Informa il visitatore del sito web, in modo chiaro e comprensibile, sull’uso reale dei cookie e sulle specifiche diverse finalità dei cookie. Gli utenti devono essere in grado di comprendere le potenziali conseguenze dell’accettazione dei cookie. L’adeguata informazione incide sulla validità del consenso ottenuto.

Tutti i titolari vanno identificati nominativamente, con collegamento alla rispettiva policy privacy aggiornata (adempimento non irrilevante per talune modalità di pubblicità digitale con intervento di intermediari).

Blocca i cookie fino a quando l’utente non ha dato il consenso: prescrizione più facile a dirsi che a farsi, considerato che, secondo uno studio trasversale di quattro anni sull’impatto della direttiva ePrivacy aggiornata sul posizionamento dei cookie, il 49% dei siti Web ha inserito cookie prima di ricevere il consenso (M. Trevisan, S. Traverso et al., 2019, 4 Years of EU Cookie Law: Results and Lessons Learned).

Il consenso dell’utente va manifestato con un’azione distinta dall’attività che l’utente svolge per la navigazione, cioè per l’uso del sito web o dell’app; a questo riguardo l’architettura della piattaforma può incidere significativamente sulla conformità legale.

Caselle di assenso preselezionate sono invalide, mentre la selezione di una casella o di un apposito collegamento ipertesto (link) possono essere una manifestazione inequivocabile¹, se adeguatamente informata (da cui l’importanza di un’informativa chiara e comprensibile).

Per i cookie più intrusivi per la privacy, come quelli utilizzati per il tracciamento comportamentale, è necessario prestare particolare attenzione per garantire un consenso chiaro e specifico.

Insieme all’opzione di accettazione vi deve essere anche quella di rigetto.

Accanto al pulsante per l’opzione “accetto tutti” deve essere disponibile anche il pulsante “rigetto tutti”.

L’eventuale opzione che permette di accettare tutti i cookie è valida solo se si consente all’utente anche di scegliere in merito ai singoli cookie per ciascuna finalità; la scelta granulare può essere inserita ad un livello inferiore del precedente.

Anche la presentazione visiva delle opposte opzioni (“accetto”/“rigetto”) deve risultare equanime (disponibile, visibile, di pari prominenza) e non indurre in errore l’utente.

La modifica o la revoca del consenso deve essere altrettanto agevole del suo conferimento (l’utente deve poter cambiare idea facilmente, avendo a disposizione mezzi per selezionare o deselezionare cookies non essenziali).

Se il consenso può essere espresso con semplici azioni, in senso analogo dovrà potersi revocarlo: se dare il consenso è facile come fare clic su un pulsante nella pagina di destinazione, il ritiro del consenso deve essere altrettanto semplice; se il consenso è prestato su un unico livello ed in un’unica pagina, l’opzione di revoca non potrà essere contenuta in livelli sottostanti o su altre pagine web.

In sintesi, quella che segue è una basilare lista di controllo per il legittimo uso di cookie e di altre tecnologie di tracciamento:

• Assicurati il controllo di quali sono i cookie che sono impostati dalla piattaforma
• Sii certo che la piattaforma imposta solo i cookie a cui il visitatore abbia acconsentito
• Controlla la correttezza degli script che impostano i cookie e delle modalità di esecuzione (cioè verifica che l’esecuzione degli stessi avvenga solo quando è stato raccolto un valido consenso)
• Assicurati di registrare e memorizzare il consenso di ogni utente e di essere pronto a documentare, in modo attendibile tramite un registro dei consensi, ogni consenso, revoca o rifiuto nel caso di richiesta di un’autorità per la protezione dei dati
• L’attendibilità della prova è garantita da misure che assicurino validazione (time stamp), integrità, immodificabilità, disponibilità delle pertinenti registrazioni.