Ieri è stata una giornata abbastanza importante per chi ha a che fare con la gestione dei cookie di un sito web. Dal 10 gennaio 2022, infatti, entrano in vigore alcune nuove norme, più stringenti delle precedenti, per le quali è necessario adeguare opportunamente i siti che fanno uso di cookie. Tutto ciò con lo scopo di regolamentare l'utilizzo di questi file (spesso usati per la profilazione degli utenti stessi), a beneficio della privacy.
Nuove norme sui cookie: perché?
La necessità di normare la gestione dei cookie nasce dall'uso che ne viene fatto da varie reti pubblicitarie per attività di digital marketing, o dai siti di e-commerce per motivi non troppo lontani dai precedenti. Per tutelare gli utenti, l'Unione Europea e il Garante Privacy si sono interessati all'argomento, introducendo alcuni anni fa una serie di norme che impongono, ad esempio, la necessità di richiedere all'utente l'accettazione o meno dell'uso dei cookie.
Già con l'introduzione del GDPR, e con le prime versioni della legge sui cookie, era necessario che i titolari dei siti web richiedessero il consenso agli utenti prima di poter memorizzare certe tipologie di cookie. Ciò, però, non ha impedito a sviluppatori e operatori di marketing di eludere tali regole in vari modi, costringendo i legislatori ad aggiornare a più riprese la legge in vigore, nonché a pubblicare sempre nuove linee guida.
Le novità introdotte a partire da ieri comportano alcune novità non irrilevanti rispetto a quanto visto finora, sebbene chi gestisce già un sito web compatibile con la normativa in vigore fino allo scorso anno dovrebbe essere agevolato nell'adeguarsi a tale regolamento.
I requisiti secondo la nuova normativa
Per mettere in regola il proprio sito web secondo la nuova normativa, è ancora necessario mostrare un banner o una finestra modale che informi l'utente in merito a diversi aspetti legati alla gestione dei cookie da parte del sito. In primo luogo, è necessario informare sinteticamente gli utenti su tutti i cookie utilizzati, facendo riferimento ad un'informativa più dettagliata (ad esempio con un link ad una pagina specifica), che gli utenti potranno consultare per ottenere tutti i dettagli.
Bisognerà, inoltre, che il banner consenta espressamente di accettare, rifiutare e personalizzare l'uso dei cookie. Conseguentemente, sarà necessario che i visitatori del sito possano decidere quali cookie utilizzare e quali no, potendo inoltre rivedere tale scelta in qualsiasi momento. A tale scopo, è quindi necessario prevedere l'uso di una pagina specifica che consenta sempre (e non solo al primo accesso al sito) di modificare le preferenze sui cookie.
Un'altra necessità emersa con le nuove regole è legata alla possibilità, da parte del gestore del sito, di poter provare il consenso. Ciò implica la necessità di mantenere un registro delle preferenze relative ai cookie, per poter dimostrare di aver ottenuto un consenso valido secondo gli standard previsti dal GDPR.
Cosa non fare
Sulla base di quanto appena descritto, ci sono alcune "prassi" comunemente utilizzate da molti siti che saranno ora ritenute illecite. Per esempio, non è possibile interpretare il semplice fatto di scorrere la pagina verso il basso come consenso, così come non sarà possibile "bloccare" i contenuti a quegli utenti che non accettano i cookie. Inoltre, è d'ora in avanti vietato riproporre la richiesta di consenso, a meno che non siano trascorsi almeno sei mesi dall'ultimo consenso raccolto (salvo nei casi in cui la gestione dei cookie sia stata modificata per altre ragioni).
Infine, è bene sempre ricordare che non è richiesto alcun consenso per i cosiddetti "cookie tecnici", così come per quelli legati ad analisi statistiche, purché raccolti in forma anonima. Conseguentemente, non è possibile memorizzare dati quali gli indirizzi IP, giusto per fare un esempio.
L'ideale, con ogni probabilità, è affidarsi a servizi di terze parti in grado di coprire, in modo completo, tutte le peculiarità di questa normativa, che come molte altre è in costante evoluzione.