Il Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR introduce dei requisiti specifici per l’ottenimento di un consenso valido ai fini del trattamento dei dati personali. I cookie e le tecnologie di tracciamento affini potrebbero trattare dati personali degli utenti online e, per questo motivo, i siti web devono allinearsi ai requisiti richiesti dal GDPR, informando correttamente l’utente e acquisendo un consenso valido.
Il Comitato Europeo per la Protezione dei Dati (EDPB) durante l’aggiornamento di maggio 2020 ha rivisto le sue linee guida, focalizzandosi proprio sul meccanismo per la raccolta di un consenso valido secondo il GDPR, e le autorità nazionali preposte alla protezione dei dati hanno di conseguenza allineato le loro disposizioni sui cookie.
Ogni sito web dovrà:
- Integrare un meccanismo di Cookie Consent valido
- Permettere all’utente di modificare il consenso dato
- Documentare l’acquisizione del consenso acquisito (prova del consenso)
In questo articolo vediamo cosa s’intende per consenso valido e come si può produrne la prova.
GDPR e Cookie
Il GDPR, acronimo di General Data Protection Regulation, è una norma europea promulgata nel 2016 che disciplina la raccolta e il trattamento dei dati personali degli abitanti dell’Unione Europea. Obiettivo della norma è proteggere i dati delle persone fisiche e tutelarne la privacy, anche su web.
Con l’entrata in vigore del GDPR ha assunto un particolare rilievo il tema dei cookies e di tutti i sistemi utilizzati online per il tracciamento degli utenti: il regolamento europeo ha richiesto ai gestori dei siti una maggiore attenzione alla modalità di raccolta di questi dati, e la messa a punto di sistemi idonei all’acquisizione di un consenso valido per ogni singola finalità di trattamento.
Per il GDPR il consenso è l’unica base giuridica che legittima il trattamento di dati personali acquisiti tramite cookie, (fino a quando tale consenso non sia revocato). Il consenso è un atto positivo inequivocabile che manifesta con la volontà dell’interessato: deve essere un atto esplicito frutto di una libera scelta, fornito per ogni finalità di trattamento e che può essere revocato in qualsiasi momento con la stessa facilità con cui è stato reso (rif. Art. 7 e il CONS. 32 ).
Cosa significa che "il consenso è una base giuridica di trattamento?..."
Significa che il consenso autorizza il trattamento di un dato personale. L’art. 5 del Regolamento UE 2016/679 (GDPR) dispone che i dati personali siano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»). Negli articoli successivi (Art. 6 – 9) si definisce cosa s’intende per base giuridica di trattamento e si indica quali sono le basi che autorizzano legalmente al trattamento dei dati personali. In assenza di una di queste basi legali, il trattamento è illecito.
Le basi giuridiche di trattamento sono 7:
- Consenso (a meno che non sia successivamente revocato)
- Obbligo di Contratto (per l’esecuzione di un contratto di cui l’interessato è parte)
- Obbligo di Legge (ad esempio, la consegna di documenti al commercialista per redigere le dichiarazioni)
- Autorità di Legge
- Interesse Legittimo del Titolare (ad esempio per la prevenzione delle frodi o per marketing diretto)
- Interesse vitale (tutela degli interessi vitali dell’interessato o altra persona fisica)
- Interesse pubblico o pubblico potere
Art. 4 - 11) La definizione di consenso del GDPR...
L’art. 4 al punto 11 del Regolamento UE 2016/679 (GDPR) offre la definizione di
- «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento
Art. 7 - Le condizioni per il consenso del GDPR...
L’art. 7 del Regolamento UE 2016/679 (GDPR) cita testualmente:
- 1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
- 2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
- 3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
- 4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
Cosa s’intende per consenso valido
Il GDPR espone i principi ma non indica espressamente le regole da applicare al sito web. Per questo motivo, le autorità europee e nazionali preposte alla protezione dei dati hanno più volte allineato le loro disposizioni sui cookie, fornendo nel tempo linee guida, chiarimenti e Faq che descrivono come rendere le applicazioni web idonee ai requisiti del GDPR
Il Comitato europeo per la protezione dei dati (EDPB) è il principale organo supervisore del GDPR in Europa, con la responsabilità di indirizzare le autorità nazionali per la protezione dei dati di ciascun Paese dell’UE in merito alle modalità di applicazione del GDPR. Nel maggio 2020 ha emanato delle nuove linee guida del Comitato europeo per la protezione dei dati (EDPB) che chiariscono in particolare cosa si intende per consenso valido in conformità con il GDPR.
Il consenso è valido quando è informato, specifico, precedente a qualsivoglia trattamento dei dati dell’utente, revocabile e non incluso nelle condizioni di prestazione di un servizio.
Nel seguito dell’articolo vediamo l’applicazione pratica.
Il consenso all’uso dei Cookie sul sito
In tema di gestione dei cookie, l’entrata in vigore del GDPR ha richiesto ai titolari dei siti web un’attenzione particolare nel trovare nuove soluzioni tecniche per rendere il sito GDPR compliant, in particolare in tema di consenso dell’utente. Se si fa uso di cookie sul proprio sito web, è necessario:
- Informare gli utenti che il sito utilizza i cookie
- Spiegare quali cookie si usano e il perché
- Ottenere il consenso informato prima di memorizzare i cookie sul dispositivo dell’utente
Nella pratica, ciò avviene mostrando un cookie banner alla prima visita dell’utente, con un’informativa breve, il link ad una cookie policy più estesa e la possibilità di prestare il consenso ai cookie per poter essere rilasciati sul dispositivo. Prima di ottenere il consenso, nessun cookie può essere installato, a eccezione dei cookie tecnici che sono esenti dall’obbligo del consenso.
Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa completa ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.
Cookie Banner e blocco preventivo
Il consenso ai cookie deve essere autorizzato liberamente e basato su un’azione esplicita e positiva dell’utente: il gestore del sito ha l’obbligo di raccogliere il consenso informato dell’utente prima di memorizzare qualsiasi informazione sul suo dispositivo.
La funzione svolta dal Cookie Banner diventa quindi duplice: è sia informativa, sia deve bloccare preventivamente tutti i cookie profilanti e anche i cookie di terze parti (come ad esempio quelli per la condivisione sui social come Facebook o Twitter) che vengono installati tramite il proprio sito web fino all’acquisizione del consenso. Il sito web non dovrà quindi scaricare nessun cookie e dovrà bloccare tutti gli oggetti di terze parti (widget, video embeddati, etc..) presenti nelle pagine web, fino all’acquisizione del consenso.
Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile. Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida.
Consenso granulare per singola finalità di trattamento
Una delle più grosse novità portate dall’entrata in vigore del GDPR è stata la modifica delle condizioni di acquisizione del consenso, che per essere considerato valido deve essere richiesto per singola tipologia di trattamento: non può più essere un consenso esteso.
Il consenso “esteso” (CONS. 32) ovvero non granulare e non specifico per singola finalità, si considera come non dato: questo significa che se un contratto o un sito obbliga a mettere un consenso esteso e/o aggiuntivo ad una finalità specifica, il consenso diventa invalido sul tutto.
Il sito web deve acquisire il consenso per singola finalità di trattamento, dando all’utente la possibilità di scegliere per quali categorie di cookie acconsentire o negare all’uso. Questo si definisce consenso granulare. Seguendo gli stessi principi, il fatto che il consenso debba essere un atto libero ed esplicito significa che qualsiasi atto impositivo del titolare del trattamento non ha valore: ad esempio non vale la preselezione di caselle da parte del titolare del sito.
Esempio di Cookie Banner con consenso granulare e pannello preferenze: l’utente può scegliere quali categorie di cookie abilitare, quindi acconsentire ai soli selezionati. La categoria ‘Necessario‘ include i cookie tecnici (scaricati per default) mentre le altre categorie raggruppano gli altri sistemi di tracciamento soggetti a consenso.
Da qui, l’indicazione pratica di riportare nel banner breve il link ad un’area dedicata nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente può scegliere di acconsentire o meno, prestando anche il consenso all’impiego di tutti i cookie (se non dato in precedenza) o revocarlo (se già espresso) in unica soluzione.
In questa sezione, non si possono presentare caselle preselezionate come impostazione predefinita. Le caselle di scelta per ogni tipologia di cookie (ad eccezione di quelli tecnici) devono essere deselezionati e disattivati per default, in modo che gli utenti possano dare il loro consenso con un’azione chiara e affermativa.
Gli utenti devono quindi essere sempre in grado di fornire liberamente il proprio consenso alle diverse categorie di cookie: per questo motivo, sono considerati illeciti i cookie wall ovvero i banner che costringono gli utenti ad acconsentire a tutti i cookie per poter accedere ai contenuti del sito, pena l’impossibilità di accedere al contenuto.
L’acquisizione di un consenso valido richiede l’implementazione di un sistema di cookie consent correttamente collegato al cookie banner: si tratta di una funzione che deve essere correttamente implementata dal punto di vista tecnico. Non è sufficiente mostrare a video i campi e le informative richieste, ma il sistema deve effettivamente funzionare bloccando lo scarico dei cookie oppure attivandolo in base alle scelte dell’utente. Se hai bisogno di una consulenza, contattaci.
Cookie Policy
L’informativa estesa è contenuta in un’area del sito denominata Cookie Policy che dovrà essere sempre accessibile da qualsiasi pagina del sito (ad esempio, tramite ad un link nel footer del sito).
Include l’elenco di tutti i cookie scaricati, la descrizione, finalità, origine/destinazione (terza parte), periodo di conservazione (durata della sessione). Per tutti i cookie di terze parti installati tramite il proprio sito stesso si deve indicare nella cookie policy tutti i link alle rispettive informative della terza parte: ciò è sempre richiesto ma da solo insufficiente (come invece lo era in passato, parliamo prima del 25 maggio 2018), in quanto rientra negli obblighi del titolare del sito anche bloccare i cookie di terza parte e acquisire il consenso.
L’informativa ai cookie deve essere strutturata due sue livelli: informativa breve o cookie banner e informativa estesa o cookie policy. Ogni livello deve riportare delle informazioni ben precise: per saperne di più, leggi il nostro articolo Cosa scrivere nell’informativa: Cookie Banner e Cookie Policy.
Modifica del consenso all’uso dei cookie
Il consenso deve può essere revocato in qualsiasi momento con la stessa facilità con cui è stato reso. Nelle Linee Guida del 10 giugno 2021 il Garante ne sottolinea nuovamente l’importanza.
L’utente deve poter revocare in ogni momento il consenso dato, a posteriori e a partire da qualsiasi pagina del sito, attraverso un apposito link che renda accessibile il pannello delle preferenze oppure l’informativa estesa dove modificare le sue preferenze
Una soluzione tipica è quella di inserire nel footer di qualsiasi pagina del dominio il link alla cookie policy, oltre ad un link per richiamare direttamente il pannello preferenze e/o un widget di controllo come quello mostrato nell’immagine di esempio:
Cookie e modifica del Consenso: Esempio di una funzione di controllo creata con il CMP CookieBot, che mette a disposizione (opzionalmente) anche un widget, grazie al quale l’utente può verificare le scelte attivate e i consensi forniti (in questo caso, sono stati attivati tutti i cookie), completo di data e ora. Cliccando su ‘Modifichi il suo consenso‘ si ritorna al pannello preferenze.
La prova del consenso ai Cookie
L’articolo 7 del GDPR infatti cita che “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali“. Tuttavia il Regolamento non prescrive esattamente come dimostrare di aver acquisito un consenso valido: il titolare del trattamento dati è libero di scegliere un proprio metodo.
La normativa parla di dimostrare che il consenso sia stato prestato in modo esplicito e inequivocabile: per questo motivo si parla di consenso valido e della prova documentata di un’azione chiara e affermativa da parte dell’utente.
Il metodo con cui si effettua la raccolta del consenso ne determina la validità; come abbiamo visto nei paragrafi precedenti:
- Informazioni chiare e dettagliate
- Indicazione delle preferenze espresse dall’utente mediante un comportamento attivo
- Possibilità di scegliere liberamente se accettare o rifiutare i cookie per singola finalità
- Possibilità di modificare e/o revocare il consenso dato
La scelta dell’utente viene memorizzata in un cookie tecnico, che registra il consenso/rigetto al rilascio dei cookie di profilazione ed è il medesimo che impedirà al banner cookie di comparire nuovamente al successivo accesso dello stesso utente. Questo file però viene salvato sul dispositivo dell’utente: le stesse informazioni andrebbero quindi memorizzate anche in un file sul server del titolare del sito.
Esiste il registro dei consensi all’uso dei cookie?
La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido.
La norma chiede tuttalpiù di fornire una prova documentale del consenso al rilascio dei cookie di profilazione.
Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.
La prova documentale del consenso
Dimostrare di aver ottenuto un consenso valido risponde al principio di accountability del GDPR (Art 5): ciò richiede una prova documentale che vada a includere le informazioni sull’ottenimento dei consensi ai cookie di profilazione.
I siti web devono essere in grado di fornire una prova documentale del consenso tenendo traccia in un apposito file di log di tutti gli indirizzi IP che hanno prestato il consenso al rilascio dei cookie di profilazione. Questo file permette il recupero di tutti i dati utili a dimostrare che un particolare indirizzo IP abbia fornito (o meno) il consenso ai cookie di profilazione, includendo una tabella con informazioni quali:
| INFOMAZIONE | COSA INDICA |
|---|---|
| Indirizzo IP | Che ha fornito il consenso (eventualmente anonimizzato) |
| Data e Ora | Quando è stato fornito il consenso |
| Url | Indirizzo della pagina web dove è stata effettuata la raccolta |
| Consent ID | Codice http relativo alla transazione |
| User Agent | Applicazione installata sul dispositivo dell’utente che si è connessa al sito |
| Paese | Codice nella Nazione di riferimento |
| Cookie Banner | Tipo di modulo proposto all’utente |
| Preferenze espresse | Preferenze espresse per ogni categoria di cookie |
| Policy | Riferimento a documenti legali e condizioni (cookie policy) nel momento in cui si ha ottenuto il consenso |
L’elenco dei consensi è solitamente memorizzato in un file di log che può essere esportato in vari formati (es. in .csv).
La prova del consenso al rilascio dei cookie viene prodotta dal sistema CMP (Cookie Management Platform) in uso. Oltre ai dati sopra elencati, alcuni sistemi memorizzano alcune informazioni aggiuntive. L’obbligo di dimostrare l’ottenimento di un consenso valido non deve però portare a memorizzare quantità eccessive di dati supplementari sull’utente: è necessario disporre dei dati sufficienti per fornire la prova che è stato ottenuto il consenso, senza raccogliere più informazioni di quanto necessario.
Consulenza GDPR per l'adeguamento ai cookie
In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.
Contattaci per saperne di più.
Domande e risposte sui cookie:FAQ SUI COOKIE
Cosa sono i Cookie?
"Cosa sono i Cookie?"
Con il termine cookies (letteralmente ‘biscottini‘) si fa riferimento a tracker che collegano utenti e siti web. Il cookie vero è proprio è tipicamente un file di testo inviato sul computer dell’utente che in quel momento sta visitando il sito web. Con lo stesso termine, nel linguaggio comune si fa riferimento anche ad altre tecnologie assimilabili come i web beacon o clear gift, che tracciano gli utenti utilizzando metodologie diverse ma perseguono fini simili. Non tutti i cookie sono uguali e nemmeno le regole che ne autorizzano l’utilizzo. Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche.
A cosa servono i Cookie?
"A cosa servono i Cookie?"
I cookie in origine sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione. Ben presto i cookie iniziarono ad essere utilizzati per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore. In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.
Cosa sono i Cookie tecnici?
"Cosa vuol dire Cookie tecnico?"
I cookie tecnici servono per la navigazione del sito e sono strettamente necessari al funzionamento e alla fruizione dei contenuti in esso presente: ad esempio, per lo scorrimento della pagina, la consultazione dei contenuti, l’erogazione del servizio etc….
Cosa sono i Cookie statistici?
"Cosa vuol dire Cookie analitico o statistico?"
I cookie analitici o statistici vengono utilizzati per raccogliere informazioni utili sul numero degli utenti e su come questi visitano il sito, a fini di analizzarne le performance e migliorarne le prestazioni. Possono assumere un potere profilante se vengono incrociati con altri dati.
Cosa sono i Cookie di profilazione?
"Cosa vuol dire Cookie profilante?"
I cookie profilanti o di marketing sono cookie tipicamente utilizzati per raccogliere informazioni che, incrociate con altri dati, permettono di tracciare un profilo di navigazione dell’utente in modo da proporgli messaggi pubblicitari in linea con i suoi interessi. L’esempio più tipico sono le piattaforme pubblicitarie di terze parti che vendono spazi pubblicitari: per raggiungere questo scopo, queste piattaforme distribuiscono i loro cookie tramite più siti web (un esempio tipico è il pixel di Facebook) e così raccolgono i dati per una pubblicità comportamentale. In generale, un cookie diventa profilante laddove utilizzi le informazioni raccolte per scopi commerciali perseguiti tramite un processo automatizzato. La ragione di ciò è che i cookie che tracciano il comportamento dell'utente potrebbero essere un potenziale rischio per la privacy.
Cosa sono i Cookie di prima parte?
"Cosa vuol dire Cookie di prima parte?"
I Cookie di prima parte sono installati dal sito che l’utente sta visitando e gestiti direttamente dal gestore (editore) dello stesso sito; raccolgono dati che saranno trattati in modo proprietario sui server di quest’ultimo.
Cosa sono i Cookie di terza parte?
"Cosa vuol dire Cookie di terza parte?"
I Cookie di terza parte vengono installati attraverso il sito che l’utente sta visitando ma gestiti da un soggetto diverso dal gestore (editore) dello stesso sito; raccolgono dati che saranno trasmessi e trattati in una piattaforma e/o servizio esterno.
Consenso utente obbligatorio
"È necessario il consenso dell'utente all'installazione dei Cookie?"
Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.
Registro dei consensi
"È obbligatorio tenere un registro dei consensi?"
La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido. La norma chiede di fornire una prova documentale del consenso al rilascio dei cookie di profilazione. Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.
Scrolling e consenso
"È possibile considerare "consenso" lo Scrolling?"
Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida. Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile.
Banner Cookie o informativa breve
"Cos'è e cosa scrivere nel banner cookie?"
L’utente che accede per la prima volta a una qualsiasi pagina del sito dovrà visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al resto del contenuto. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare lasciando la possibilità all’utente di dare o meno un consenso all’uso di ogni singola categoria di cookie. Le dimensioni del banner devono essere adeguate in relazione ai diversi dispositivi e in relazione alle grandezze dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e/o inconsapevole.
Cookie Policy o Informativa estesa
"Cos'è e cosa scrivere nell'informativa estesa?"
L’informativa estesa o Cookie Policy è un'area del sito web che descrive la politica sull'uso dei cookie. Può essere una pagina separata o una sottosezione della Privacy Policy dedicata ai cookie. Deve rispondere ai requisiti di trasparenza imposti dagli Art 12 e 13 del GDPR, e a tal fine deve descrivere la modalità di trattamento dei dati acquisiti tramite cookie visualizzando quali cookie utilizza il sito, le categorie in cui rientrano (finalità di trattamento) e la possibilità di attivare o disattivare determinate categorie di cookie. Questi dati possono essere esposti in una tabella dei cookie che riporta anche la scadenza (tempi di conservazione) e l’origine del cookie, ovvero l'eventuale piattaforma terza cui saranno trasmessi i dati (altri soggetti destinatari dei dati personali). Deve inoltre includere una modalità agevolata per revocare il consenso eventualmente già fornito. Deve essere accessibile sia dal banner breve sia da ogni pagina web: per questo motivo, viene tipicamente inserito il link di richiamo nel footer del sito.
Privacy Policy
"Cos'è la Privacy Policy?"
La Privacy Policy è un documento generale che descrive come un’organizzazione tratta tutti i dati raccolti: oggi, data l’enorme diffusione delle reti e delle tecnologie di connessione, per dati personali s'intendono nome, cognome, telefono o indirizzo email ma anche altri dati come ad esempio l'indirizzo IP, la geolocalizzazione dell'utente, i suoi dati biometrici, etc.... La Privacy Policy si compone di diverse sezioni, tra le quali i riferimenti del titolare e dei responsabili del trattamento dei dati, i diritti degli interessati, la tipologia dei dati trattati, le finalità del trattamento, i destinatari dei dati e altri soggetti terzi, il luogo di conservazione dei dati, i tempi di conservazione, i link per richiedere l’accesso ai dati, la revocare e/o la cancellazione. Descrive quindi come vengono trattate tutte le diverse tipologie di dati personali raccolti dall'azienda, per le diverse finalità.
Differenza tra Privacy Policy e Cookie Policy
"Qual è la differenza tra Privacy Policy e Cookie Policy?"
La Privacy Policy è un documento che descrive le modalità di trattamento di tutti i dati personali raccolti dall’azienda, attraverso o meno il sito Web, includendo dati provenienti da moduli di contatto, registrazioni al sito, registrazioni alla mailing list, acquisti etc... La Cookie Policy è un documento che si attiene specificamente all’uso dei cookie sul sito: può essere una sotto-sezione della Privacy Policy presente sul sito, dedicata ai dati personali raccolti tramite cookie.
Come gestire i Cookie sul sito web?
"Come mettere a norma un sito: GDPR e uso corretto dei Cookie"
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici). Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie, valutando quindi con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
- Cookie Banner
- Cookie Policy
- Cookie Consent
- Prova del consenso
Sito con soli cookie tecnici
"Cosa fare se il sito ha solo cookie tecnici"
Come riportato nelle Linee guida del Garante Privacy ai cookie e altri strumenti di tracciamento (10 giugno 2021): Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.
Sito con cookie statistici
"Cosa fare se il sito ha cookie analitici o statistici?"
Per il Garante italiano, l'adempimento sul sito web varia a seconda se il cookie è di prima parte o di terza parte, e se viene effettuata o meno profilazione. Più nello specifico, se il sito usa:
- cookie statistici di prima parte e non effettua profilazione è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di prima parte ma effettua profilazione è necessario anche il Cookie Consent
- cookie statistici di terza parte anonimizzati e non incrociati con altri dati è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di terza parte non anonimizzati o incrociati con altri dati è necessario anche il Cookie Consent
Sito con cookie profilanti
"Cosa fare se il sito ha cookie profilanti?"
Se il sito usa Cookie Profilanti a fini commerciali, sia di prima parte sia di terza parte, deve avere Cookie Policy, Cookie banner e rilevare sempre il consenso degli utenti tramite un opportuno sistema di Cookie Consent.
Google Analytics e Fingerprint
"Cosa significa Fingerprint?"
Raccogliendo dati con Google Analytics Universal (GA), Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati. Per questo motivo il Garante della Privacy italiano ha dichiarato l'uso di GA illegittimo (se configurato client-side) dopo che già nel 2020 la Corte di Giustizia europea aveva annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa (nota con il nome di sentenza Schrems II) motivata dal fatto che la normativa statunitense non dava le garanzie richieste dal GDPR in termini di sorveglianza governativa su quei dati.
Cookie di terze parti USA
"Quali servizi online pongono il problema del trasferimento dati in USA?"
Oltre a Google Analytics, il problema del tracciamento tramite cookie di terza parte e trasferimento dati in Usa si pone per moltissimi altri servizi online: dalle campagne in remarketing di Google Ads alle campagne Facebook Ads. Il Garante “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali” (ndr: dove per altri servizi analoghi s’intende che effettuano trasferimento in Usa e profilazione dell’utente).
Cosa devi sapere per gestire correttamente i Cookie sul tuo sito web:COME GESTIRE I COOKIE SUL TUO SITO WEB
Tipologie di cookie
Cosa sono i Cookie: tecnici, statistici e profilanti
Cosa sono i Cookie di Analytics
Cosa sono i Cookie di terze parti
Cosa fare sul sito
Come gestire i Cookie sul sito web
Cookie Policy e Cookie Banner
Cookie Consent e prova del consenso
Normative
Cookie e GDPR
Cookie e Linee Guida del Garante Privacy
Google Analytics e GDPR
Fonti Articolo
Fonti ufficiali e altri articoli di riferimento
GDPR e Cookie Law: come mettere a norma il sito web
GDPR e Cookie Law: come mettere a norma il sito web
Linee guida cookie e altri strumenti di tracciamento
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021
Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016
Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)
Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679
Featured Image
termly.io
Contattaci per saperne di più
Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.
