Con il nuovo Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR, assume particolare rilievo la tematica dei cookies (e\o tecnologie assimilabili, come i web beacon o clear gift) per la tracciatura e il monitoraggio degli utenti on line.
L’utilizzo di queste tecnologie su web è già stata in precedenza oggetto della normativa detta ePrivacy: tuttavia, l’entrata in vigore del GDPR richiede ai titolari dei siti web un’attenzione particolare nel trovare nuove soluzioni tecniche, in particolare sul tema del consenso dell’utente, per rendere il proprio sito GDPR compliant.
Vediamo allora perché e come adeguare la gestione dei cookie sul proprio sito web.
(Articolo aggiornato con le Linee Guida di giugno 2020 del Garante)
Argomenti trattati
COOKIES
I cookies (letteralmente ‘biscottini‘) sono dei file di testo inviati sul computer dell’utente che in quel momento sta visitando il sito web: in origine, sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione.
Ben presto, tuttavia, i cookie iniziarono ad essere utilizzati anche per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore.
In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.
Profilazione del navigatore web
L’uso dei cookie ai fini di “profilazione” permette di tracciare il percorso di navigazione di una persona fisica anche su siti differenti, acquisendone a sua insaputa informazioni comportamentali, tracciandone il profilo e usando queste informazioni a fini di marketing.
COOKIE e GDPR
Con la crescita delle tecnologie web, il tema della profilazione tramite cookie diventa un aspetto importante per la privacy delle persone fisiche. La comunità europea emana quindi diverse direttive (In Italia si parla di “Cookie Law”) che mirano a fermare l’uso selvaggio dei cookie e impongono ai siti web di informare adeguatamente il visitatore, di modo che questi possa darne un consenso consapevole all’uso.
Con l’entrata in vigore del GDPR è proprio il consenso a subire la modifica più significativa, in quanto dal 25 maggio 2018 dovrà essere espresso mediante un atto positivo inequivocabile e per singola finalità di trattamento. In qualsiasi momento, inoltre, l’utente dovrà poter revocare il consenso già fornito.
Questo cambio di visione ha un impatto importante sulla gestione dei cookie da parte del sito web.
Il GDPR è il risultato di un percorso legislativo partito nel 2002, composto da norme e disposizioni centrate sul tema del trattamento e della protezione dei dati personali, che vengono integrate e armonizzate in un nuovo regolamento. Di seguito percorriamo questo percorso, per arrivare poi meglio ad analizzare i punti del GDPR che impattano sulla gestione dei cookie.
La Normativa sui cookies
L’attenzione al tema dei cookie da parte del legislatore europeo inizia nel 2002. I principali riferimenti normativi italiani e comunitari che regolamentano la gestione dei cookie (e che precedono il GDPR) sono:
- Direttiva 2002/58/CE (ePrivacy) del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), pubblicata in Gazzetta Ufficiale n. L 201 del 31/07/2002.
Stabiliva l’obbligo di presentare un informativa sulla presenza dei cookie e sul fatto che potevano essere disabilitati tramite browser. Il consenso era implicito.
- Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy) CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI e successive modifiche ed integrazioni. In particolare, la normativa europea in materia di cookie viene recepita in Italia con la riformulazione dell’Art. 122.
Art. 122: 1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente. 2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.
- Direttiva 2009/136/CE recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
Impone al titolare del sito web di informare l’utente del fatto che fa uso dei cookie sul sito, e in alcuni casi a ottenere il consenso preventivo all’uso degli stessi (Art. 3). Sottolinea che “Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili” (Cons. 66) e modifica la 2002/58/CE introducendo l’obbligo che l’utente sia informato “sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento” (Art. 5.3).
Per saperne di più sulla Cookie Law, puoi leggere il nostro precedente articolo Cookie Law: cosa fare e come adeguare il tuo sito web.
La Cookie Law e le indicazioni del Garante Italiano
La normativa europea del 2009 non è entrata subito in vigore negli Stati Membri, in quanto i Garanti nazionali ritardarono nel predisporre la regolamentazione necessaria. Il Garante Italiano emise un provvedimento con le specifiche di applicazione in data 8 maggio 2014 (da molti chiamato Cookie Law):
- Provvedimento 229/2014 del Garante Italiano per l’Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014).
Il Garante formula le regole e le modalità per adempiere agli obblighi (introdotti dalle direttive comunitarie) di informativa e acquisizione del consenso all’utilizzo di cookie. Concede un anno di tempo alle aziende per adeguare i propri siti web: il provvedimento entra in vigore il 3 giugno del 2015 e dopo 2 giorni vengono pubblicati i chiarimenti del Garante su alcune modalità. La normativa si applica a tutti i siti che installano cookie sui terminali degli utenti situati sul territorio dello Stato (Art. 5, comma 2, del Codice privacy).
Insieme ai chiarimenti, il Garante diffonde un’utilissima infografica (che potete vedere nella sua versione originale alla pagina Cookie Law: i chiarimenti) che rappresenta un documento importantissimo in quanto chiarì molti aspetti sul tema e aiutò le aziende a comprendere come strutturare correttamente la gestione dei cookie sul proprio sito web.
Il Gruppo di Lavoro Ex Articolo 29
Il Gruppo dell’articolo 29 per la tutela dei dati (in inglese Article 29 Working Party o WP29, dal 25 maggio 2018 poi sostituito dal Comitato europeo per la protezione dei dati (EDPB)) fu il gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati. Era un organismo consultivo indipendente, istituitosi inizialmente dall’art. 29 della Direttiva 95/46/CE (ora abrogata e sostituita dal GDPR), composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione.
Prevedeva vari compiti da affidare ai membri dei Garanti nazionali, che quindi si riunivano per garantire regole comuni in tema di privacy e fornivano pareri esperti su diversi temi, anche in tema di cookie. Per questo motivo, il Garante della Privacy Italiano pubblicò sul proprio sito i pareri del Gruppo, tra cui anche le Linee guida elaborate dal Gruppo Art. 29 in materia di trasparenza, definite in base alle previsioni del Regolamento (UE) 2016/679 (ovvero il GDPR).
GDPR e uso corretto dei Cookie sui siti web
Il Regolamento europeo sulla protezione dei dati (GDPR) nasce quindi con l’obiettivo di tutelare le persone fisiche da un utilizzo illecito dei loro dati personali: proprio l’aumento esponenziale dei servizi online ha determinato un aumento dei rischi per i diritti e per la privacy dei cittadini, e ha reso necessario un intervento legislativo europeo. In relazione alla direttiva 2002/58/CE (ePrivacy), l’Art.95 del GDPR recita:
“Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.”
Benchè quindi nel Regolamento si dichiari di non imporre obblighi supplementari a quelli già previsti nella ePrivacy, in realtà dal 25 maggio 2018, con l’entrata in vigore del GDPR, vengono modificate le condizioni di validità per l’acquisizione del consenso, ora richiesto per singola tipologia di trattamento, e questo influisce anche sul tema dei cookies.
GDPR: Riferimenti normativi ai cookie
Vediamo meglio gli articoli e le parti del regolamento che hanno un importante impatto in materia di cookie:
- L’indirizzo IP è un dato personale come anche i cookie e altri “identificatori”, in quanto possono essere incrociati con altre informazioni e creare un profilo dell’utente. In altre parole: se i cookie possono identificare un individuo, sono considerati dati personali
Il Considerando 30 cita esattamente: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”
- I cookie sono considerati dati pseudonimi ovvero una tipologia di dato personale dove gli elementi identificativi sono stati sostituiti da altri elementi (come stringhe di testo e numeri). Se resi sufficientemente anonimi non sono considerati dati personali (quindi non sono soggetti alle disposizioni previste dal GDPR) purché anonimizzandoli non possano più essere incrociati con altre informazioni per identificare la persona, ovvero il dispositivo univoco utilizzato per l’accesso e la navigazione online.
Il Considerando 26 cita esattamente: “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”
- Le caselle pre-selezionate non sono conformi al GDPR in quanto ciò non è sufficiente a rappresentare una manifestazione volontaria ed esplicita equivalente ad un consenso. L’utente deve manifestare attivamente il proprio consenso con un comportamento positivo, apponendo una spunta su un campo oppure selezionando una specifica impostazione tecnica per accettare o negare i cookies.
Il Considerando 32 cita esattamente: “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.”
- Da considerando 32 si deduce anche:
- Comportamento positivo e Scrolling: Con il termine “scrolling” s’intende lo scorrimento della pagina, dopo aver visualizzato il cookie banner. Lo scrolling, da solo, non è una manifestazione di consenso valida. Fino a maggio 2020, lo scroll di pagina era considerata un’azione positiva paragonabile al click su un pulsante di conferma: in passato anche il Garante Italiano lo aveva ritenuto una modalità di acquisizione del consenso valida (rif. Cookie Law: i chiarimenti del 2015), a patto che ciò fosse chiaramente indicato nell’informativa breve (banner) e che l’evento venisse registrato in un cookie tecnico. Successivamente, l’EDPB aveva già chiarito (parere n. 5/2020, del 4 maggio 2020) che il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso “in nessuna circostanza”. Nelle linee guida del 10 giugno 2021 il Garante della Privacy ha definito lo scrolling di per sé inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento, salva la sola ipotesi in cui venga inserito in un processo più articolato.
Lo scrolling può essere considerato valido solo se interviene e costituisce una delle componenti di un più articolato processo di acquisizione del consenso, dove viene gestito un preciso pattern che consente all’utente di segnalare la sua scelta come inequivoca e consapevole, e che tale scelta sia al tempo stesso registrabile e documentabile.
Nel caso contrario, quando il semplice scroll dell’utente non possa essere collegato ad un’azione consapevole e a un evento informatico inequivoco e documentabile, allora non sarà possibile attribuire a tale azione la validità del consenso: in questi casi, non sarà possibile quindi raccogliere il consenso dell’utente tramite una semplice interazione ma per ottenere un consenso valido sarà necessario che l’utente clicchi sul pulsante “Accetta”.
- Ogni trattamento di un dato personale deve essere “lecito”, ovvero deve avere una validità giuridica (definita tecnicamente dalla base giuridica di trattamento) e ogni modifica, qualora sostanziale, ai termini d’uso dei dati personali di un utente deve rispettare gli stessi principi di liceità e/o essere soggetta all’approvazione dell’utente stesso.
L’Art. 6 definisce che “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni” quali Consenso, Obbligo di Contratto, Obbligo di Legge, Interesse vitale, Interesse pubblico, Interesse Legittimo del Titolare.
- L’informativa deve essere semplice e completa e deve essere “consegnata” (resa visibile) al momento della raccolta. Non va modificata con troppa frequenza, e non sono più ammesse modifiche unilaterali ai termini contrattuali (rispetto a quanto era stato accettato dall’utente in sede di iscrizione al servizio) soprattutto se estendono le finalità di trattamento dei dati personali già raccolti
L’Art.13 descrive esattamente cosa deve essere fornito nell’informativa: concisa, trasparente, intelligibile e facilmente accessibile, deve prevedere le finalità esatte del trattamento, per ogni dato raccolto, e la base giuridica che rende lecita la raccolta e il successivo trattamento. Deve specificare tutti i diritti dell’interessato, contenere le informazioni sull’origine dei dati (se non raccolti direttamente), l’esistenza di un processo di profilazione e la sua logica (se presente), l’esistenza di Responsabili esterni del trattamento.
- Il consenso deve essere una scelta libera e deve essere fornito per ogni singola finalità di trattamento.
Considerando 42 cita: “Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”
- Il consenso dato può essere revocato in qualsiasi momento: il visitatore del sito deve poterlo revocare con la stessa semplicità con cui inizialmente ha fornito lo stesso consenso.
L’Art. 7 / comma 3 cita: “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa
facilità con cui è accordato.” Il GDPR prevede quindi che sul sito siano presenti dei meccanismi di opt-out per la revoca del consenso prestato, che siano semplici, trasparenti e di efficacia pari alle modalità di acquisizione iniziale del consenso.
- I dati raccolti devono essere conservati per un periodo di tempo definito: nella cookie policy andrebbe quindi integrata una tabella riportante anche il tempo di conservazione.
Il Considerando 39 cita: “Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario”.
- La profilazione è analisi del comportamento dell’utente su base automatizzata al fine di valutare l’utente stesso. La raccolta di dati non è di per sé profilazione, ma lo è la messa in opera di decisioni basate su tali dati con meccanismi automatizzati: il focus del GDPR non è quindi sul “trattamento” di per sé, bensì sulla modalità di trattamento. Con il termine “profilazione” nel GDPR non s’intende quindi la raccolta del dato puro o la semplice identificazione della persona, bensì l’utilizzo che si fa di quel dato quando viene elaborato con l’obiettivo di valutare la persona.
Il Considerando 24 cita esattamente: “…Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali“. L’Art. 4, comma 4) definisce la profilazione come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”
Linee Guida del EDPB (Ex Gruppo Articolo 29) di maggio 2020
Con l’entrata in vigore del GDPR, è stato costituito il Comitato europeo per la protezione dei dati (EDPB) che dal 25 maggio 2018 ha sostituito il Gruppo dell’articolo 29 per la tutela dei dati A maggio 2020 ha emanato delle nuove linee guida del Comitato europeo per la protezione dei dati (EDPB) focalizzandosi sul meccanismo per la raccolta di un consenso valido secondo il GDPR.
Linee Guida del Garante Italiano di giugno 2020
l’EDPB è il principale organo supervisore del GDPR in Europa, con la responsabilità di indirizzare le autorità nazionali per la protezione dei dati di ciascun Paese dell’UE in merito alle modalità di applicazione del GDPR. Sulla base delle linee guida di maggio 2020 del EDPB, il 10 giugno 2021 il Garante italiano emana delle linee guida aggiornate che richiamano ad una corretta applicazione del GDPR nella fase di acquisizione del consenso espresso dell’utente all’installazione dei cookie o all’impiego di altri strumenti di tracciamento affini.
Tipologie di Cookie e GDPR
Ragionando in termini di GDPR, possiamo dire che per il trattamento dei cookie tecnici (e dei cookie assimilabili a cookie tecnici) abbiamo come base giuridica l’interesse legittimo del titolare del sito, in quanto si tratta di strumenti necessari sia al funzionamento del sito stesso sia a fini statistici che per difendersi da frodi (si pensi, ad esempio, ad un sito che mette a disposizione un servizio online gratuito ma solo per un limite massimo di 3 volte al giorno: il titolare del sito solo memorizzando l’IP dell’utente può averne controllo, evitando un uso improprio del servizio).
Per tutti gli altri casi di cookie “non-tecnici” è invece necessario acquisire il consenso preventivo dell’utente, quale base giuridica che ne rende lecito il trattamento (la raccolta, la conservazione, l’elaborazione..etc..).
Questo consenso deve essere un consenso per singola finalità, il che complica la gestione dei cookie che vanno quindi analizzati singolarmente e correttamente catalogati sulla base della loro finalità. Il consenso prestato dall’utente all’uso del cookie non può più essere massivo, ma il visitatore web deve poter esprimere per quale finalità di trattamento (quindi per quale categoria di cookie) fornisce il proprio consenso esplicito. E deve poter revocare in qualsiasi momento il consenso precedentemente fornito: tecnicamente, questo si traduce nel fatto che ogni sito web dovrebbe impostare un pannello di controllo per l’utente, che gli permetta attivamente di selezionare o deselezionare i cookie per finalità di trattamento.
SCHEMA SUL CORRETTO USO DEI COOKIE
Scorri la tabella a destra da mobile
| TIPO DI COOKIE | ORIGINE | CONDIZIONE | COOKIE policy | COOKIE banner | COOKIE CONSENT |
|---|---|---|---|---|---|
| Nessun Cookie | - | Se il sito web non installa cookie | No | No | No |
| Cookie Tecnici | di prima parte | Se il sito web installa solo cookie tecnici | Si | No | No |
| Cookie Funzionali | di prima parte | Se sono cookie di sessione | Si | No | No |
| Cookie Funzionali | di prima parte | Se sono cookie persistenti | Si | Si | Si |
| Cookie Analitici | di prima parte | Se il sito web non effettua profilazione | Si | Si | No |
| Cookie Analitici | di prima parte | Se il sito web effettua profilazione | Si | Si | Si |
| Cookie Analitici | di terza parte | Se anonimizzati e non incrociati con altri dati | Si | Si | No |
| Cookie Analitici | di terza parte | Se la terza parte incrocia i dati con altri sistemi o effettua profilazione | Si | Si | Si |
| Cookie Social Media | di terza parte | Se non incrociati con altri dati e non per profilazione (es: social sharing) | Si | Si | No |
| Cookie Social Media | di terza parte | Se incrociati con altri dati o per profilazione (es: video embeddati senza 'nocookie') | Si | Si | Si |
| Cookie Profilanti | di prima parte | Se il sito web profila a fini commerciali | Si | Si | Si |
| Cookie Profilanti | di terza parte | Se la terza parte profila a fini pubblicitari | Si | Si | Si |
Schema di sintesi degli adempimenti richiesti dalla GDPR, redatto partendo dall'infografica elaborata dal Garante Italiano della Privacy nei Chiarimenti al Provvedimento 229/2014 (nota come Cookie Law) e aggiornato sulla base delle linee guida attuali. Rispetto all'infografica originale, è venuto meno l'obbligo di Notifica, come illustrato in questa pagina del sito del Garante “In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste né la notifica preventiva dei trattamenti all’autorità di controllo, né una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento)”. Per l'elaborazione dello schema sopra proposto sono stati integrati contenuti e indicazioni riprese da altre fonti, come il “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” contenente i criteri di valutazione dei cookie tecnici, e le Linee guida cookie e altri strumenti di tracciamento di giugno 2021 in tema di consenso valido.
Possiamo individuare nelle “tipologie di cookie” definite dal Garante nell’infografica la “finalità di trattamento” ai fini del GDPR. Il Garante ha effettuato una catalogazione valutando il grado di invasività del cookie nella sfera privata dell’utente.
Come adeguare il sito e la gestione dei Cookie al GDPR?
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici).
Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie valutando con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
| STRUMENTO | A COSA SERVE |
|---|---|
| Cookie Banner | Informativa breve |
| Cookie Policy | Informativa estesa |
| Cookie Consent | Acquisizione del consenso ai cookie |
| Prova del consenso | Prova documentale del consenso |
Cookie Banner e Cookie Policy rappresentano le informative all'uso dei dati, e devono rispondere a requisiti specifici: per saperne di più, leggi l'articolo Cosa scrivere nell'informativa: Cookie Banner e Cookie Policy. Nel caso il sito web utilizzi anche cookie diversi dai soli cookie tecnici, le sole informative non sono sufficienti e sarà necessario integrare un sistema di Cookie Consent, ovvero un sistema per l'acquisizione di un consenso che possa essere ritenuto valido e documentato: per saperne di più, leggi l'articolo Cookie: consenso valido e prova del consenso.
COOKIE BANNER: l’informativa breve ai cookie
All’accesso al sito, va visualizzato un banner cookie riportante un informativa breve che, tra le altre cose, deve contenere:
- Tipo di cookie scaricati in caso di consenso
- Come non fornire il consenso
- Link alla Privacy Policy e alla Cookie Policy
- Pulsante per poter accettare o effettuare il diniego
Il banner deve essere discontinuo e deve prevedere una modalità semplificata per negare lo scarico dei cookie ma accedere comunque al sito, scaricando tutt’al più solo cookie tecnici.
COOKIE CONSENT: Bloccare i cookie prima del consenso
I cookie di profilazione e i cookie analitici di terze parti non anonimizzati (che possiamo considerare “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) vanno bloccati fino all’espressione “attiva” del consenso da parte del visitatore.
Questo significa che la funzione svolta dal banner cookie non è solo informativa, ma deve anche effettuare la funzione di controllo del “cookie consent” bloccando i cookie profilanti non accettati. Questo significa che il sito web non dovrà scaricare alcun cookie profilante, come anche bloccare tutti gli oggetti di terze parti (widget, video embeddati, etc..) presenti nelle pagine web, fino al necessario consenso.
COOKIE POLICY: l’informativa estesa
La Cookie Policy deve contenere:
- Spiegazione di cosa sono i cookie
- Descrizione dei cookie di terze parti installati e i link alle relative Cookie Policy
- Possibilità di disattivare i cookie e/o revocarne il consenso dato
- Tabella dei cookie, divisa per finalità e con l’elenco completo dei cookie installati, indicante l’origine/destinazione (terza parte) e il periodo di conservazione
Può essere inserita nella Privacy Policy e, per rispondere meglio alle specifiche dell’Art. 13 del GDPR, nella Cookie Policy andrebbe inserita anche una modalità agevolata per revocare il consenso ai cookie e andrebbe aggiunta una tabella dei cookie che indica l’origine del cookie (che coincide con la piattaforma terza cui saranno trasmessi i dati) e la durata della sessione.
GDPR e cookie di Google Analytics
Il Garante Italiano mette in rilievo la differenza tra cookie profilanti di terze parti anonimizzati e non. Come specificato nell’infografica e nei chiarimenti del 05/06/2015, il potere profilante dei cookie può essere limitato mascherandone (anche parzialmente) l’indirizzo IP e non inviando così alla piattaforma terza il dato personale del visitatore del sito.
Ciò avviene tramite la tecnica dell’anonimizzazione, con la quale il dato trasmesso alla piattaforma di analytics contiene solo le informazioni necessarie per rilevarne la provenienza e poter effettuare delle statistiche aggregate, ma non viene incrociato con altri dati e quindi ricondotto al singolo utente.
Solo se resi anonimi e non usati per fini diversi da quelli statistici, i cookie analitici di terze parti possono essere assimilati a cookie tecnici. Tuttavia, la sola anonimizzazione potrebbe non essere di per sè sufficiente a garantire che il dato grezzo raccolto non venga combinato con altri dati (del sito web, di analytics o di altri prodotti collegati) che messi insieme potrebbero profilare comunque l’utente.
Consulenza GDPR per l'adeguamento ai cookie
In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.
Contattaci per saperne di più.
Guide alla gestione dei Cookie sul nostro sito
Cosa devi sapere per gestire correttamente i Cookie sul tuo sito web:COME GESTIRE I COOKIE SUL TUO SITO WEB
Tipologie di cookie
Cosa sono i Cookie: tecnici, statistici e profilanti
Cosa sono i Cookie di Analytics
Cosa sono i Cookie di terze parti
Cosa fare sul sito
Come gestire i Cookie sul sito web
Cookie Policy e Cookie Banner
Cookie Consent e prova del consenso
Normative
Cookie e GDPR
Cookie e Linee Guida del Garante Privacy
Google Analytics e GDPR
Fonti Articolo
Fonti ufficiali e altri articoli di riferimento
ePrivacy
Direttiva 2002/58/CE (ePrivacy)
Codice Privacy Italiano
Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy)
Modifica alla ePrivacy
Direttiva 2009/136/CE
Provvedimento Garante Italiano (Cookie Law)
Provvedimento 229/2014
Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016
Ex Gruppo Articolo 29
Il Gruppo Articolo 29
Sito del Garante Italiano: are dedicata ai cookie
Cookie e privacy: istruzioni per l´uso
Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante
Sito del Garante: Decadimento dell’obbligo di Notifica
Principi fondamentali del trattamento (liceità, minimizzazione…)
Sito del Garante: Trasparenza e linee guida elaborate dal Gruppo Art. 29
Trasparenza e Linee guida elaborate dal Gruppo Art. 29
I Pareri del ex Gruppo Articolo 29 (criteri dei cookie tecnici)
I pareri del Gruppo Articolo 29
Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)
Linee guida EDPB del 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679
Linee guida Garante Italiano del 6/2020 (consenso valido)
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021
Linee guida Garante Italiano del 6/2020 (sintesi)
Linee guida cookie e altri strumenti di tracciamento (sintesi)
Featured Image
termly.io
Contattaci per saperne di più
Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!