I cookie sono piccoli tracker che collegano utenti e siti web.
Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche. Ciò ha creato la necessità di leggi apposite, e l’entrata in vigore del Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR, in particolare, ha cambiato le regole di base per poter acquisire il consenso dell’utente all’uso dei cookie.
Vediamo come gestire i cookie sul sito web in modo conforme alle normative in tema di privacy.
(Articolo aggiornato con le Linee Guida di giugno 2020 del Garante)
Cosa sono i Cookie
I cookies (letteralmente ‘biscottini‘) sono dei file di testo inviati sul computer dell’utente che in quel momento sta visitando il sito web: in origine, sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione.
Esiste una grande varietà di cookie che ne rende difficile una classificazione: ad oggi, non esiste ancora un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento online che consenta di distinguere oggettivamente, ad esempio, un cookie tecnico da un cookie statistico o di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy.
In relazione al GDPR, possiamo stilarne la seguente classificazione, categorizzandoli in base alla durata, finalità e origine.
Come gestire correttamente i Cookie sul sito
Il Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR nasce con l’obiettivo di tutelare le persone fisiche da un utilizzo illecito dei loro dati personali: proprio l’aumento esponenziale dei servizi online ha determinato un aumento dei rischi per i diritti e per la privacy dei cittadini, e ha reso necessario un intervento legislativo europeo.
Benchè nel Regolamento si dichiari di non imporre obblighi supplementari a quelli già previsti nella ePrivacy, in realtà dal 25 maggio 2018, con l’entrata in vigore del GDPR, vengono modificate le condizioni di validità per l’acquisizione del consenso, ora richiesto per singola tipologia di trattamento, e questo influisce quindi anche sul tema dei cookies. In particolare, strettamente correlato al concetto di cookie, la normativa ci dice che:
- L’indirizzo IP completo è un dato personale
- Il Consenso all’uso del cookie deve poter essere fornito per ogni Finalità di trattamento
- Il Consenso all’uso del cookie deve poter essere revocato per ogni Finalità di trattamento
- Ogni dato raccolto deve essere conservato per il tempo strettamente necessario
Rispetto alle normative precedenti, è proprio il metodo di acquisizione e gestione del consenso ai cookie (Cookie Consent) che con il GDPR cambia, in quanto deve poter essere fornito per ogni finalità, quale risultato di una atto inequivocabile, e deve poter essere revocato in qualsiasi momento.
Questo cambio di visione ha un impatto importante sulla gestione dei cookie da parte del sito web.
GDPR e uso corretto dei Cookie sui siti web
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici).
Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie valutando con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
STRUMENTO | A COSA SERVE |
---|---|
Cookie Banner | Informativa breve |
Cookie Policy | Informativa estesa |
Cookie Consent | Acquisizione del consenso ai cookie |
Prova del consenso | Prova documentale del consenso |
Cookie Banner e Cookie Policy rappresentano le informative all'uso dei dati, e devono rispondere a requisiti specifici: per saperne di più, leggi l'articolo Cosa scrivere nell'informativa: Cookie Banner e Cookie Policy. Nel caso il sito web utilizzi anche cookie diversi dai soli cookie tecnici, le sole informative non sono sufficienti e sarà necessario integrare un sistema di Cookie Consent, ovvero un sistema per l'acquisizione di un consenso che possa essere ritenuto valido e documentato: per saperne di più, leggi l'articolo Cookie: consenso valido e prova del consenso.
Linee Guida per la corretta gestione dei cookie
Il GDPR espone i principi ma non indica espressamente le regole da applicare al sito web. Per questo motivo, le autorità europee e nazionali preposte alla protezione dei dati hanno più volte allineato le loro disposizioni sui cookie, fornendo nel tempo linee guida, chiarimenti e Faq che descrivono come rendere le applicazioni web idonee ai requisiti del GDPR.
Troviamo dei riferimenti pratici alla corretta gestione dei cookie in diversi documenti e linee guida (alcune antecedenti il GDPR) come ad esempio:
- il “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” in tema di cookie tecnici
- Le Guide all’applicazione del Regolamento europeo in materia di trasparenza
- Le linee guida del Comitato europeo per la protezione dei dati (EDPB) per la raccolta di un consenso valido
- Le Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 per una corretta applicazione del GDPR
L’infografica del Garante Italiano sull’uso dei Cookie
L’attuale normativa è il risultato di un percorso normativo partito, a livello europeo, nel 2002. Prima dell’entrata in vigore del GDPR, in Italia entrava in vigore il provvedimento n. 229/2014 dell’8 maggio 2014 (ai più noto come ‘Cookie Law‘) in recepimento della Direttiva 2009/136/CE. La cookie law italiana entrò in vigore il 3 giugno 2015 e fu al centro di dibattiti e polemiche: in data 05 giugno 2015 il Garante pubblicò dei chiarimenti sulla normativi in materia di cookie, e tra questi anche un’infografica su come gestire i diversi tipi di cookie.
L’infografica del Garante fu un documento essenziale, in quanto permise di avere un quadro più chiaro e semplificato di come catalogare ogni cookie e operare di conseguenza. Riportiamo di seguito uno schema aggiornato della sopracitata infografica.
SCHEMA SUL CORRETTO USO DEI COOKIE
Scorri la tabella a destra da mobile
TIPO DI COOKIE | ORIGINE | CONDIZIONE | COOKIE policy | COOKIE banner | COOKIE CONSENT |
---|---|---|---|---|---|
Nessun Cookie | - | Se il sito web non installa cookie | No | No | No |
Cookie Tecnici | di prima parte | Se il sito web installa solo cookie tecnici | Si | No | No |
Cookie Funzionali | di prima parte | Se sono cookie di sessione | Si | No | No |
Cookie Funzionali | di prima parte | Se sono cookie persistenti | Si | Si | Si |
Cookie Analitici | di prima parte | Se il sito web non effettua profilazione | Si | Si | No |
Cookie Analitici | di prima parte | Se il sito web effettua profilazione | Si | Si | Si |
Cookie Analitici | di terza parte | Se anonimizzati e non incrociati con altri dati | Si | Si | No |
Cookie Analitici | di terza parte | Se la terza parte incrocia i dati con altri sistemi o effettua profilazione | Si | Si | Si |
Cookie Social Media | di terza parte | Se non incrociati con altri dati e non per profilazione (es: social sharing) | Si | Si | No |
Cookie Social Media | di terza parte | Se incrociati con altri dati o per profilazione (es: video embeddati senza 'nocookie') | Si | Si | Si |
Cookie Profilanti | di prima parte | Se il sito web profila a fini commerciali | Si | Si | Si |
Cookie Profilanti | di terza parte | Se la terza parte profila a fini pubblicitari | Si | Si | Si |
Schema di sintesi degli adempimenti richiesti dalla GDPR, redatto partendo dall'infografica elaborata dal Garante Italiano della Privacy nei Chiarimenti al Provvedimento 229/2014 (nota come Cookie Law) e aggiornato sulla base delle linee guida attuali. Rispetto all'infografica originale, è venuto meno l'obbligo di Notifica, come illustrato in questa pagina del sito del Garante “In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste né la notifica preventiva dei trattamenti all’autorità di controllo, né una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento)”. Per l'elaborazione dello schema sopra proposto sono stati integrati contenuti e indicazioni riprese da altre fonti, come il “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” contenente i criteri di valutazione dei cookie tecnici, e le Linee guida cookie e altri strumenti di tracciamento di giugno 2021 in tema di consenso valido.
Sito con solo cookie tecnici
Come riportato nelle Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021: Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.
GDPR e Tipologie di Cookie
Possiamo individuare nelle “tipologie di cookie” definite nell’infografica del Garante la “finalità di trattamento” ai fini del GDPR. Il Garante ha effettuato una catalogazione valutando il grado di invasività del cookie nella sfera privata dell’utente, e ha individuato 6 categorie:
- Cookie di prima parte | Tecnici (cd cookie tecnici): se il sito web installa solo cookie tecnici, ha solamente l’obbligo di informarne il visitatore.
- Cookie di prima parte | Analitici (assimilabili a cookie tecnici): i cookie analitici di prima parte sono assimilabili a cookie tecnici: pertanto, laddove il dato venga raccolto direttamente dal sito e usato ai soli fini statistici, si ha solamente l’obbligo di informare il visitatore.
- Cookie di prima parte | Profilanti: questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.
- Cookie di terza parte | Analitici Anonimizzati (assimilabili a cookie tecnici): i cookie analitici di terza parte, se mascherano l’indirizzo IP e non vengono incrociati con altri dati, possono essere assimilati a cookie tecnici e trattati come tali.
- Cookie di terza parte | Analitici Non Anonimizzati: se non anonimizzati, questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.
- Cookie di terza parte | Profilanti: questi cookie possono essere scaricati solamente se l’utente ne dà esplicito consenso.
Ragionando in termini di GDPR, possiamo dire che per il trattamento dei cookie tecnici (e dei cookie assimilabili a cookie tecnici) abbiamo come base giuridica di trattamento l’interesse legittimo del titolare del sito, in quanto si tratta di strumenti che possono essere necessari sia al funzionamento del sito stesso sia a fini statistici che per difendersi da frodi (si pensi, ad esempio, ad un sito che mette a disposizione un servizio online gratuito ma solo per un limite massimo di 3 volte al giorno: il titolare del sito solo memorizzando l’IP dell’utente può averne controllo, evitando un uso improprio del servizio).
Per tutti gli altri casi di cookie “non-tecnici” è invece necessario acquisire il consenso preventivo dell’utente, quale base giuridica che ne rende lecito il trattamento (la raccolta, la conservazione, l’elaborazione..etc..).
Cookie tecnici e cookie non-tecnici
I cookie tecnici sono esenti dall’acquisizione del consenso, in quanto hanno un grado di invasività minimo: è importante indicarli nelle informative (Cookie Banner e Cookie Policy) ma non acquisirne il consenso. L’esenzione dal consenso è stata originariamente elaborata dall’ex Gruppo di Lavoro Articolo 29 in questo documento tecnico denominato “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” [Link nuovo] dove formalizza 2 casistiche:
- CRITERIO A: il cookie è utilizzato “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica”.
- CRITERIO B: il cookie è “strettamente necessari[o] al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
Il documento evidenzia come l’elemento discriminante per catalogare correttamente un cookie sia la valutazione del rischio per la protezione dei dati, che discende dalla o dalle finalità del trattamento anziché dalle informazioni contenute nel cookie. Quindi, per poter stabilire se un cookie può essere esente dal consenso in virtù del CRITERIO A o B occorre valutare la finalità e l’attuazione o il trattamento specifici.
Dato che è possibile impiegare un cookie per varie finalità (“Cookie multi scopo“) tale cookie può essere esente dal consenso solo qualora tutte le distinte finalità dell’impiego, prese singolarmente, siano esenti dal consenso.
Ad esempio “è possibile creare un cookie con un nome o valore unico che possa essere impiegato sia per memorizzare le preferenze dell’utente sia a fini di monitoraggio. Benché si possa ritenere che la memorizzazione delle preferenze dell’utente ricada in alcune circostanze nell’ambito di un’esenzione (come illustrato nella sezione 3.6), è molto improbabile che la seconda funzionalità soddisfi il CRITERIO A o B. Pertanto, il sito web dovrà sempre chiedere il consenso dell’utente a tal fine. Nella pratica, ciò dovrebbe incentivare i proprietari di siti web a utilizzare un cookie diverso per ciascuna finalità distinta.”
Lo stesso documento riporta, poco dopo, un’osservazione che successivamente sarà battezzata consenso granulare.
Consenso per gruppo di cookie (consenso granulare)
Come già evidenziato dal Gruppo di lavoro nel parere 16/2011, se un sito web utilizza più cookie oppure cookie con più finalità, ciò non significa che debba presentare un “banner” distinto o una richiesta di consenso per ciascun cookie o scopo. Nella maggior parte dei casi è sufficiente un unico riquadro informativo e consenso, presentato in modo chiaro ed esaustivo.
Nel parere si definiscono cookie tecnici esenti:
- Cookie con dati compilati dall’utente (user input)
- Cookie per l’autenticazione
- Cookie di sicurezza incentrati sugli utenti
- Cookie di sessione per lettori multimediali
- Cookie di sessione per il bilanciamento del carico
- Cookie per la personalizzazione dell’interfaccia utente
- Cookie per la condivisione dei contenuti mediante plug-in sociali
Mentre non rientrano nelle categorie sopra e quindi sono cookie non esenti:
- Cookie di monitoraggio mediante plug-in sociali
- Pubblicità di terzi
- Analitica di prima parte (*)
Questi ultimi (*), tuttavia, non sono considerati cookie che generino un rischio per la privacy, pertanto il Garante italiano ha deciso di farli assimilare ai cookie tecnici (come indicato nell’infografica).
Cookie di terze parti
Il titolare del sito è quindi il responsabile per i cookie impostati da una terza parte tramite il sito stesso: come specificato dalle FAQ del Garante, “l’obbligo di informare l’utente sull’uso dei cookie di terze parti e di acquisirne il preventivo consenso incombe sul titolare del sito”.
Scarico dei cookie di terze parti Nessun cookie di terze parti dovrà quindi essere scaricato dal sito né potrà accedere a informazioni presenti sul terminale dell’utente, in assenza di una corretta informazione e (laddove richiesto) di un consenso esplicito. Solo nel caso in cui il cookie di terza parte sia anonimizzato, può essere assimilato ad un cookie tecnico e non è necessario acquisirne il consenso (ma è necessario mostrare l’informativa).
Cookie di profilazione (Marketing)
I cookie di profilazione raccolgono informazioni e tracciano i dati di navigazione con il fine di realizzare una profilo del visitatore e inviargli pubblicità personalizzata. Per questo motivo, hanno un grado di invasività molto elevato e necessitano del consenso preventivo. Devono scadere al massimo entro 12 mesi.
GDPR e cookie di Google Analytics
Il Garante Italiano mette in rilievo la differenza tra cookie profilanti di terze parti anonimizzati e non. Come specificato nell’infografica e nei chiarimenti del 05/06/2015, il potere profilante dei cookie può essere limitato mascherandone (anche parzialmente) l’indirizzo IP e non inviando così alla piattaforma terza il dato personale del visitatore del sito.
Ciò avviene tramite la tecnica dell’anonimizzazione, con la quale il dato trasmesso alla piattaforma di analytics contiene solo le informazioni necessarie per rilevarne la provenienza e poter effettuare delle statistiche aggregate, ma non viene incrociato con altri dati e quindi ricondotto al singolo utente.
Solo se resi anonimi e non usati per fini diversi da quelli statistici, i cookie analitici di terze parti possono essere assimilati a cookie tecnici. Tuttavia, la sola anonimizzazione potrebbe non essere di per sè sufficiente a garantire che il dato grezzo raccolto non venga combinato con altri dati (del sito web, di analytics o di altri prodotti collegati) che messi insieme potrebbero profilare comunque l’utente.
Consulenza GDPR per l'adeguamento ai cookie
In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.
Contattaci per saperne di più.
Cosa devi sapere per gestire correttamente i Cookie sul tuo sito web:COME GESTIRE I COOKIE SUL TUO SITO WEB
Tipologie di cookie
Cosa sono i Cookie: tecnici, statistici e profilanti
Cosa sono i Cookie di Analytics
Cosa sono i Cookie di terze parti
Cosa fare sul sito
Come gestire i Cookie sul sito web
Cookie Policy e Cookie Banner
Cookie Consent e prova del consenso
Normative
Cookie e GDPR
Cookie e Linee Guida del Garante Privacy
Google Analytics e GDPR
Domande e risposte sui cookie:FAQ SUI COOKIE
Cosa sono i Cookie e a cosa servono
Cosa sono i Cookie?
Con il termine cookies (letteralmente ‘biscottini‘) si fa riferimento a tracker che collegano utenti e siti web. Il cookie vero è proprio è tipicamente un file di testo inviato sul computer dell’utente che in quel momento sta visitando il sito web. Con lo stesso termine, nel linguaggio comune si fa riferimento anche ad altre tecnologie assimilabili come i web beacon o clear gift, che tracciano gli utenti utilizzando metodologie diverse ma perseguono fini simili. Non tutti i cookie sono uguali e nemmeno le regole che ne autorizzano l’utilizzo. Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche.
A cosa servono i Cookie?
I cookie in origine sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione. Ben presto i cookie iniziarono ad essere utilizzati per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore. In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.
Cosa sono i Cookie tecnici?
I cookie tecnici servono per la navigazione del sito e sono strettamente necessari al funzionamento e alla fruizione dei contenuti in esso presente: ad esempio, per lo scorrimento della pagina, la consultazione dei contenuti, l’erogazione del servizio etc….
Cosa sono i Cookie analitici o statistici?
I cookie analitici o statistici vengono utilizzati per raccogliere informazioni utili sul numero degli utenti e su come questi visitano il sito, a fini di analizzarne le performance e migliorarne le prestazioni. Possono assumere un potere profilante se vengono incrociati con altri dati.
Cosa sono i Cookie di profilazione?
I cookie profilanti o di marketing sono cookie tipicamente utilizzati per raccogliere informazioni che, incrociate con altri dati, permettono di tracciare un profilo di navigazione dell’utente in modo da proporgli messaggi pubblicitari in linea con i suoi interessi. L’esempio più tipico sono le piattaforme pubblicitarie di terze parti che vendono spazi pubblicitari: per raggiungere questo scopo, queste piattaforme distribuiscono i loro cookie tramite più siti web (un esempio tipico è il pixel di Facebook) e così raccolgono i dati per una pubblicità comportamentale. In generale, un cookie diventa profilante laddove utilizzi le informazioni raccolte per scopi commerciali perseguiti tramite un processo automatizzato. La ragione di ciò è che i cookie che tracciano il comportamento dell'utente potrebbero essere un potenziale rischio per la privacy.
Cosa vuol dire Cookie di prima parte?
I Cookie di prima parte sono installati dal sito che l’utente sta visitando e gestiti direttamente dal gestore (editore) dello stesso sito; raccolgono dati che saranno trattati in modo proprietario sui server di quest’ultimo.
Cosa sono i Cookie di terza parte?
I Cookie di terza parte vengono installati attraverso il sito che l’utente sta visitando ma gestiti da un soggetto diverso dal gestore (editore) dello stesso sito; raccolgono dati che saranno trasmessi e trattati in una piattaforma e/o servizio esterno.
Documenti e Informative sul sito
Cosa scrivere nel Banner Cookie o informativa breve?
L’utente che accede per la prima volta a una qualsiasi pagina del sito dovrà visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al resto del contenuto. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare lasciando la possibilità all’utente di dare o meno un consenso all’uso di ogni singola categoria di cookie. Le dimensioni del banner devono essere adeguate in relazione ai diversi dispositivi e in relazione alle grandezze dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e/o inconsapevole.
Cosa scrivere nella Cookie Policy o Informativa estesa?
L’informativa estesa o Cookie Policy è un'area del sito web che descrive la politica sull'uso dei cookie. Può essere una pagina separata o una sottosezione della Privacy Policy dedicata ai cookie. Deve rispondere ai requisiti di trasparenza imposti dagli Art 12 e 13 del GDPR, e a tal fine deve descrivere la modalità di trattamento dei dati acquisiti tramite cookie visualizzando quali cookie utilizza il sito, le categorie in cui rientrano (finalità di trattamento) e la possibilità di attivare o disattivare determinate categorie di cookie. Questi dati possono essere esposti in una tabella dei cookie che riporta anche la scadenza (tempi di conservazione) e l’origine del cookie, ovvero l'eventuale piattaforma terza cui saranno trasmessi i dati (altri soggetti destinatari dei dati personali). Deve inoltre includere una modalità agevolata per revocare il consenso eventualmente già fornito. Deve essere accessibile sia dal banner breve sia da ogni pagina web: per questo motivo, viene tipicamente inserito il link di richiamo nel footer del sito.
Cosa è la Privacy Policy?
La Privacy Policy è un documento generale che descrive come un’organizzazione tratta tutti i dati raccolti: oggi, data l’enorme diffusione delle reti e delle tecnologie di connessione, per dati personali s'intendono nome, cognome, telefono o indirizzo email ma anche altri dati come ad esempio l'indirizzo IP, la geolocalizzazione dell'utente, i suoi dati biometrici, etc.... La Privacy Policy si compone di diverse sezioni, tra le quali i riferimenti del titolare e dei responsabili del trattamento dei dati, i diritti degli interessati, la tipologia dei dati trattati, le finalità del trattamento, i destinatari dei dati e altri soggetti terzi, il luogo di conservazione dei dati, i tempi di conservazione, i link per richiedere l’accesso ai dati, la revocare e/o la cancellazione. Descrive quindi come vengono trattate tutte le diverse tipologie di dati personali raccolti dall'azienda, per le diverse finalità.
Qual è la differenza tra Privacy Policy e Cookie Policy?
La Privacy Policy è un documento che descrive le modalità di trattamento di tutti i dati personali raccolti dall’azienda, attraverso o meno il sito Web, includendo dati provenienti da moduli di contatto, registrazioni al sito, registrazioni alla mailing list, acquisti etc... La Cookie Policy è un documento che si attiene specificamente all’uso dei cookie sul sito: può essere una sotto-sezione della Privacy Policy presente sul sito, dedicata ai dati personali raccolti tramite cookie.
Quando il consenso utente è obbligatorio?
È necessario il consenso dell'utente all'installazione dei Cookie? Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.
È obbligatorio tenere un registro dei consensi?
La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido. La norma chiede di fornire una prova documentale del consenso al rilascio dei cookie di profilazione. Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.
È possibile considerare consenso lo Scrolling?
Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida. Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile.
Come gestire i Cookie sul sito Web
Come gestire a norma i Cookie sul sito web?
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici). Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie, valutando quindi con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
- Cookie Banner
- Cookie Policy
- Cookie Consent
- Prova del consenso
Cosa fare se il sito ha solo cookie tecnici?
Come riportato nelle Linee guida del Garante Privacy ai cookie e altri strumenti di tracciamento (10 giugno 2021): Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.
Cosa fare se il sito ha cookie analitici o statistici?
Per il Garante italiano, l'adempimento sul sito web varia a seconda se il cookie è di prima parte o di terza parte, e se viene effettuata o meno profilazione. Più nello specifico, se il sito usa:
- cookie statistici di prima parte e non effettua profilazione è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di prima parte ma effettua profilazione è necessario anche il Cookie Consent
- cookie statistici di terza parte anonimizzati e non incrociati con altri dati è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di terza parte non anonimizzati o incrociati con altri dati è necessario anche il Cookie Consent
Cosa fare se il sito ha cookie profilanti?
Se il sito usa Cookie Profilanti a fini commerciali, sia di prima parte sia di terza parte, deve avere Cookie Policy, Cookie banner e rilevare sempre il consenso degli utenti tramite un opportuno sistema di Cookie Consent.
Altre domande sui cookie
Cosa vuol dire CMP (Consent Management Platform)?
CMP significa Consent Management Platform letteralmente piattaforma di gestione del consenso . Sono sistemi che si occupano di acquisire e gestire il consenso dell'utente sul sito web, in relazione alla raccolta e al trattamento delle informazioni personal tramite cookie o altri tracker di terze parti. Insieme al cookie banner, il CMP è usato per rendere il sito conforme alle leggi sulla privacy dei dati.
Cosa vuol dire TCF (Transparency and Consent Framework)?
TCF sta per Transparency and Consent Framework: è uno standard per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari profilati online. Creato da IAB Europe (Interactive Advertising Bureau) per assistere gli editori, le industrie tecnologiche e gli inserzionisti nell’essere conformi al GDPR e alla Direttiva ePrivacy dell’UE. Molti sistemi CMP si adeguano a questo standard per garantire la conformità delle procedure offerte.
Google Analytics è conforme alla GDPR?
Raccogliendo dati con Google Analytics Universal (GA), Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati. Per questo motivo il Garante della Privacy italiano ha dichiarato l'uso di GA illegittimo (se configurato client-side) dopo che già nel 2020 la Corte di Giustizia europea aveva annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa (nota con il nome di sentenza Schrems II) motivata dal fatto che la normativa statunitense non dava le garanzie richieste dal GDPR in termini di sorveglianza governativa su quei dati.
Esistono altre piattaforme online non conformi al GDPR?
Quali servizi online pongono il problema del trasferimento dati in USA? Oltre a Google Analytics, il problema del tracciamento tramite cookie di terza parte e trasferimento dati in Usa si pone per moltissimi altri servizi online: dalle campagne in remarketing di Google Ads alle campagne Facebook Ads. Il Garante “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali” (ndr: dove per altri servizi analoghi s’intende che effettuano trasferimento in Usa e profilazione dell’utente).
Fonti Articolo
Fonti ufficiali e altri articoli di riferimento
Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016
Sito del Garante Italiano: area dedicata ai cookie
Cookie e privacy: istruzioni per l´uso
Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante
Sito del Garante: Decadimento dell’obbligo di Notifica
Principi fondamentali del trattamento (liceità, minimizzazione…)
Sito del Garante: Trasparenza e linee guida elaborate dal Gruppo Art. 29
Trasparenza e Linee guida elaborate dal Gruppo Art. 29
I Pareri del ex Gruppo Articolo 29 (criteri dei cookie tecnici)
I pareri del Gruppo Articolo 29
Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)
Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679
Linee guida Garante Italiano del 6/2020 (consenso valido)
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021
Linee guida Garante Italiano del 6/2020 (sintesi)
Linee guida cookie e altri strumenti di tracciamento (sintesi)
Featured Image
termly.io
Contattaci per saperne di più
Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!