I cookies sono menzionati solo una volte nel General Data Protection Regulation (GDPR), ma le ripercussioni possono essere significative per le organizzazioni che li usano per “tracciare” le attività degli utenti.
Il punto 30 del GDPR recita:
Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.
In conclusione: quando i cookies possono identificare una persona tramite il proprio dispositivo, sono considerati dati personali.
Non tutti i cookie sono utilizzati in un modo che possano identificare gli utenti, ma la maggior parte sono e saranno soggetti al GDPR. Ciò include cookies per analisi, pubblicità e servizi funzionali, come strumenti di sondaggio e chat.
Per diventare conformi, le organizzazioni dovranno interrompere la raccolta dei cookie offensivi o trovare una base legale per raccogliere ed elaborare tali dati. La maggior parte delle organizzazioni fa affidamento sul consenso (implicito o per “decisione di uscire”), ma i requisiti rafforzati del GDPR significano che sarà molto più difficile ottenere il consenso legale. Le conseguenze di ciò sono state discusse durante la Conferenza sulla protezione dei dati 2016 e le sue conclusioni descritte dalla legge sui cookie:
Il consenso implicito non è più sufficiente. Il consenso deve essere dato attraverso una chiara azione affermativa, come fare clic su una casella di attivazione o scegliere le impostazioni o le preferenze in un menu delle impostazioni. Semplicemente visitando un sito non conta come consenso.
I messaggi tipo ‘Usando questo sito, accetti i messaggi dei cookie’, inoltre, non sono sufficienti per gli stessi motivi. Se non esiste una scelta libera e genuina, allora non esiste un consenso valido. È necessario rendere possibile accettare o rifiutare i cookie.
Questo significa:
Deve essere altrettanto facile ritirare il consenso, quanto farlo. Se le organizzazioni vogliono dire alla gente di bloccare i cookie se non danno il loro consenso, devono prima farli accettare i cookie.
I siti dovranno fornire un’opzione di opt-out. Anche dopo aver ottenuto un consenso valido, i siti devono offrire alle persone la possibilità di cambiare idea. Se chiedi il consenso tramite caselle di attivazione in un menu delle impostazioni, gli utenti devono sempre essere in grado di tornare a quel menu per regolare le loro preferenze.
Raggiungere la conformità
Il consenso Soft opt-in è probabilmente il miglior modello di consenso, in base alla legge sui cookie: “Ciò significa dare l’opportunità di agire prima che i cookie siano impostati in occasione di una prima visita a un sito. Se c’è quindi un giusto preavviso, continuare a navigare può, nella maggior parte dei casi, essere un consenso valido tramite un’azione affermativa. “