Cookie Analytics. Tecnici o di profilazione?

Togliamoci subito il dente:

i cookie analitici sono di PROFILAZIONE, e questo è indiscutibile. 

Premessa

Nella FAQ del Garante Privacy numero 4 alla domanda <<I cookie analytics sono cookie “tecnici”?>>, la risposta è perentoria: NO

Nel secondo comma della stessa FAQ viene riportato quanto segue: “Qualora, invece, l’elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.”

Che, in modo molto più semplice, significa che se impostiamo gli analytics utilizzando il principio di “privacy by default”, cioè di minimizzazione dei dati, possiamo prevedere informative e consenso con le stesse regole che usiamo per quelli tecnici, pur non essendo comunque tali.

Nella FAQ numero 5, invece, alla domanda <<È necessario il consenso dell’utente per l’installazione dei cookie sul suo terminale?>>, la risposta è: “Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.

Ovvero, per l’installazione dei cookie tecnici e di quelli analytics impostati secondo la minimizzazione, non è richiesto il consenso degli utenti, mentre è comunque sempre necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679).

I cookie di profilazione veri e propri, o gli altri strumenti di tracciamento, invece, possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.”

Nella FAQ numero 6, alla domanda <<In che modo il titolare del sito deve fornire l’informativa semplificata e richiedere il consenso dei cookie di profilazione?>>, la risposta è: […] “Pur nel rispetto dell’accountability del titolare e dunque della sua libertà di scelta delle misure e delle soluzioni che meglio garantiscano la conformità agli obblighi di legge, il Garante tuttavia suggerisce l’adozione di un meccanismo per il quale, nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), compaia immediatamente un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.”

Quindi, fatte queste doverose premesse, non c’è dubbio nell’affermare che i cookie analytics sono cookie di profilazione e non tecnici, che se installati utilizzando il principio di minimizzazione dei dati possono essere utilizzati anche senza consenso, ma che, essendo dei cookie di profilazione, richiedono sempre una informativa semplificata che solitamente viene data tramite un banner privacy.

Più specificatamente, se non installiamo cookie sul sito (ad eccezione di quelli tecnici per il funzionamento del sito), possiamo non utilizzare un sistema “banner”, ma occorre comunque specificarlo nell’informativa privacy del sito stesso, conosciuta ai più come Privacy Policy. 

Se, invece, utilizziamo degli analytics, cookie definiti dal Garante come di Profilazione, dobbiamo utilizzare un banner per una informativa breve. Possiamo però far partire gli analytics senza consenso, se utilizzati in regime di minimizzazione dei dati.

In sintesi, come anticipato all’inizio, i cookie analytics sono quindi cookie di profilazione, come definito dall’ Autorità Garante per la protezione dei dati personali.

Da notare che inizialmente il Garante aveva dichiarato che tutti gli analytics erano di profilazione, anche in forma anonima, rettificando in seguito (correttamente, a nostro avviso), l’interpretazione della minimizzazione dei dati, permettendo, in caso di minimizzazione – e quindi anonimizzazione dei dati – di attivarli senza il pregresso consenso dell’utente. 

Fuorviante, invece, è intendere gli analytics come cookie tecnici, in quanto molti gestori di siti, con questa visione, potrebbero configurarli in maniera errata e farli diventare traccianti di dati personali.

Infine, il Garante Privacy parla di analytics in generale, quindi non solo di Google Analytics e del mondo Google, in quanto ne esistono tanti altri per i quali valgono le stesse regole.

Il nostro consiglio finale è di trattare con molta attenzione i cookie analytics, essendo un terreno piuttosto insidioso, per i quali sarebbe opportuno almeno un piccolo consulto con un esperto in merito, onde evitare salate sanzioni da parte dell’Autorità garante.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su
My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: