Il 10 giugno 2021 il Garante della privacy ha approvato le nuove “Linee guida cookie e altri strumenti di tracciamento”, pubblicate con l’obiettivo di garantire la conformità di tutti i siti al Regolamento Generale sulla Protezione dei Dati (GDPR) e alla direttiva E-Privacy.

Come diretta conseguenza, chiunque possegga uno spazio web (e quindi anche la scuola), a partire dal 10 gennaio 2022 deve aggiornare i banner del proprio sito al fine di evitare pesanti sanzioni.

Le nuove linee guida sui cookie individuano modalità semplificate per le informative e l’acquisizione del consenso da parte degli utenti, aspetti che in linea teorica andrebbero curati già a partire dalla progettazione del portale in base ai principi di “privacy by design e by default” del GDPR.

Il nuovo intervento messo in atto dal Garante si deve alla scorretta applicazione di tali disposizioni, specie se si considera il crescente incremento delle esperienze di navigazione da parte degli utenti e l’introduzione di tecnologie innovative che raccolgono sempre più dati.

Che cosa sono i cookie e cosa si intende per “altri strumenti di tracciamento”

La definizione di cookie espressa dal Garante della privacy è ormai nota: i cookie sono “stringhe di testo che i siti web visitati dall’utente – ovvero siti o “web server” diversi – posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo”.

Attraverso la tecnologia dei cookie, rappresentata in questo caso dal sito web, è possibile memorizzare le preferenze dell’utente e le relative interazioni, permettendo al titolare del trattamento dei dati di delineare un profilo per inoltrare proposte commerciali personalizzate con finalità di marketing.

E questo è solo un esempio del ventaglio di possibilità offerte dall’utilizzo dei cookie.

Nelle linee guida approvate lo scorso giugno, il Garante della privacy affronta un’ulteriore tematica legata agli “altri strumenti di tracciamento”, ovvero tutte le tecnologie che, pur non avvalendosi dei cookie, permettono di raggiungere i medesimi risultati legati alla creazione del profilo di un utente.

Come sottolinea il Garante, la sostanziale differenza risiede nel fatto che, mentre i cookie sono considerati identificatori “attivi” che ciascuno può attivare o disattivare in autonomia, gli “altri strumenti di tracciamento” sono considerati identificatori “passivi”, che l’utente non ha la possibilità di disattivare da solo (per quanto la relativa presenza debba comunque essere espressa nella “cookie policy”), necessitando di ricorrere ad un’azione da parte del titolare del sito.

Scrive il Garante: “Tra gli strumenti “passivi” è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, ovvero per conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione. Per tali ragioni, il fingerprinting e gli ulteriori strumenti di tracciamento devono dunque essere ricompresi nell’ambito di applicazione delle presenti linee guida”.

Quali tipi di cookie installano i siti, e quali invece il titolare dello spazio web è tenuto a bloccare?

Il Garante della privacy pone all’interno delle nuove linee guida sui cookie un distinguo tra i cookie tecnici, utili affinché il sito web funzioni adeguatamente e in modo veloce, e i cookie di profilazione, che sono invece utilizzati per raggruppare gli utenti in profili omogenei, offrendo un servizio personalizzato o inoltrando messaggi pubblicitari mirati.

Ad oggi tuttavia non è ancora stata effettuata una vera e propria codificazione universale relativa ai cookie.

Viene da sé che la conseguente categorizzazione necessita di essere messa in atto dallo stesso titolare del sito sulla base della funzione specifica promossa da ciascun cookie installato.

Lo stesso Garante precisa inoltre che i cookie cosiddetti “analytics” possono essere considerati tecnici qualora vengano utilizzati per creare statistiche aggregate con l’anonimizzazione dell’IP e con riferimento a un solo sito internet.

Questo affinché l’utilizzo di tali cookie non permetta di risalire all’identità di un utente specifico.

Il titolare del sito è inoltre obbligato a bloccare i cookie di marketing e profilazione, che possono essere attivati solo con il consenso dell’utente.

Ha invece l’opportunità di installare i cookie tecnici, e quindi anche gli “analytics” con IP anonimizzato, anche senza consenso.

Come adeguare il sito web della scuola alle nuove linee guida sui cookie

Per rendere conforme il portale dell’istituto alle nuove linee guida sui cookie stabilite dal Garante occorre effettuare una check-list che preveda:

  • La revisione della cookie policy estesa, al fine di renderla effettivamente a norma
  • La revisione dell’informativa breve presente nel banner dei cookie
  • La revisione delle funzionalità del banner dei cookie, che deve prevedere un link che rimandi alla “cookie policy” estesa, la preselezione dei soli cookie tecnici, così come la possibilità da parte dell’utente di scegliere per categoria di accettare o meno i cookie di terze parti a propria discrezione e in autonomia

Si devono poi considerare altri importanti fattori:

  • In presenza di soli cookie tecnici o “analytics” con IP anonimizzato, il banner cookie non è necessario, e la relativa informativa può essere collocata nella home page del sito o nell’informativa generale
  • Lo “scroll down” non rappresenta un metodo adatto per acquisire il consenso all’installazione dei cookie da parte dell’utente
  • La presenza di un “cookie wall” o di qualunque barriera che blocchi la visibilità del sito, obbligando l’utente a prestare il consenso anche quando in realtà non è necessario, è illegittima
  • Il “cookie banner” deve essere riproposto all’utente una volta trascorsi 6 mesi dalla prima visualizzazione e non prima, a meno che non siano stati applicati sostanziali cambiamenti nella tipologia di cookie installati
  • Il footer del sito web deve prevedere un link che consenta all’utente di modificare le proprie scelte in qualsiasi momento
  • L’utente deve avere comunque l’opportunità di effettuare scelte mirate

È necessario disporre di un registro dei consensi espressi dall’utente con riferimento ai cookie?

Il Garante della privacy nelle FAQ indica che: “Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato”.

Non è dunque necessario detenere un registro, qualora sia stato installato un “accorgimento tecnico” che permetta all’utente di ritrovare le scelte espresse in qualsiasi momento.

Con l’entrata in vigore del GDPR, il Garante ha scelto di sfruttare una comunicazione istituzionale più chiara e “alla portata di utente”.

Dubbi e perplessità possono essere fugati tramite le FAQ e le schede di sintesi sui cookie, utili per avere ben chiari tutti i passi da compiere per rendere il proprio sito web “cookie friendly”.