Cookie banner e Cookie Policy

Con il Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR, ogni sito web deve informare il visitatore circa l’eventuale raccolta dei suoi dati personali e acquisirne il consenso. In tema di cookie, deve redigere apposite informative stilate in tutte le lingue in cui il sito è disponibile, dove riportare informazioni quali la tipologia di cookie installati (tecnici, statistici o di profilazione), le finalità e l’elenco dei soggetti terzi che gestiscono i cookie tramite un determinato sito.

In particolare, la normativa prevede che sia fornita un’informativa completa, resa su due livelli:

L’informativa breve è un banner presentato all’accesso di una qualsiasi pagina del sito, mentre l’informativa estesa è contenuta in un’area del sito denominata Cookie Policy che dovrà essere sempre accessibile da qualsiasi pagina del sito (ad esempio, tramite ad un link nel footer del sito).

Vediamo cosa scrivere e come creare correttamente le informative.

L’utente che accede per la prima volta a una qualsiasi pagina del sito dovrà visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al resto del contenuto.

Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare lasciando la possibilità all’utente di dare o meno un consenso all’uso di ogni singola categoria di cookie.

Le dimensioni del banner devono essere adeguate in relazione ai diversi dispositivi e in relazione alle grandezze dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e/o inconsapevole.

 

Requisiti del Cookie Banner:

  • Informativa Breve
  • Adeguatezza delle dimensioni
  • Consenso Granulare, Rifiuto o Accettazione dei cookie
  • Link alla Cookie Policy completa

 

Il consenso all’installazione del cookie da parte dell’utente deve essere positivo ed inequivocabile. Il titolare del sito dovrà registrare il consenso in apposito cookie tecnico e considerarlo automaticamente rinnovato (per un certo periodo di tempo) a ogni successiva visita del sito, senza dover riproporre nuovamente lo stesso banner alle successive visite dell’utente.

 

Modello di Cookie Banner

Entrando più nello specifico, forniamo un modello di cookie banner adeguato ai fini dell’acquisizione di un consenso valido, così come suggerito dal Garante della privacy italiano.

 

COOKIE BANNERCOSA INDICARE nell’informativa breve
Informativa Breve Testo con un’informativa minima che fornisce indicazioni quali i tipi di cookie installati, finalità e modalità di consenso:

 

  • il sito utilizza cookie* tecnici
  • il sito utilizza anche  cookie* statistici e/o di profilazione (previo consenso dell’utente)
  • il sito consente l’invio di cookie* di terze parti (previo consenso dell’utente)
  • l’utente può esprimere il proprio consenso all’uso dei cookie, cliccando sui pulsanti presenti nel banner
  • il sito utilizzerà i dati dell’utente (che ha dato il consenso all’uso di cookie* di profilazione) per inviare messaggi pubblicitari e/o di modulare la fornitura del servizio in modo personalizzato e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web (finalità)

*s’intende sempre “cookie o tecnologie di tracciamento affini”

Consenso Acquisizione del consenso all’uso dei cookie, con possibilità di accettare o negare tutto:

 

  • un comando per accettare l’uso di tutti i cookie o di eventuali altri sistemi di tracciamento (pulsante accetta)
  • un comando per chiudere il banner senza prestare il consenso, tramite una X in alto a destra e/o pulsante di rifiuto, e proseguire la navigazione

 

In merito al pulsante X in alto a destra, è necessario specificare che la chiusura del banner mediante selezione della stessa X comporta la navigazione in assenza di cookie o di altri strumenti di tracciamento diversi da quelli tecnici.

Consenso granulareAcquisizione del consenso per singola finalità di trattamento, con possibilità di scegliere per quali categorie di cookie acconsentire o negare all’uso, indicando:

 

  • il link ad un’altra area dedicata nella quale poter scegliere in modo analitico le funzionalità (consenso granulare), le terze parti e i cookie (anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire) che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.
Link Cookie PolicyRiportare un link diretto ad un’informativa più completa, indicando:

 

  • il link alla privacy policy contenente l’informativa completa

 

Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile. Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida: per saperne di più, leggi il nostro articolo GDPR e Cookie Law: come mettere a norma il sito web.

Il gestore del sito dovrà registrare il consenso in apposito cookie tecnico, che si considererà poi rinnovato automaticamente a ogni successiva visita del sito, al fine di non proporre nuovamente lo stesso banner a ogni successiva visite dell’utente. Per evitare banner troppo invasivi,  riproposti con eccessiva frequenza e ad ogni accesso al sito, il Garante italiano ha sottolineato (nelle Linee Guida del 10 giugno 2021) che è possibile richiedere nuovamente il consenso se:

  • sono passati più di 6 mesi dalla precedente presentazione del banner
  • le condizioni del consenso sono cambiate (per esempio sono stati aggiunti dei nuovi servizi di terza parte)
  • se risulti impossibile sapere se il cookie tecnico sia stato già memorizzato nel dispositivo (per esempio, l’utente cancella i cookie nel proprio dispositivo e il titolare non ha modo di tenere traccia della volontà e della scelta precedente)

 

L’acquisizione di un consenso valido richiede l’implementazione di un sistema di cookie consent correttamente collegato al cookie banner: tutti i cookie devono essere bloccati fino a quando l’utente non operi una scelta. Successivamente possono essere scaricati solamente i cookie per i quali l’utente abbia fornito esplicito consenso. Inoltre, l’utente dovrà poter modificare le proprie scelte sui cookie, a posteriori e a partire da qualsiasi pagina web. Per saperne di più su come ottenere un consenso valido, leggi l’articolo Cookie: consenso valido e prova del consenso.

 

Esempio di Cookie Banner

Riportiamo di seguito un esempio di banner cookie presente sul nostro sito:

 

Esempio Banner Cookie

Esempio Banner Cookie

 

All’informativa breve seguono i pulsanti (tutti della stessa stessa grandezza) che permettono di:

  • Effettuare il rifiuto all’uso dei cookie di natura non tecnica (tramite Usa solo cookie tecnici)
  • Esprimere il consenso all’uso di tutti i cookie (tramite Accetta tutti i cookie)
  • Personalizzare la scelta esprimendo un consenso granulare (tramite il pulsante Personalizza Preferenze)

Dal banner è possibile visualizzare la cookie policy completa cliccando su Informazioni sui Cookie.

 

Cookie Policy: l’Informativa estesa 

L’informativa estesa (Cookie Policy) è contenuta in un’apposita pagina oppure inserita all’interno della pagina della Privacy Policy già presente sul sito (come chiarito dal Garante Privacy nelle FAQ di chiarimento) e deve essere accessibile sia direttamente dal banner breve, sia successivamente da ogni pagina web. Per questo motivo, viene tipicamente inserito il link di richiamo nel footer del sito.

In questa pagina, è necessario rendere agli utenti una informativa conforme ai requisiti di trasparenza imposti dagli Art 12 e 13 del GDPR, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali ed i tempi di conservazione delle informazioni acquisite. È inoltre necessario fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’Autorità di controllo.

Infine, per rispondere meglio alle specifiche dell’Art. 13 del GDPR, nella Cookie Policy andrebbe inserita una modalità agevolata per revocare il consenso ai cookie e andrebbe aggiunta anche una tabella dei cookie che indica l’origine del cookie (che coincide con la piattaforma terza cui saranno trasmessi i dati) e la durata della sessione.

 

Cookie Policy più chiara e completa

L’informativa estesa contiene quindi tutte le informazioni di dettaglio quali:

 

COOKIE POLICYCOSA INDICARE NELL’INFORMATIVA COMPLETA
Cosa sono i cookieUn introduzione generale:

 

  • Spiegare cosa sono i cookie
  • Spiegare e definire quali sono le tipologie di cookie (tecnici, analitici, marketing, terza parte…)
  • Indicare quali tipi di cookie installa il sito
Cookie di terze parti Cookie di terze parti installati:

 

  • Descrizione dei cookie di terze parti installati
  • Link alle relative Cookie Policy
ProfilazioneSpecificare se si effettua profilazione e se i dati vengono incrociati con altri sistemi:

 

  • Presenza di un meccanismo di profilazione

Anche nel caso di utenti provvisti di account (cd. utenti autenticati), è fatto divieto di incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi, se non previo consenso e specificandolo adeguatamente nelle informative.

Elenco dei Cookie installati Elenco completo di tutti i cookie installati (sia di prima che di terza parte), dove indicare per ognuno:

 

  • Descrizione
  • Finalità
  • Origine/destinazione (terza parte)
  • Tempi/periodo di conservazione (durata della sessione)
Modifica del consensoPossibilità di esercitare i diritti previsti dal GDPR, controllare e modificare il consenso già dato:

 

  • Possibilità di controllare il consenso dato
  • Possibilità di modificare il consenso dato
  • Possibilità di revocarne il consenso dato

 

La Cookie Policy deve essere in più possibile chiara e completa; deve:

  • usare un linguaggio semplice ed accessibile
  • essere fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari
  • essere anche in modalità multilayer (cioè dislocata su più livelli affinché possa essere resa in relazione a specifiche necessità)
  • essere anche in modalità multichannel (cioè dislocata su più canali)

 

Non esiste un modello predefinito: ogni titolare del sito può scegliere la modalità più idonea (in base al sistema implementato) per elaborare l’informativa completa, e renderla conforme in termini di completezza, chiarezza espositiva, efficacia e fruibilità, per adempiere ai requisiti imposti dal GDPR.

Un buon metodo per esporre le informazioni può essere l’utilizzo di una tabella dei cookie, divisa per finalità e con l’elenco completo dei cookie installati, che indichi l’origine del cookie (ad esempio, la terza parte), lo scopo e la scadenza (che equivale al periodo di conservazione). Vediamo un esempio di tabella dei cookie, relativa a cookie con finalità di marketing:

 

 

Differenza tra Privacy Policy e Cookie Policy

La Cookie Policy è un documento che si attiene specificamente all’uso dei cookie sul sito, mentre la Privacy Policy è un documento che descrive le modalità di trattamento di tutti i dati personali raccolti dall’azienda, quindi anche attraverso il sito Web, includendo moduli di contatto, registrazioni al sito, registrazioni alla mailing list, acquisti sul sito etc.

La Privacy Policy si compone di diverse sezioni, tra le quali i riferimenti del TITOLARE e dei RESPONSABILI del trattamento dei dati, i DIRITTI degli interessati, la TIPOLOGIA dei dati trattati, la FINALITA’ del trattamento, i DESTINATARI DEI DATI e altri soggetti terzi, il LUOGO di conservazione dei dati, i TEMPI di conservazione, i LINK per richiedere l’accesso ai dati, la revocare e/o la cancellazione.

La Privacy Policy è un documento generale che descrive come un’organizzazione tratta tutti i dati raccolti: oggi, data l’enorme diffusione delle reti e delle tecnologie di connessione, per dati personali non si intendono più solo nome, cognome, telefono o indirizzo email ma anche tutti i cookie impiegati per il tracciamento del comportamento dell’utente online. Per questo motivo, nasce l’esigenza di predisporre una Cookie Policy quale parte integrante della Privacy Policy, specifica sul trattamento dei dati personali tramite cookie.

La Privacy Policy descrive quindi come vengono trattate diverse tipologie di dati personali raccolti per le diverse finalità: per questo è buona norma integrare nel sito web, oltre alla policy completa, anche le informative specifiche per la singola finalità di trattamento. Ad esempio:

  • Informativa per utenti che richiedono informazioni
  • Informativa newsletter
  • Informativa utenti registrati
  • etc…

Si tratta di un lavoro più raffinato e preciso, e come tale più lungo da mettere in pratica, me necessario al fine di realizzare un sito pienamente compliant alla normativa in vigore.

 

Consulenza GDPR per l’adeguamento ai cookie

In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti l’adeguamento del sito web al GDPR. Sotto trovate tutte le fonti da cui abbiamo raccolto le informazioni.

L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove in molti casi l'agenzia deve collaborare con avvocati e consulenti privacy per adeguarlo correttamente alla normativa.

Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari Contattaci per saperne di più.

 

Fonti Articolo

Fonti ufficiali e altri articoli di riferimento

GDPR e Cookie Law: come mettere a norma il sito web
GDPR e Cookie Law: come mettere a norma il sito web

Linee guida cookie e altri strumenti di tracciamento
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021

Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016

Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)

Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679

Featured Image
termly.io

Contattaci per saperne di più

Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.