Togliamoci subito il dubbio:
i cookie analytics sono cookie di PROFILAZIONE, questo è un dato di fatto.
Premessa
Nella FAQ numero 4 del Garante Privacy, alla domanda «I cookie analytics sono cookie “tecnici”?», la risposta è netta: "NO".
Il secondo comma chiarisce:
“Qualora, invece, l’elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.”
In breve: solo se si applica la minimizzazione dei dati (“privacy by default”), si possono applicare le stesse regole previste per i cookie tecnici riguardo informativa e consenso, ma i cookie analytics rimangono comunque diversi dai cookie tecnici.
Nella FAQ 5 «È necessario il consenso dell’utente per l’installazione dei cookie sul suo terminale?», si precisa:
“Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”. Per tecnici o analytics impostati nel rispetto della minimizzazione dei dati, non è richiesto il consenso (ma va sempre fornita l’informativa ex art. 13 GDPR). Per i cookie di profilazione (o altri strumenti di tracciamento) serve consenso esplicito dopo informativa chiara.”
Nella FAQ 6 «In che modo il titolare del sito deve fornire l’informativa semplificata e richiedere il consenso dei cookie di profilazione?», il Garante raccomanda l’adozione di un meccanismo che presenti subito una “prima informativa breve”, la richiesta del consenso e un link a un’informativa “estesa”, dove l’utente può scegliere in modo dettagliato quali cookie accettare.
Quindi:
- Gli analytics sono cookie di profilazione e non tecnici.
- Se sono impostati con minimizzazione/anonimizzazione dei dati, possono essere usati anche senza consenso; resta però sempre necessaria una informativa chiara.
- Se non installi cookie (tranne tecnici), puoi anche evitare il banner, ma devi specificare la cosa nella privacy policy.
- Se usi analytics (quindi cookie di profilazione), serve almeno un banner informativo breve.
- Puoi avviare gli analytics senza consenso solo se rispettano i criteri della minimizzazione e l’anonimizzazione dei dati.
In Sintesi
Come ribadito, i cookie analytics sono cookie di profilazione secondo l'Autorità Garante per la protezione dei dati personali.
All’inizio il Garante aveva dichiarato che tutti gli analytics, anche anonimi, fossero di profilazione. Successivamente ha corretto il tiro: se sono anonimizzati e i dati sono minimizzati, possono essere attivati senza consenso previa informativa.
Perché non considerarli tecnici?
Considerare gli analytics come tecnici può spingere i gestori a impostarli in modo scorretto, esponendo a rischi di trattamento illecito e sanzioni.
Il Garante si riferisce agli “analytics” in senso generale, non solo a Google Analytics: tutte le piattaforme analytics sono soggette alle stesse regole.
Consiglio: opera sempre con attenzione sui cookie analytics e, in caso di dubbi, contattaci. Eviterai sanzioni e preoccupazioni!
