Secondo le indicazioni del Garante Italiano, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente, quando equiparabili a cookie tecnici. Anche i cookie statistici di terza parte (come per esempio Google Analytics) possono essere assimilati a cookie tecnici, quando anonimizzati e utilizzati a soli fini statistici.
Per farlo, il Garante Italiano mette in rilievo la differenza tra cookie profilanti e non: in particolare quando di terze parti, il potere profilante del cookie può essere limitato mascherandone (anche parzialmente) l’indirizzo IP, non inviando così alla piattaforma terza il dato personale del visitatore del sito, e sempre a condizione che la piattaforma terza non effettui alcun incrocio con altri dati.
Vediamo allora come gestire correttamente i cookie analitici ai fini del GDPR.
(Articolo aggiornato con le Linee Guida di giugno 2020 del Garante)
Cookie Analitici di prima parte e terza parte
I cookie statistici possono essere utilizzati per valutare l’efficacia di un servizio web, per la sua progettazione o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.
L’Autorità Garante Italiana aveva già affermato (nel provvedimento del maggio 2014) che tali cookie analytics potessero essere ricompresi nella categoria di quelli tecnici e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, al verificarsi di determinate condizioni. Con il GDPR tali condizioni vengono ampliate.
SCHEMA SUL CORRETTO USO DEI COOKIE
Scorri la tabella a destra da mobile
| TIPO DI COOKIE | ORIGINE | CONDIZIONE | COOKIE policy | COOKIE banner | COOKIE CONSENT |
|---|---|---|---|---|---|
| Nessun Cookie | - | Se il sito web non installa cookie | No | No | No |
| Cookie Tecnici | di prima parte | Se il sito web installa solo cookie tecnici | Si | No | No |
| Cookie Funzionali | di prima parte | Se sono cookie di sessione | Si | No | No |
| Cookie Funzionali | di prima parte | Se sono cookie persistenti | Si | Si | Si |
| Cookie Analitici | di prima parte | Se il sito web non effettua profilazione | Si | Si | No |
| Cookie Analitici | di prima parte | Se il sito web effettua profilazione | Si | Si | Si |
| Cookie Analitici | di terza parte | Se anonimizzati e non incrociati con altri dati | Si | Si | No |
| Cookie Analitici | di terza parte | Se la terza parte incrocia i dati con altri sistemi o effettua profilazione | Si | Si | Si |
| Cookie Social Media | di terza parte | Se non incrociati con altri dati e non per profilazione (es: social sharing) | Si | Si | No |
| Cookie Social Media | di terza parte | Se incrociati con altri dati o per profilazione (es: video embeddati senza 'nocookie') | Si | Si | Si |
| Cookie Profilanti | di prima parte | Se il sito web profila a fini commerciali | Si | Si | Si |
| Cookie Profilanti | di terza parte | Se la terza parte profila a fini pubblicitari | Si | Si | Si |
Schema di sintesi degli adempimenti richiesti dalla GDPR, redatto partendo dall'infografica elaborata dal Garante Italiano della Privacy nei Chiarimenti al Provvedimento 229/2014 (nota come Cookie Law) e aggiornato sulla base delle linee guida attuali. Rispetto all'infografica originale, è venuto meno l'obbligo di Notifica, come illustrato in questa pagina del sito del Garante “In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste né la notifica preventiva dei trattamenti all’autorità di controllo, né una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento)”. Per l'elaborazione dello schema sopra proposto sono stati integrati contenuti e indicazioni riprese da altre fonti, come il “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” contenente i criteri di valutazione dei cookie tecnici, e le Linee guida cookie e altri strumenti di tracciamento di giugno 2021 in tema di consenso valido.
Affinché i cookie analitici possano essere equiparati ai cookie tecnici e come tali esenti dall’acquisizione del consenso, devono avere un grado di invasività minimo. Per i cookie di terza parte, la minimizzazione si ottiene innanzitutto effettuando l’anonimizzazione degli IP degli utenti (su piattaforme come Google Analytics) di modo che il codice di tracciamento possa essere utilizzato con il solo obbligo di specificarlo nella cookie policy. Quindi, sia per i cookie analitici di prima parte che di terza parte, adottando delle misure e delle precauzioni per evitare che il dato statistico possa essere incrociato con altre informazioni e diventare così profilazione.
Quando i cookie di analytics sono considerati “cookie tecnici”
I cookie statistici, sia di prima che di terza parte, possono essere installati senza il consenso dell’utente (equiparandoli a cookie tecnici) solo a determinate condizioni.
Tali condizioni sono le seguenti.
Se il cookie analitico è di prima parte e:
- Viene utilizzato unicamente per produrre statistiche interne (aggregate o con dati in chiaro, nel rispetto del vincolo di finalità) relative ad un singolo sito o una sola applicazione mobile, oppure relative a più domini, siti web o app riconducibili però sempre allo stesso titolare (prima parte).
Se il cookie analitico è di terza parte e:
- Viene utilizzato unicamente per produrre statistiche aggregate in relazione ad un singolo sito o una sola applicazione mobile
- Viene minimizzato (mascherandone almeno la quarta componente dell’indirizzo IP)
- I dati raccolti non sono condivisi o comunicati a terzi
- I dati raccolti non sono combinati con altri dati
In queste linee guida il Garante sottolinea la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.
È tuttavia chiaro che si possa reputare lecito, quando l’analisi statistica viene effettuata in proprio dalla prima parte (ovvero direttamente dal titolare del sito) il ricorso a statistiche relative a più domini, siti web o app riconducibili al medesimo titolare, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale.
Questo significa che le terze parti (che possono ad esempio fornire il servizio di web analysis) non dovranno comunque combinare i dati (anche così minimizzati) con altre elaborazioni (come file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi, in quanto questo comporterebbe un inaccettabile incremento dei rischi di identificazione dell’utente. Ciò tranne il caso in cui la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale.
Le nuove misure si allineano alle disposizioni dell’Art. 25, paragrafo 1, del Regolamento in materia di privacy by design, tali da “attuare in modo efficace i principi di protezione dei dati”: obiettivo conseguibile attraverso il ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti“.
Minimizzazione dei cookie di analytics di terza parte
Affinché i cookie analytics siano equiparati ai tecnici è quindi indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato, ovvero impedendo ai cookie analytics di risultare identificatori diretti ed univoci. A tal fine, la struttura del cookie analytics dovrà prevedere la possibilità che lo stesso cookie non sia riferibile soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve. Di regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie.
Google Analytics e GDPR
Come detto, i cookie statistici di terza parte, come per esempio Google Analytics, quando vengono utilizzati per meri fini statistici possono essere assimilati a cookie tecnici. Ciò avviene tramite la tecnica dell’anonimizzazione, con la quale il dato trasmesso alla piattaforma di analytics contiene solo le informazioni necessarie per rilevarne la provenienza e poter effettuare delle statistiche aggregate, ma non viene incrociato con altri dati e quindi ricondotto al singolo utente.
Solo se resi anonimi e non usati per fini diversi da quelli statistici, i cookie analitici di terze parti possono essere assimilati a cookie tecnici. Tuttavia, la sola anonimizzazione potrebbe non essere di per sè sufficiente a garantire che il dato grezzo raccolto non venga combinato con altri dati (del sito web, di analytics o di altri prodotti collegati) che messi insieme potrebbero profilare comunque l’utente.
Vediamo meglio un esempio con Google Analytics, che oggi è tra i sistemi di analytics più diffusi: di seguito vediamo come anonimizzarne i cookie e quali parametri il sistema prende in considerazione per fare profilazione o meno.
Anonimizzare gli IP di Analytics
Cosa fa Google Analytics quando anonimizza gli IP?
Come descritto sulla Guida di Google Analytics:
“Dal 25 maggio 2010, Analytics ha fornito la funzione _anonymizelp … per consentire ai proprietari di siti web di richiedere l’anonimizzazione di tutti gli indirizzi IP dei loro utenti nel prodotto. Questa funzione è stata progettata per aiutare i proprietari di siti a rispettare le norme sulla privacy o, in alcuni Paesi, le raccomandazioni delle autorità locali per la tutela dei dati, che possono impedire la memorizzazione delle informazioni relative agli indirizzi IP completi. Il mascheramento o l’anonimizzazione IP avviene non appena i dati vengono ricevuti dalla rete di raccolta di Analytics, prima che avvenga qualsiasi memorizzazione o elaborazione.”
Il processo di anonimizzazione IP in Analytics si svolge nell’arco di due passaggi nella procedura di raccolta, ed è schematizzato in questa immagine:
Così, quando arriva una richiesta a Google Analytics, sono incluse le informazioni aggiuntive nell’intestazione della richiesta HTTP (ad es. il tipo di browser utilizzato) e l’intestazione TCP/IP (ad es. l’indirizzo IP del richiedente), ma non l’ultima parte dell’indirizzo IP.
Per implementare correttamente il parametro (che deve essere eseguito prima della funzione di raccolta) seguire queste indicazioni della devguide di Google.
Anonimizzazione e portata statistica del cookie
Anonimizzando l’IP non si perde alcun dato relativo alle statistiche base di Analitics: utenti attivi, pagine visitate, lingua, località, flussi di utente… etc… in quanto nascondendo l’IP si mantengono le informazioni circa la località del visitatore o il tempo di permanenza sulle pagine visitate, rendendo più complesso (ma non impossibile) risalire al singolo utente.
Per impedire completamente a Google Analytics di “incrociare” le informazioni raccolte con altri prodotti, sarebbe infatti necessario non attivare (nelle impostazioni della Proprietà) la condivisione con altri Prodotti Google, il Benchmarking, i Segmenti e i Rapporti Socio-Demografici.
Anonimizzazione e incrocio con altri dati
Come abbiamo nell’articolo GDPR e Cookie: come mettere a norma il sito web, ai sensi del GDPR il controllo del comportamento è citato nell’ambito della profilazione (Considerando 24). Questo significa che anche se utilizzi Google Analytics con IP Anonimizzato potresti incrociare l’area geografica dei tuoi visitatori con altri dettagli (come l’indirizzo email aziendale o l’età) usando questi dati per dedurre informazioni aggiuntive (come gli interessi o il reddito) contribuendo così alla profilazione dell’utente.
Questo avviene anche se decidi di attivare, tra i parametri di Analytics, la condivisione dei dati con i Prodotti Google, il Benchmarking, i Segmenti e i Rapporti Socio-Demografici: per raccogliere questi dati aggiuntivi, Google Analytics utilizza infatti dei cookies diversi da quelli statistici anonimizzati tramite _anonymizeIP, considerati cookie profilanti.
In tutti questi casi, dovrai quindi compilare adeguatamente sia la Privacy Policy che la Cookie Policy (spiegando in modo accurato quali informazioni raccogli, lo scopo, l’utilizzo e l’elaborazione di terze parti) e anche acquisire il consenso esplicito (adeguando quindi il cookie consent) laddove richiesto.
Specificare il periodo di conservazione dei dati usati in profilazione
Come riportato sulla Guida ufficiale, Google Analytics ha introdotto i controlli per la conservazione dei dati, con effetto a partire dal 25 maggio 2018 (data di entrata in vigore del GDPR). Questi controlli richiedono al titolare del sito di impostare un periodo di conservazione che riguarda i dati a livello di utente ed evento, associati a cookie, identificatori utente (ad es. User ID) e identificatori pubblicitari (ad es. cookie DoubleClick, ID pubblicità di Android e Identifier for Advertisers di Apple).
Non sono interessati quindi i rapporti aggregati standard di Google Analytics ma la modifica riguarda solo i dati raccolti e utilizzati da funzioni avanzate, quali i segmenti personalizzati o altri sistemi di analisi più approfondita, che si basano sulla creazione di rapporti personalizzati.
Trattandosi di dati raccolti e utilizzabili in modo personalizzato, sarà quindi il Titolare del sito a dover indicare ad Analytics per quanto tempo dovrà conservare i dati prima di eliminarli, scegliendo tra: 14 mesi, 26 mesi, 38 mesi, 50 mesi, Non scadono automaticamente. Questa scelta deve essere ponderata in conformità al GDPR, pertanto valutando la tipologia di dato raccolto in analytics e la sua invasività a livello di privacy dell’utente.
Quando i dati raggiungono la fine del periodo di conservazione, vengono eliminati automaticamente.
Consulenza GDPR per l'adeguamento ai cookie
In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.
Contattaci per saperne di più.
Cosa devi sapere per gestire correttamente i Cookie sul tuo sito web:COME GESTIRE I COOKIE SUL TUO SITO WEB
Tipologie di cookie
Cosa sono i Cookie: tecnici, statistici e profilanti
Cosa sono i Cookie di Analytics
Cosa sono i Cookie di terze parti
Cosa fare sul sito
Come gestire i Cookie sul sito web
Cookie Policy e Cookie Banner
Cookie Consent e prova del consenso
Normative
Cookie e GDPR
Cookie e Linee Guida del Garante Privacy
Google Analytics e GDPR
Domande e risposte sui cookie:FAQ SUI COOKIE
Cosa sono i Cookie e a cosa servono
Cosa sono i Cookie?
Con il termine cookies (letteralmente ‘biscottini‘) si fa riferimento a tracker che collegano utenti e siti web. Il cookie vero è proprio è tipicamente un file di testo inviato sul computer dell’utente che in quel momento sta visitando il sito web. Con lo stesso termine, nel linguaggio comune si fa riferimento anche ad altre tecnologie assimilabili come i web beacon o clear gift, che tracciano gli utenti utilizzando metodologie diverse ma perseguono fini simili. Non tutti i cookie sono uguali e nemmeno le regole che ne autorizzano l’utilizzo. Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche.
A cosa servono i Cookie?
I cookie in origine sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione. Ben presto i cookie iniziarono ad essere utilizzati per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore. In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.
Cosa sono i Cookie tecnici?
I cookie tecnici servono per la navigazione del sito e sono strettamente necessari al funzionamento e alla fruizione dei contenuti in esso presente: ad esempio, per lo scorrimento della pagina, la consultazione dei contenuti, l’erogazione del servizio etc….
Cosa sono i Cookie analitici o statistici?
I cookie analitici o statistici vengono utilizzati per raccogliere informazioni utili sul numero degli utenti e su come questi visitano il sito, a fini di analizzarne le performance e migliorarne le prestazioni. Possono assumere un potere profilante se vengono incrociati con altri dati.
Cosa sono i Cookie di profilazione?
I cookie profilanti o di marketing sono cookie tipicamente utilizzati per raccogliere informazioni che, incrociate con altri dati, permettono di tracciare un profilo di navigazione dell’utente in modo da proporgli messaggi pubblicitari in linea con i suoi interessi. L’esempio più tipico sono le piattaforme pubblicitarie di terze parti che vendono spazi pubblicitari: per raggiungere questo scopo, queste piattaforme distribuiscono i loro cookie tramite più siti web (un esempio tipico è il pixel di Facebook) e così raccolgono i dati per una pubblicità comportamentale. In generale, un cookie diventa profilante laddove utilizzi le informazioni raccolte per scopi commerciali perseguiti tramite un processo automatizzato. La ragione di ciò è che i cookie che tracciano il comportamento dell'utente potrebbero essere un potenziale rischio per la privacy.
Cosa vuol dire Cookie di prima parte?
I Cookie di prima parte sono installati dal sito che l’utente sta visitando e gestiti direttamente dal gestore (editore) dello stesso sito; raccolgono dati che saranno trattati in modo proprietario sui server di quest’ultimo.
Cosa sono i Cookie di terza parte?
I Cookie di terza parte vengono installati attraverso il sito che l’utente sta visitando ma gestiti da un soggetto diverso dal gestore (editore) dello stesso sito; raccolgono dati che saranno trasmessi e trattati in una piattaforma e/o servizio esterno.
Documenti e Informative sul sito
Cosa scrivere nel Banner Cookie o informativa breve?
L’utente che accede per la prima volta a una qualsiasi pagina del sito dovrà visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al resto del contenuto. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare lasciando la possibilità all’utente di dare o meno un consenso all’uso di ogni singola categoria di cookie. Le dimensioni del banner devono essere adeguate in relazione ai diversi dispositivi e in relazione alle grandezze dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e/o inconsapevole.
Cosa scrivere nella Cookie Policy o Informativa estesa?
L’informativa estesa o Cookie Policy è un'area del sito web che descrive la politica sull'uso dei cookie. Può essere una pagina separata o una sottosezione della Privacy Policy dedicata ai cookie. Deve rispondere ai requisiti di trasparenza imposti dagli Art 12 e 13 del GDPR, e a tal fine deve descrivere la modalità di trattamento dei dati acquisiti tramite cookie visualizzando quali cookie utilizza il sito, le categorie in cui rientrano (finalità di trattamento) e la possibilità di attivare o disattivare determinate categorie di cookie. Questi dati possono essere esposti in una tabella dei cookie che riporta anche la scadenza (tempi di conservazione) e l’origine del cookie, ovvero l'eventuale piattaforma terza cui saranno trasmessi i dati (altri soggetti destinatari dei dati personali). Deve inoltre includere una modalità agevolata per revocare il consenso eventualmente già fornito. Deve essere accessibile sia dal banner breve sia da ogni pagina web: per questo motivo, viene tipicamente inserito il link di richiamo nel footer del sito.
Cosa è la Privacy Policy?
La Privacy Policy è un documento generale che descrive come un’organizzazione tratta tutti i dati raccolti: oggi, data l’enorme diffusione delle reti e delle tecnologie di connessione, per dati personali s'intendono nome, cognome, telefono o indirizzo email ma anche altri dati come ad esempio l'indirizzo IP, la geolocalizzazione dell'utente, i suoi dati biometrici, etc.... La Privacy Policy si compone di diverse sezioni, tra le quali i riferimenti del titolare e dei responsabili del trattamento dei dati, i diritti degli interessati, la tipologia dei dati trattati, le finalità del trattamento, i destinatari dei dati e altri soggetti terzi, il luogo di conservazione dei dati, i tempi di conservazione, i link per richiedere l’accesso ai dati, la revocare e/o la cancellazione. Descrive quindi come vengono trattate tutte le diverse tipologie di dati personali raccolti dall'azienda, per le diverse finalità.
Qual è la differenza tra Privacy Policy e Cookie Policy?
La Privacy Policy è un documento che descrive le modalità di trattamento di tutti i dati personali raccolti dall’azienda, attraverso o meno il sito Web, includendo dati provenienti da moduli di contatto, registrazioni al sito, registrazioni alla mailing list, acquisti etc... La Cookie Policy è un documento che si attiene specificamente all’uso dei cookie sul sito: può essere una sotto-sezione della Privacy Policy presente sul sito, dedicata ai dati personali raccolti tramite cookie.
Quando il consenso utente è obbligatorio?
È necessario il consenso dell'utente all'installazione dei Cookie? Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.
È obbligatorio tenere un registro dei consensi?
La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido. La norma chiede di fornire una prova documentale del consenso al rilascio dei cookie di profilazione. Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.
È possibile considerare consenso lo Scrolling?
Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida. Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile.
Come gestire i Cookie sul sito Web
Come gestire a norma i Cookie sul sito web?
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici). Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie, valutando quindi con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
- Cookie Banner
- Cookie Policy
- Cookie Consent
- Prova del consenso
Cosa fare se il sito ha solo cookie tecnici?
Come riportato nelle Linee guida del Garante Privacy ai cookie e altri strumenti di tracciamento (10 giugno 2021): Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.
Cosa fare se il sito ha cookie analitici o statistici?
Per il Garante italiano, l'adempimento sul sito web varia a seconda se il cookie è di prima parte o di terza parte, e se viene effettuata o meno profilazione. Più nello specifico, se il sito usa:
- cookie statistici di prima parte e non effettua profilazione è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di prima parte ma effettua profilazione è necessario anche il Cookie Consent
- cookie statistici di terza parte anonimizzati e non incrociati con altri dati è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di terza parte non anonimizzati o incrociati con altri dati è necessario anche il Cookie Consent
Cosa fare se il sito ha cookie profilanti?
Se il sito usa Cookie Profilanti a fini commerciali, sia di prima parte sia di terza parte, deve avere Cookie Policy, Cookie banner e rilevare sempre il consenso degli utenti tramite un opportuno sistema di Cookie Consent.
Altre domande sui cookie
Cosa vuol dire CMP (Consent Management Platform)?
CMP significa Consent Management Platform letteralmente piattaforma di gestione del consenso . Sono sistemi che si occupano di acquisire e gestire il consenso dell'utente sul sito web, in relazione alla raccolta e al trattamento delle informazioni personal tramite cookie o altri tracker di terze parti. Insieme al cookie banner, il CMP è usato per rendere il sito conforme alle leggi sulla privacy dei dati.
Cosa vuol dire TCF (Transparency and Consent Framework)?
TCF sta per Transparency and Consent Framework: è uno standard per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari profilati online. Creato da IAB Europe (Interactive Advertising Bureau) per assistere gli editori, le industrie tecnologiche e gli inserzionisti nell’essere conformi al GDPR e alla Direttiva ePrivacy dell’UE. Molti sistemi CMP si adeguano a questo standard per garantire la conformità delle procedure offerte.
Google Analytics è conforme alla GDPR?
Raccogliendo dati con Google Analytics Universal (GA), Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati. Per questo motivo il Garante della Privacy italiano ha dichiarato l'uso di GA illegittimo (se configurato client-side) dopo che già nel 2020 la Corte di Giustizia europea aveva annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa (nota con il nome di sentenza Schrems II) motivata dal fatto che la normativa statunitense non dava le garanzie richieste dal GDPR in termini di sorveglianza governativa su quei dati.
Esistono altre piattaforme online non conformi al GDPR?
Quali servizi online pongono il problema del trasferimento dati in USA? Oltre a Google Analytics, il problema del tracciamento tramite cookie di terza parte e trasferimento dati in Usa si pone per moltissimi altri servizi online: dalle campagne in remarketing di Google Ads alle campagne Facebook Ads. Il Garante “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali” (ndr: dove per altri servizi analoghi s’intende che effettuano trasferimento in Usa e profilazione dell’utente).
Fonti Articolo
Fonti ufficiali e altri articoli di riferimento
ePrivacy
Direttiva 2002/58/CE (ePrivacy)
Modifica alla ePrivacy
Direttiva 2009/136/CE
Provvedimento Garante Italiano (Cookie Law)
Provvedimento 229/2014
Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016
Sito del Garante Italiano: are dedicata ai cookie
Cookie e privacy: istruzioni per l´uso
Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante
Sito del Garante: Decadimento dell’obbligo di Notifica
Doveri
Sito del Garante: pareri del ex Gruppo Articolo 29
I pareri del Gruppo Articolo 29
Sito del Garante: linee guida elaborate dal Gruppo Art. 29
Linee guida elaborate dal Gruppo Art. 29
Ex Gruppo Articolo 29
Il Gruppo Articolo 29
Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)
Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679
Guida di Analytics | Anonymize IP: cosa fa
Guida di Google Analytics: cosa fa l’Anonymize IP
Guida di Analytics | Anonymize IP: come fare
Guida di Google Analytics: devguide
Guida di Analytics | Periodo di Conservazione
Conservazione dei dati
Google Analytics | Periodo di Conservazione
Anonimizzare Google Analytics ed evitare l’incrocio dati
Featured Image
termly.io
Contattaci per saperne di più
Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!