Il Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR introduce dei requisiti specifici per l’ottenimento di un consenso valido ai fini del trattamento dei dati personali. I cookie e le tecnologie di tracciamento affini potrebbero trattare dati personali degli utenti online e, per questo motivo, i siti web devono allinearsi ai requisiti richiesti dal GDPR, informando correttamente l’utente e acquisendo un consenso valido.

Il Comitato Europeo per la Protezione dei Dati (EDPB) durante l’aggiornamento di maggio 2020 ha rivisto le sue linee guida, focalizzandosi proprio sul meccanismo per la raccolta di un consenso valido secondo il GDPR, e le autorità nazionali preposte alla protezione dei dati hanno di conseguenza allineato le loro disposizioni sui cookie.

Ogni sito web dovrà:

In questo articolo vediamo cosa s’intende per consenso valido e come si può produrne la prova.

GDPR e Cookie

Il GDPR, acronimo di General Data Protection Regulation, è una norma europea promulgata nel 2016 che disciplina la raccolta e il trattamento dei dati personali degli abitanti dell’Unione Europea. Obiettivo della norma è proteggere i dati delle persone fisiche e tutelarne la privacy, anche su web.

Con l’entrata in vigore del GDPR  ha assunto un particolare rilievo il tema dei cookies e di tutti i sistemi utilizzati online per il tracciamento degli utenti: il regolamento europeo ha richiesto ai gestori dei siti una maggiore attenzione alla modalità di raccolta di questi dati, e la messa a punto di sistemi idonei all’acquisizione di un consenso valido per ogni singola finalità di trattamento.

 

Per il GDPR il consenso è l’unica base giuridica che legittima il trattamento di dati personali acquisiti tramite cookie, (fino a quando tale consenso non sia revocato). Il consenso è un atto positivo inequivocabile che manifesta con la volontà dell’interessato: deve essere un atto esplicito frutto di una libera scelta, fornito per ogni finalità di trattamento e che può essere revocato in qualsiasi momento con la stessa facilità con cui è stato reso (rif. Art. 7 e il CONS. 32 ).

Significa che il consenso autorizza il trattamento di un dato personale. L’art. 5 del Regolamento UE 2016/679 (GDPR) dispone che i dati personali siano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»). Negli articoli successivi (Art. 6 – 9) si definisce cosa s’intende per base giuridica di trattamento e si indica quali sono le basi che autorizzano legalmente al trattamento dei dati personali. In assenza di una di queste basi legali, il trattamento è illecito.

Le basi giuridiche di trattamento sono 7:

  1. Consenso (a meno che non sia successivamente revocato)
  2. Obbligo di Contratto (per l’esecuzione di un contratto di cui l’interessato è parte)
  3. Obbligo di Legge (ad esempio, la consegna di documenti al commercialista per redigere le dichiarazioni)
  4. Autorità di Legge
  5. Interesse Legittimo del Titolare (ad esempio per la prevenzione delle frodi o per marketing diretto)
  6. Interesse vitale (tutela degli interessi vitali dell’interessato o altra persona fisica)
  7. Interesse pubblico o pubblico potere

L’art. 4 al punto 11 del Regolamento UE 2016/679 (GDPR) offre la definizione di

  • «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento

L’art. 7 del Regolamento UE 2016/679 (GDPR) cita testualmente:

  • 1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
  • 2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
  • 3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
  • 4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

 

Cosa s’intende per consenso valido

Il GDPR espone i principi ma non indica espressamente le regole da applicare al sito web. Per questo motivo, le autorità europee e nazionali preposte alla protezione dei dati hanno più volte allineato le loro disposizioni sui cookie, fornendo nel tempo linee guida, chiarimenti e Faq che descrivono come rendere le applicazioni web idonee ai requisiti del GDPR

Il Comitato europeo per la protezione dei dati (EDPB) è il principale organo supervisore del GDPR in Europa, con la responsabilità di indirizzare le autorità nazionali per la protezione dei dati di ciascun Paese dell’UE in merito alle modalità di applicazione del GDPR. Nel maggio 2020 ha emanato delle nuove linee guida del Comitato europeo per la protezione dei dati (EDPB) che chiariscono in particolare cosa si intende per consenso valido in conformità con il GDPR.

 

Il consenso è valido quando è informato, specifico, precedente a qualsivoglia trattamento dei dati dell’utente, revocabile e non incluso nelle condizioni di prestazione di un servizio.

 

Nel seguito dell’articolo vediamo l’applicazione pratica.

 

In tema di gestione dei cookie, l’entrata in vigore del GDPR ha richiesto ai titolari dei siti web un’attenzione particolare nel trovare nuove soluzioni tecniche per rendere il sito GDPR compliant, in particolare in tema di consenso dell’utente. Se si fa uso di cookie sul proprio sito web, è necessario:

  • Informare gli utenti che il sito utilizza i cookie
  • Spiegare quali cookie si usano e il perché
  • Ottenere il consenso informato prima di memorizzare i cookie sul dispositivo dell’utente

Nella pratica, ciò avviene mostrando un cookie banner alla prima visita dell’utente, con un’informativa breve, il link ad una cookie policy più estesa e la possibilità di prestare il consenso ai cookie per poter essere rilasciati sul dispositivo. Prima di ottenere il consenso, nessun cookie può essere installato, a eccezione dei cookie tecnici che sono esenti dall’obbligo del consenso.

Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa completa (cookie banner e cookie policy) ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.

 

Cookie Banner e blocco preventivo

Il consenso ai cookie deve essere autorizzato liberamente e basato su un’azione esplicita e positiva dell’utente: il gestore del sito ha l’obbligo di raccogliere il consenso informato dell’utente prima di memorizzare qualsiasi informazione sul suo dispositivo.

La funzione svolta dal Cookie Banner diventa quindi duplice: è sia informativa, sia deve bloccare preventivamente tutti i cookie profilanti e anche i cookie di terze parti (come ad esempio quelli per la condivisione sui social come Facebook o Twitter) che vengono installati tramite il proprio sito web fino all’acquisizione del consenso. Il sito web non dovrà quindi scaricare nessun cookie e dovrà bloccare tutti gli oggetti di terze parti (widget, video embeddati, etc..) presenti nelle pagine web, fino all’acquisizione del consenso.

 

Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile. Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida. Per saperne di più, leggi il nostro articolo Cosa scrivere nell’informativa: Cookie Banner e Cookie Policy.

 

Consenso granulare per singola finalità di trattamento

Una delle più grosse novità portate dall’entrata in vigore del GDPR è stata la modifica delle condizioni di acquisizione del consenso, che per essere considerato valido deve essere richiesto per singola tipologia di trattamento: non può più essere un consenso esteso.

Il consenso “esteso” (CONS. 32) ovvero non granulare e non specifico per singola finalità, si considera come non dato: questo significa che se un contratto o un sito obbliga a mettere un consenso esteso e/o aggiuntivo ad una finalità specifica, il consenso diventa invalido sul tutto.

Il sito web deve acquisire il consenso per singola finalità di trattamento, dando all’utente la possibilità di scegliere per quali categorie di cookie acconsentire o negare all’uso. Questo si definisce consenso granulare. Seguendo gli stessi principi, il fatto che il consenso debba essere un atto libero ed esplicito significa che qualsiasi atto impositivo del titolare del trattamento non ha valore: ad esempio non vale la preselezione di caselle da parte del titolare del sito.

 

Banner cookie consenso granulare

Esempio di Cookie Banner con consenso granulare e pannello preferenze: l’utente può scegliere quali categorie di cookie abilitare, quindi acconsentire ai soli selezionati. La categoria ‘Necessario‘ include i cookie tecnici (scaricati per default) mentre le altre categorie raggruppano gli altri sistemi di tracciamento soggetti a consenso.

 

Da qui, l’indicazione pratica di riportare nel banner breve il link ad un’area dedicata nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente può scegliere di acconsentire o meno, prestando anche il consenso all’impiego di tutti i cookie (se non dato in precedenza) o revocarlo (se già espresso) in unica soluzione.

In questa sezione, non si possono presentare caselle preselezionate come impostazione predefinita. Le caselle di scelta per ogni tipologia di cookie (ad eccezione di quelli tecnici) devono essere deselezionati e disattivati per default, in modo che gli utenti possano dare il loro consenso con un’azione chiara e affermativa.

Gli utenti devono quindi essere sempre in grado di fornire liberamente il proprio consenso alle diverse categorie di cookie: per questo motivo, sono considerati illeciti i cookie wall ovvero i banner che costringono gli utenti ad acconsentire a tutti i cookie per poter accedere ai contenuti del sito, pena l’impossibilità di accedere al contenuto.

 

L’acquisizione di un consenso valido richiede l’implementazione di un sistema di cookie consent correttamente collegato al cookie banner: si tratta di una funzione che deve essere correttamente implementata dal punto di vista tecnico. Non è sufficiente mostrare a video i campi e le informative richieste, ma il sistema deve effettivamente funzionare bloccando lo scarico dei cookie oppure attivandolo in base alle scelte dell’utente. Se hai bisogno di una consulenza, contattaci.

 

Cookie Policy

L’informativa estesa è contenuta in un’area del sito denominata Cookie Policy che dovrà essere sempre accessibile da qualsiasi pagina del sito (ad esempio, tramite ad un link nel footer del sito).

Include l’elenco di tutti i cookie scaricati, la descrizione, finalità, origine/destinazione (terza parte), periodo di conservazione (durata della sessione). Per tutti i cookie di terze parti installati tramite il proprio sito stesso si deve indicare nella cookie policy tutti i link alle rispettive informative della terza parte: ciò è sempre richiesto ma da solo insufficiente (come invece lo era in passato, parliamo prima del 25 maggio 2018), in quanto rientra negli obblighi del titolare del sito anche bloccare i cookie di terza parte e acquisire il consenso.

 

L’informativa ai cookie deve essere strutturata due sue livelli: informativa breve o cookie banner e informativa estesa o cookie policy. Ogni livello deve riportare delle informazioni ben precise: per saperne di più, leggi il nostro articolo Cosa scrivere nell’informativa: Cookie Banner e Cookie Policy.

 

Modifica del consenso all’uso dei cookie

Il consenso deve può essere revocato in qualsiasi momento con la stessa facilità con cui è stato reso. Nelle Linee Guida del 10 giugno 2021 il Garante ne sottolinea nuovamente l’importanza.

L’utente deve poter revocare in ogni momento il consenso dato, a posteriori e a partire da qualsiasi pagina del sito, attraverso un apposito link che renda accessibile il pannello delle preferenze oppure l’informativa estesa dove modificare le sue preferenze

Una soluzione tipica è quella di inserire nel footer di qualsiasi pagina del dominio il link alla cookie policy, oltre ad un link per richiamare direttamente il pannello preferenze e/o un widget di controllo come quello mostrato nell’immagine di esempio:

 

Cookie e modifica del Consenso

Cookie e modifica del Consenso:  Esempio di una funzione di controllo creata con il CMP CookieBot, che mette a disposizione (opzionalmente) anche un widget, grazie al quale l’utente può verificare le scelte attivate e i consensi forniti (in questo caso, sono stati attivati tutti i cookie), completo di data e ora. Cliccando su ‘Modifichi il suo consenso‘ si ritorna al pannello preferenze.

 

La prova del consenso ai Cookie

L’articolo 7 del GDPR infatti cita che “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali“. Tuttavia il Regolamento non prescrive esattamente come dimostrare di aver acquisito un consenso valido: il titolare del trattamento dati è libero di scegliere un proprio metodo.

 

La normativa parla di dimostrare che il consenso sia stato prestato in modo esplicito e inequivocabile: per questo motivo si parla di consenso valido e della prova documentata di un’azione chiara e affermativa da parte dell’utente.

 

Il metodo con cui si effettua la raccolta del consenso ne determina la validità; come abbiamo visto nei paragrafi precedenti:

  • Informazioni chiare e dettagliate
  • Indicazione delle preferenze espresse dall’utente mediante un comportamento attivo
  • Possibilità di scegliere liberamente se accettare o rifiutare i cookie per singola finalità
  • Possibilità di modificare e/o revocare il consenso dato

 

La scelta dell’utente viene memorizzata in un cookie tecnico, che registra il consenso/rigetto al rilascio dei cookie di profilazione ed è il medesimo che impedirà al banner cookie di comparire nuovamente al successivo accesso dello stesso utente. Questo file però viene salvato sul dispositivo dell’utente: le stesse informazioni andrebbero quindi memorizzate anche in un file sul server del titolare del sito.

 

Esiste il registro dei consensi all’uso dei cookie?

La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido.

La norma chiede tuttalpiù di fornire una prova documentale del consenso al rilascio dei cookie di profilazione.

Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.

 

La prova documentale del consenso

Dimostrare di aver ottenuto un consenso valido risponde al principio di accountability del GDPR (Art 5): ciò richiede una prova documentale che vada a includere le informazioni sull’ottenimento dei consensi ai cookie di profilazione.

I siti web devono essere in grado di fornire una prova documentale del consenso tenendo traccia in un apposito file di log di tutti gli indirizzi IP che hanno prestato il consenso al rilascio dei cookie di profilazione. Questo file permette il recupero di tutti i dati utili a dimostrare che un particolare indirizzo IP abbia fornito (o meno) il consenso ai cookie di profilazione, includendo una tabella con informazioni quali:

 

INFOMAZIONECOSA INDICA
Indirizzo IPChe ha fornito il consenso (eventualmente anonimizzato)
Data e OraQuando è stato fornito il consenso
UrlIndirizzo della pagina web dove è stata effettuata la raccolta
Consent IDCodice http relativo alla transazione
User AgentApplicazione installata sul dispositivo dell’utente che si è connessa al sito
PaeseCodice nella Nazione di riferimento
Cookie BannerTipo di modulo proposto all’utente
Preferenze espressePreferenze espresse per ogni categoria di cookie
PolicyRiferimento a documenti legali e condizioni (cookie policy) nel momento in cui si ha ottenuto il consenso

L’elenco dei consensi è solitamente memorizzato in un file di log che può essere esportato in vari formati (es. in .csv).

La prova del consenso al rilascio dei cookie viene prodotta dal sistema CMP (Cookie Management Platform) in uso. Oltre ai dati sopra elencati, alcuni sistemi memorizzano alcune informazioni aggiuntive. L’obbligo di dimostrare l’ottenimento di un consenso valido non deve però portare a memorizzare quantità eccessive di dati supplementari sull’utente: è necessario disporre dei dati sufficienti per fornire la prova che è stato ottenuto il consenso, senza raccogliere più informazioni di quanto necessario.

 

Consulenza GDPR per l’adeguamento ai cookie

In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti l’adeguamento del sito web al GDPR. Sotto trovate tutte le fonti da cui abbiamo raccolto le informazioni.

L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove in molti casi l'agenzia deve collaborare con avvocati e consulenti privacy per adeguarlo correttamente alla normativa.

Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari Contattaci per saperne di più.

 

Fonti Articolo

Fonti ufficiali e altri articoli di riferimento

GDPR e Cookie Law: come mettere a norma il sito web
GDPR e Cookie Law: come mettere a norma il sito web

Linee guida cookie e altri strumenti di tracciamento
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021

Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016

Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)

Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679

Featured Image
termly.io

 

 

Contattaci per saperne di più

Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.