

The operational indications contained in the new guidelines on cookies and other tracking tools adopted by the Authority to protect personal data with the provision of June 10, 2021 have become operative from January 10, 2022.

The primary purpose of the document is to make a reconnaissance of the legal framework of reference, also specifying how to make the information and acquire the consent of the interested party, in the light of the principles expressed in Regulation (EU) 2016/679 (after this the “Regulation” or the “GDPR”).

Among the main innovations introduced with the Guidelines, there are some suggestions on how to make the information to data subjects in a way that complies with the provisions of Articles 12 and 13 of the GDPR, i.e. through a simple and accessible language, also in multilayer and multichannel mode, i.e. dislocated on several levels or made through multiple channels and modes. 

The Authority also provides indications concerning the banner that can be used, which must contain, among other things: 

a) the indication that the site uses technical cookies and, subject to the user’s consent, profiling cookies or other tracking tools indicating the relative purposes (short information); 

b) the link to the privacy policy containing the complete information, including any other recipients of personal data, the times of data retention, and the exercise of rights under the Regulation; 

c) the warning that closing the banner involves the persistence of the default settings and, therefore, the continuation of navigation in the absence of cookies or other tracking tools other than technical ones.

With particular reference to the acquisition of consent, considered as an indispensable legal basis for the treatment concerning the use of cookies or other tracking systems, the Authority specifies that the banner must also contain: the command to close it without giving consent to the use of cookies or other profiling techniques by maintaining the default settings; a command to accept all cookies or other tracking techniques; the link to another area where you can choose analytically the features, third parties, and cookies you want to install and be able to give consent to the use of all cookies if not provided previously or revoke it, even in one go, if already expressed. 

Moreover, the scrolling (intended as scrolling of the informative report to allow the installation of the cookies) and the cookie wall (which allows access to the Internet site after the compulsory acceptance of the cookies, without the freedom to perform any other operation) are considered by the Authority as a way of acquiring the consent contrary to the principles expressed in the GDPR.

As for the consents already collected, the Authority has specified that – if they comply with the characteristics required by the Regulation – they can be considered valid provided that, at the time of their acquisition, they have been recorded and are duly documented, including through computer evidence.

Among the other innovations introduced by the Guidelines, the Authority does not approve the reproposition of the banner with the request for consent for each subsequent visit to the website of the user who had previously expressed the desire not to consent to the use of profiling cookies, unless:

  • The conditions of treatment have changed significantly;
  • It is impossible for the site to know whether a cookie has already been stored in the device;
  • At least six months have passed since the previous presentation of the banner.

The Authority has given six months from the publication of the Guidelines in the Official Gazette to comply with the changes introduced and, therefore, from January 10, 2022, data controllers must comply with the Authority’s new indications.

****

OPERATIVE DAL 10 GENNAIO 2022 LE NUOVE LINEE GUIDA DEL GARANTE IN MATERIA DI COOKIE

Dal 10 gennaio 2022 sono operative le indicazioni contenute nelle nuove Linee Guida in materia di cookie e altri strumenti di tracciamento, adottate dal Garante per la protezione dei dati personali con provvedimento del 10 giugno 2021.

Scopo primario del documento è quello di compiere una ricognizione del quadro giuridico di riferimento, specificando altresì le modalità per rendere l’informativa ed acquisire il consenso dell’interessato, alla luce dei principi espressi nel Regolamento (UE) 2016/679 (di seguito il “Regolamento” o ilGDPR”).

Tra le principali novità introdotte con le Linee Guida in commento, rientrano alcuni suggerimenti su come rendere l’informativa agli interessati in modo conforme alle previsioni degli artt. 12 e 13 del GDPR, ovvero attraverso un linguaggio semplice ed accessibile, anche in modalità multilayer e multichannel, ovvero dislocata su più livelli o resa tramite più canali e modalità.

L’Autorità fornisce indicazioni anche con riferimento al banner utilizzabile, che deve contenere, tra l’altro: a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve); b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento; c) l’avvertenza che la chiusura del banner comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Con particolare riferimento all’acquisizione del consenso, reputato come base giuridica indispensabile per il trattamento concernente l’utilizzo di cookie od altri sistemi di tracciamento, il Garante precisa che il banner dovrà contenere anche: il comando per chiuderlo senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default; un comando per accettare tutti i cookie o altre tecniche di tracciamento; il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.

Peraltro, lo scrolling (inteso come scorrimento dell’informativa per consentire all’installazione dei cookie) ed il cookie wall (il quale consente l’accesso al sito Internet previa accettazione obbligatoria dei cookie, senza libertà di compiere alcuna operazione diversa) sono considerate dall’Autorità modalità di acquisizione del consenso contrarie ai principi espressi nel GDPR.

Quanto ai consensi già raccolti, il Garante ha precisato che – se conformi alle caratteristiche richieste dal Regolamento – potranno essere ritenuti validi a condizione che, al momento della loro acquisizione, siano stati registrati e siano debitamente documentabili, anche mediante evidenze informatiche.

Tra le altre novità introdotte dalle Linee guida, il Garante non approva la riproposizione del banner con la richiesta di consenso per ogni successiva visita  al sito web dell’utente che aveva in precedenza espresso la volontà di non acconsentire all’utilizzo dei cookie di profilazione, a meno che: siano mutate significativamente le condizioni del trattamento; sia impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo; siano trascorsi almeno sei mesi dalla precedente presentazione del banner.

L’Autorità ha concesso sei mesi di tempo dalla pubblicazione delle Linee Guida nella Gazzetta Ufficiale per adeguarsi alle novità introdotte e, pertanto, a partire dal 10 gennaio 2022 i titolari del trattamento devono conformarsi alle nuove indicazioni dell’Autorità.