Privacy online, pubblicate dalla Cnil le linee guida aggiornate su cookie ed altre tecnologie di tracciamento
Il 1 ° ottobre 2020, l'Autorità francese per la protezione dei dati (CNIL) ha pubblicato una versione rivista delle sue linee guida sui cookie e tecnologie similari, con le proprie raccomandazioni finali sulle modalità pratiche per ottenere il consenso degli utenti alla memorizzazione oppure all’utilizzo di cookie non essenziali e tecnologie simili sui propri dispositivi, nonché una serie di Faq.
Il 18 luglio 2019, la CNIL aveva infatti pubblicato le linee guida per specificare le regole applicabili all'uso di cookie e tecnologie similari in Francia alla luce dei requisiti di consenso rafforzati del Gdpr, che dovevano essere integrate dalle raccomandazioni per fornire gli orientamenti alle imprese nell'attuazione di tali regole, offrendo esempi concreti. Il 14 gennaio 2020, la CNIL ha poi pubblicato una prima versione delle raccomandazioni, che sono state in consultazione pubblica fino allo scorso 25 febbraio.
Il 19 giugno 2020, il più alto tribunale amministrativo francese (il "Conseil d’Etat") aveva poi emesso una decisione di annullamento parziale delle linee guida.
Il Conseil d'Etat aveva annullato la disposizione delle linee guida che impone un divieto generale e assoluto sui "cookie wall" che impediscono agli utenti che non acconsentono all'uso dei cookie di accedere a un sito o un'app mobile, e lo stesso giorno della sentenza la CNIL aveva pubblicato una dichiarazione in cui annunciava che avrebbe di conseguenza rivisto le proprie linee guida.
I punti chiave delle nuove linee guida e raccomandazioni includono:
Consenso degli utenti da ottenere su ciascun sito - La CNIL in precedenza riteneva che fosse accettabile richiedere il consenso degli utenti per un gruppo di siti se gli utenti fossero stati informati della portata esatta del loro consenso. Quando i cookie non essenziali sono impostati da entità diverse dall'editore web e tali cookie consentono il monitoraggio delle attività degli utenti attraverso altri siti, ora la CNIL consiglia vivamente di richiedere il consenso degli utenti individualmente per ciascun sito.
Informazioni da fornire agli utenti per ottenere il consenso informato: le Linee guida estendono leggermente l'elenco delle informazioni da fornire come minimo agli utenti per ottenere il loro consenso informato. Gli utenti non devono solo essere informati dell'identità del/dei responsabile/i del trattamento, delle finalità dell'uso di cookie e tecnologie simili e dell'esistenza del loro diritto di revocare il consenso, ma devono anche essere informati almeno di come possono accettare o rifiutare cookie e tecnologie simili e le conseguenze di tale accettazione o rifiuto.
Possibilità di rifiutare i cookie con la stessa semplicità con cui prestare il consenso - Sia le linee guida che le raccomandazioni sottolineano che deve essere altrettanto facile accettare o rifiutare l'uso dei cookie. Le interfacce di consenso che includono solo i pulsanti "accetta tutto" e "personalizza impostazioni", in base ai quali gli utenti possono accettare tutti i cookie con un click ma possono rifiutarli con più click, non sono lecite. Se è presente un pulsante "accetta tutto", deve esserci un pulsante "rifiuta tutto" della stessa dimensione e allo stesso livello sull'interfaccia. In alternativa, l'interfaccia per il consenso potrebbe includere un link "continua senza accettare". Deve essere chiaro agli utenti come possono rifiutare i cookie.
Rifiuto degli utenti dedotto dal loro silenzio: la CNIL aveva precedentemente riconosciuto la possibilità per gli utenti di ritardare la loro scelta e ha raccomandato a tal fine di inserire un pulsante a "crocetta" nell'interfaccia di consenso. La CNIL ora ritiene che il silenzio, la mancanza di reazione o l'azione degli utenti (diversi da un chiaro atto positivo che esprime il loro consenso) debbano essere interpretati come un rifiuto di impostare i cookie sui loro dispositivi.
Condizioni di esenzione dal consenso più flessibili per i cookie analitici - la CNIL ha considerato che i cookie analitici potrebbero essere esentati dal requisito del consenso, fatte salve condizioni rigorose, inclusa la possibilità per gli utenti di rinunciare a tali cookie. Di conseguenza, pochissime soluzioni di analisi potrebbero beneficiare dell'esenzione dal consenso. La CNIL ha ora ammorbidito queste condizioni. Tuttavia, l'esenzione dal consenso si applica ancora solo ai cookie analitici il cui scopo è limitato alla misurazione dell'audience del sito o dell'app solo per conto dell'editore web. Questi cookie analitici devono essere utilizzati esclusivamente per produrre statistiche anonime ei dati personali raccolti tramite i cookie non devono essere combinati con altri dati o attività di elaborazione e non devono essere condivisi con terze parti.
Cookie wall - Le linee guida non impongono più un divieto generale e assoluto sui “cookie wall”'. Tuttavia, la CNIL ritiene che questa pratica possa influire sulla libertà di consenso in alcuni casi e la legittimità della pratica deve essere valutata su un caso caso per caso. Inoltre, se viene implementato un cookie wall, gli utenti devono essere chiaramente informati delle conseguenze delle loro scelte, in particolare dell'impossibilità di accedere al contenuto del sito o dell'app o del servizio se non danno il consenso.
Prossimi passi - La CNIL consentirà un periodo di transizione di sei mesi per conformarsi alle nuove norme sulla legge sui cookie (ovvero fino alla fine di marzo 2021), dopodiché potrà effettuare ispezioni per applicare le linee guida. Tuttavia, in conformità con la giurisprudenza del Conseil d'Etat, la CNIL si riserva il diritto di intraprendere azioni contro determinate violazioni, in particolare in caso di violazioni particolarmente gravi del diritto alla privacy. Inoltre, durante il periodo di transizione, la CNIL continuerà a indagare sulle violazioni delle precedenti norme sulla legge sui cookie.
