La nuova disciplina sui cookies nel GDPR

Nel nuovo Regolamento Generale sulla protezione dei dati personali n. 679/2016 (GDPR) assume particolare rilievo la tematica dei cookies, delle tecnologie di tracciatura similari e il monitoraggio degli utenti on line.

I cookies non sono altro che file di testo inviati da un sito web al computer dell’utente che lo sta visitando. Nascono come strumenti per migliorare la navigazione, ma presto vengono utilizzati dalle aziende per identificare, riconoscere  e classificare l’utente (c.d. cookies di profilazione), in modo da poter creare degli annunci personalizzati su ogni sito visitato.

Con l’entrata in vigore del GDPR il 25 maggio 2018, tra le varie novità ed obblighi, verrà modificata la tipologia di trattamento riservata ai cookies, per i quali esistono già a livello europeo normative e provvedimenti specifici, quali la c.d. Cookie Law, le Linee Guida dei Garanti UE sul consenso e l’operatività dei cookies e il Provvedimento Generale del Garante sulle modalità semplificate per l’informativa e l’acquisizione del consenso.

Ed è proprio il consenso a subire la modifica più significativa: così come si evince dal combinato disposto dell’art. 7 comma 1 del GDPR e del Considerando n. 32, il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Ciò significa che l’unico comportamento positivo equivalente al consenso  sarà quello di selezionare una specifica impostazione tecnica tra le opzioni del browser sull’accettazione o sul diniego dei cookies.

Uno dei nuovo obblighi imposti dal GDPR prevede dei meccanismi di opt-out per la revoca del consenso prestato, che siano trasparenti e di efficacia pari alle modalità di acquisizione del consenso. Tecnicamente, quindi, ogni sito web dovrebbe impostare un pannello di controllo per l’utente che gli permetta di selezionare o deselezionare ogni singolo cookie.