Con il nuovo Regolamento Generale sulla protezione dei dati personali n. 679/2016 o GDPR, assume particolare rilievo la tematica dei cookies (e\o tecnologie assimilabili, come i web beacon o clear gift) per la tracciatura e il monitoraggio degli utenti on line.
L’utilizzo di queste tecnologie su web è già stata in precedenza oggetto della normativa detta ePrivacy: tuttavia, l’entrata in vigore del GDPR richiede ai titolari dei siti web un’attenzione particolare nel trovare nuove soluzioni tecniche, in particolare sul tema del consenso dell’utente, per rendere il proprio sito GDPR compliant.
Vediamo allora perché e come adeguare la gestione dei cookie sul proprio sito web.
(Articolo aggiornato con le Linee Guida di giugno 2020 del Garante)
COOKIES
I cookies (letteralmente ‘biscottini‘) sono dei file di testo inviati sul computer dell’utente che in quel momento sta visitando il sito web: in origine, sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione.
Ben presto, tuttavia, i cookie iniziarono ad essere utilizzati anche per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore.
In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.
Profilazione del navigatore web
L’uso dei cookie ai fini di “profilazione” permette di tracciare il percorso di navigazione di una persona fisica anche su siti differenti, acquisendone a sua insaputa informazioni comportamentali, tracciandone il profilo e usando queste informazioni a fini di marketing.
COOKIE e GDPR
Con la crescita delle tecnologie web, il tema della profilazione tramite cookie diventa un aspetto importante per la privacy delle persone fisiche. La comunità europea emana quindi diverse direttive (In Italia si parla di “Cookie Law”) che mirano a fermare l’uso selvaggio dei cookie e impongono ai siti web di informare adeguatamente il visitatore, di modo che questi possa darne un consenso consapevole all’uso.
Con l’entrata in vigore del GDPR è proprio il consenso a subire la modifica più significativa, in quanto dal 25 maggio 2018 dovrà essere espresso mediante un atto positivo inequivocabile e per singola finalità di trattamento. In qualsiasi momento, inoltre, l’utente dovrà poter revocare il consenso già fornito.
Questo cambio di visione ha un impatto importante sulla gestione dei cookie da parte del sito web.
Il GDPR è il risultato di un percorso legislativo partito nel 2002, composto da norme e disposizioni centrate sul tema del trattamento e della protezione dei dati personali, che vengono integrate e armonizzate in un nuovo regolamento. Di seguito percorriamo questo percorso, per arrivare poi meglio ad analizzare i punti del GDPR che impattano sulla gestione dei cookie.
La Normativa sui cookies
L’attenzione al tema dei cookie da parte del legislatore europeo inizia nel 2002. I principali riferimenti normativi italiani e comunitari che regolamentano la gestione dei cookie (e che precedono il GDPR) sono:
- Direttiva 2002/58/CE (ePrivacy) del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), pubblicata in Gazzetta Ufficiale n. L 201 del 31/07/2002.
Stabiliva l’obbligo di presentare un informativa sulla presenza dei cookie e sul fatto che potevano essere disabilitati tramite browser. Il consenso era implicito.
- Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy) CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI e successive modifiche ed integrazioni. In particolare, la normativa europea in materia di cookie viene recepita in Italia con la riformulazione dell’Art. 122.
Art. 122: 1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente. 2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.
- Direttiva 2009/136/CE recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
Impone al titolare del sito web di informare l’utente del fatto che fa uso dei cookie sul sito, e in alcuni casi a ottenere il consenso preventivo all’uso degli stessi (Art. 3). Sottolinea che “Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili” (Cons. 66) e modifica la 2002/58/CE introducendo l’obbligo che l’utente sia informato “sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento” (Art. 5.3).
Per saperne di più sulla Cookie Law, puoi leggere il nostro precedente articolo Cookie Law: cosa fare e come adeguare il tuo sito web.
La Cookie Law e le indicazioni del Garante Italiano
La normativa europea del 2009 non è entrata subito in vigore negli Stati Membri, in quanto i Garanti nazionali ritardarono nel predisporre la regolamentazione necessaria. Il Garante Italiano emise un provvedimento con le specifiche di applicazione in data 8 maggio 2014 (da molti chiamato Cookie Law):
- Provvedimento 229/2014 del Garante Italiano per l’Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 (Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014).
Il Garante formula le regole e le modalità per adempiere agli obblighi (introdotti dalle direttive comunitarie) di informativa e acquisizione del consenso all’utilizzo di cookie. Concede un anno di tempo alle aziende per adeguare i propri siti web: il provvedimento entra in vigore il 3 giugno del 2015 e dopo 2 giorni vengono pubblicati i chiarimenti del Garante su alcune modalità. La normativa si applica a tutti i siti che installano cookie sui terminali degli utenti situati sul territorio dello Stato (Art. 5, comma 2, del Codice privacy).
Insieme ai chiarimenti, il Garante diffonde un’utilissima infografica (che potete vedere nella sua versione originale alla pagina Cookie Law: i chiarimenti) che rappresenta un documento importantissimo in quanto chiarì molti aspetti sul tema e aiutò le aziende a comprendere come strutturare correttamente la gestione dei cookie sul proprio sito web.
Il Gruppo di Lavoro Ex Articolo 29
Il Gruppo dell’articolo 29 per la tutela dei dati (in inglese Article 29 Working Party o WP29, dal 25 maggio 2018 poi sostituito dal Comitato europeo per la protezione dei dati (EDPB)) fu il gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati. Era un organismo consultivo indipendente, istituitosi inizialmente dall’art. 29 della Direttiva 95/46/CE (ora abrogata e sostituita dal GDPR), composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione.
Prevedeva vari compiti da affidare ai membri dei Garanti nazionali, che quindi si riunivano per garantire regole comuni in tema di privacy e fornivano pareri esperti su diversi temi, anche in tema di cookie. Per questo motivo, il Garante della Privacy Italiano pubblicò sul proprio sito i pareri del Gruppo, tra cui anche le Linee guida elaborate dal Gruppo Art. 29 in materia di trasparenza, definite in base alle previsioni del Regolamento (UE) 2016/679 (ovvero il GDPR).
GDPR e uso corretto dei Cookie sui siti web
Il Regolamento europeo sulla protezione dei dati (GDPR) nasce quindi con l’obiettivo di tutelare le persone fisiche da un utilizzo illecito dei loro dati personali: proprio l’aumento esponenziale dei servizi online ha determinato un aumento dei rischi per i diritti e per la privacy dei cittadini, e ha reso necessario un intervento legislativo europeo. In relazione alla direttiva 2002/58/CE (ePrivacy), l’Art.95 del GDPR recita:
“Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.”
Benchè quindi nel Regolamento si dichiari di non imporre obblighi supplementari a quelli già previsti nella ePrivacy, in realtà dal 25 maggio 2018, con l’entrata in vigore del GDPR, vengono modificate le condizioni di validità per l’acquisizione del consenso, ora richiesto per singola tipologia di trattamento, e questo influisce anche sul tema dei cookies.
GDPR: Riferimenti normativi ai cookie
Vediamo meglio gli articoli e le parti del regolamento che hanno un importante impatto in materia di cookie:
- L’indirizzo IP è un dato personale come anche i cookie e altri “identificatori”, in quanto possono essere incrociati con altre informazioni e creare un profilo dell’utente. In altre parole: se i cookie possono identificare un individuo, sono considerati dati personali
Il Considerando 30 cita esattamente: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”
- I cookie sono considerati dati pseudonimi ovvero una tipologia di dato personale dove gli elementi identificativi sono stati sostituiti da altri elementi (come stringhe di testo e numeri). Se resi sufficientemente anonimi non sono considerati dati personali (quindi non sono soggetti alle disposizioni previste dal GDPR) purché anonimizzandoli non possano più essere incrociati con altre informazioni per identificare la persona, ovvero il dispositivo univoco utilizzato per l’accesso e la navigazione online.
Il Considerando 26 cita esattamente: “È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”
- Le caselle pre-selezionate non sono conformi al GDPR in quanto ciò non è sufficiente a rappresentare una manifestazione volontaria ed esplicita equivalente ad un consenso. L’utente deve manifestare attivamente il proprio consenso con un comportamento positivo, apponendo una spunta su un campo oppure selezionando una specifica impostazione tecnica per accettare o negare i cookies.
Il Considerando 32 cita esattamente: “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.”
- Da considerando 32 si deduce anche:
- Comportamento positivo e Scrolling: Con il termine “scrolling” s’intende lo scorrimento della pagina, dopo aver visualizzato il cookie banner. Lo scrolling, da solo, non è una manifestazione di consenso valida. Fino a maggio 2020, lo scroll di pagina era considerata un’azione positiva paragonabile al click su un pulsante di conferma: in passato anche il Garante Italiano lo aveva ritenuto una modalità di acquisizione del consenso valida (rif. Cookie Law: i chiarimenti del 2015), a patto che ciò fosse chiaramente indicato nell’informativa breve (banner) e che l’evento venisse registrato in un cookie tecnico. Successivamente, l’EDPB aveva già chiarito (parere n. 5/2020, del 4 maggio 2020) che il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso “in nessuna circostanza”. Nelle linee guida del 10 giugno 2021 il Garante della Privacy ha definito lo scrolling di per sé inadatto alla raccolta di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento, salva la sola ipotesi in cui venga inserito in un processo più articolato.
Lo scrolling può essere considerato valido solo se interviene e costituisce una delle componenti di un più articolato processo di acquisizione del consenso, dove viene gestito un preciso pattern che consente all’utente di segnalare la sua scelta come inequivoca e consapevole, e che tale scelta sia al tempo stesso registrabile e documentabile.
Nel caso contrario, quando il semplice scroll dell’utente non possa essere collegato ad un’azione consapevole e a un evento informatico inequivoco e documentabile, allora non sarà possibile attribuire a tale azione la validità del consenso: in questi casi, non sarà possibile quindi raccogliere il consenso dell’utente tramite una semplice interazione ma per ottenere un consenso valido sarà necessario che l’utente clicchi sul pulsante “Accetta”.
- Ogni trattamento di un dato personale deve essere “lecito”, ovvero deve avere una validità giuridica (definita tecnicamente dalla base giuridica di trattamento) e ogni modifica, qualora sostanziale, ai termini d’uso dei dati personali di un utente deve rispettare gli stessi principi di liceità e/o essere soggetta all’approvazione dell’utente stesso.
L’Art. 6 definisce che “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni” quali Consenso, Obbligo di Contratto, Obbligo di Legge, Interesse vitale, Interesse pubblico, Interesse Legittimo del Titolare.
- L’informativa deve essere semplice e completa e deve essere “consegnata” (resa visibile) al momento della raccolta. Non va modificata con troppa frequenza, e non sono più ammesse modifiche unilaterali ai termini contrattuali (rispetto a quanto era stato accettato dall’utente in sede di iscrizione al servizio) soprattutto se estendono le finalità di trattamento dei dati personali già raccolti
L’Art.13 descrive esattamente cosa deve essere fornito nell’informativa: concisa, trasparente, intelligibile e facilmente accessibile, deve prevedere le finalità esatte del trattamento, per ogni dato raccolto, e la base giuridica che rende lecita la raccolta e il successivo trattamento. Deve specificare tutti i diritti dell’interessato, contenere le informazioni sull’origine dei dati (se non raccolti direttamente), l’esistenza di un processo di profilazione e la sua logica (se presente), l’esistenza di Responsabili esterni del trattamento.
- Il consenso deve essere una scelta libera e deve essere fornito per ogni singola finalità di trattamento.
Considerando 42 cita: “Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”
- Il consenso dato può essere revocato in qualsiasi momento: il visitatore del sito deve poterlo revocare con la stessa semplicità con cui inizialmente ha fornito lo stesso consenso.
L’Art. 7 / comma 3 cita: “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa
facilità con cui è accordato.” Il GDPR prevede quindi che sul sito siano presenti dei meccanismi di opt-out per la revoca del consenso prestato, che siano semplici, trasparenti e di efficacia pari alle modalità di acquisizione iniziale del consenso.
- I dati raccolti devono essere conservati per un periodo di tempo definito: nella cookie policy andrebbe quindi integrata una tabella riportante anche il tempo di conservazione.
Il Considerando 39 cita: “Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario”.
- La profilazione è analisi del comportamento dell’utente su base automatizzata al fine di valutare l’utente stesso. La raccolta di dati non è di per sé profilazione, ma lo è la messa in opera di decisioni basate su tali dati con meccanismi automatizzati: il focus del GDPR non è quindi sul “trattamento” di per sé, bensì sulla modalità di trattamento. Con il termine “profilazione” nel GDPR non s’intende quindi la raccolta del dato puro o la semplice identificazione della persona, bensì l’utilizzo che si fa di quel dato quando viene elaborato con l’obiettivo di valutare la persona.
Il Considerando 24 cita esattamente: “…Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali“. L’Art. 4, comma 4) definisce la profilazione come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”
Linee Guida del EDPB (Ex Gruppo Articolo 29) di maggio 2020
Con l’entrata in vigore del GDPR, è stato costituito il Comitato europeo per la protezione dei dati (EDPB) che dal 25 maggio 2018 ha sostituito il Gruppo dell’articolo 29 per la tutela dei dati A maggio 2020 ha emanato delle nuove linee guida del Comitato europeo per la protezione dei dati (EDPB) focalizzandosi sul meccanismo per la raccolta di un consenso valido secondo il GDPR.
Linee Guida del Garante Italiano di giugno 2020
l’EDPB è il principale organo supervisore del GDPR in Europa, con la responsabilità di indirizzare le autorità nazionali per la protezione dei dati di ciascun Paese dell’UE in merito alle modalità di applicazione del GDPR. Sulla base delle linee guida di maggio 2020 del EDPB, il 10 giugno 2021 il Garante italiano emana delle linee guida aggiornate che richiamano ad una corretta applicazione del GDPR nella fase di acquisizione del consenso espresso dell’utente all’installazione dei cookie o all’impiego di altri strumenti di tracciamento affini.
Tipologie di Cookie e GDPR
Ragionando in termini di GDPR, possiamo dire che per il trattamento dei cookie tecnici (e dei cookie assimilabili a cookie tecnici) abbiamo come base giuridica l’interesse legittimo del titolare del sito, in quanto si tratta di strumenti necessari sia al funzionamento del sito stesso sia a fini statistici che per difendersi da frodi (si pensi, ad esempio, ad un sito che mette a disposizione un servizio online gratuito ma solo per un limite massimo di 3 volte al giorno: il titolare del sito solo memorizzando l’IP dell’utente può averne controllo, evitando un uso improprio del servizio).
Per tutti gli altri casi di cookie “non-tecnici” è invece necessario acquisire il consenso preventivo dell’utente, quale base giuridica che ne rende lecito il trattamento (la raccolta, la conservazione, l’elaborazione..etc..).
Questo consenso deve essere un consenso per singola finalità, il che complica la gestione dei cookie che vanno quindi analizzati singolarmente e correttamente catalogati sulla base della loro finalità. Il consenso prestato dall’utente all’uso del cookie non può più essere massivo, ma il visitatore web deve poter esprimere per quale finalità di trattamento (quindi per quale categoria di cookie) fornisce il proprio consenso esplicito. E deve poter revocare in qualsiasi momento il consenso precedentemente fornito: tecnicamente, questo si traduce nel fatto che ogni sito web dovrebbe impostare un pannello di controllo per l’utente, che gli permetta attivamente di selezionare o deselezionare i cookie per finalità di trattamento.
SCHEMA SUL CORRETTO USO DEI COOKIE
Scorri la tabella a destra da mobile
| TIPO DI COOKIE | ORIGINE | CONDIZIONE | COOKIE policy | COOKIE banner | COOKIE CONSENT |
|---|---|---|---|---|---|
| Nessun Cookie | - | Se il sito web non installa cookie | No | No | No |
| Cookie Tecnici | di prima parte | Se il sito web installa solo cookie tecnici | Si | No | No |
| Cookie Funzionali | di prima parte | Se sono cookie di sessione | Si | No | No |
| Cookie Funzionali | di prima parte | Se sono cookie persistenti | Si | Si | Si |
| Cookie Analitici | di prima parte | Se il sito web non effettua profilazione | Si | Si | No |
| Cookie Analitici | di prima parte | Se il sito web effettua profilazione | Si | Si | Si |
| Cookie Analitici | di terza parte | Se anonimizzati e non incrociati con altri dati | Si | Si | No |
| Cookie Analitici | di terza parte | Se la terza parte incrocia i dati con altri sistemi o effettua profilazione | Si | Si | Si |
| Cookie Social Media | di terza parte | Se non incrociati con altri dati e non per profilazione (es: social sharing) | Si | Si | No |
| Cookie Social Media | di terza parte | Se incrociati con altri dati o per profilazione (es: video embeddati senza 'nocookie') | Si | Si | Si |
| Cookie Profilanti | di prima parte | Se il sito web profila a fini commerciali | Si | Si | Si |
| Cookie Profilanti | di terza parte | Se la terza parte profila a fini pubblicitari | Si | Si | Si |
Schema di sintesi degli adempimenti richiesti dalla GDPR, redatto partendo dall'infografica elaborata dal Garante Italiano della Privacy nei Chiarimenti al Provvedimento 229/2014 (nota come Cookie Law) e aggiornato sulla base delle linee guida attuali. Rispetto all'infografica originale, è venuto meno l'obbligo di Notifica, come illustrato in questa pagina del sito del Garante “In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più previste né la notifica preventiva dei trattamenti all’autorità di controllo, né una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento)”. Per l'elaborazione dello schema sopra proposto sono stati integrati contenuti e indicazioni riprese da altre fonti, come il “Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie” contenente i criteri di valutazione dei cookie tecnici, e le Linee guida cookie e altri strumenti di tracciamento di giugno 2021 in tema di consenso valido.
Possiamo individuare nelle “tipologie di cookie” definite dal Garante nell’infografica la “finalità di trattamento” ai fini del GDPR. Il Garante ha effettuato una catalogazione valutando il grado di invasività del cookie nella sfera privata dell’utente.
Come adeguare il sito e la gestione dei Cookie al GDPR?
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici).
Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie valutando con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
| STRUMENTO | A COSA SERVE |
|---|---|
| Cookie Banner | Informativa breve |
| Cookie Policy | Informativa estesa |
| Cookie Consent | Acquisizione del consenso ai cookie |
| Prova del consenso | Prova documentale del consenso |
Cookie Banner e Cookie Policy rappresentano le informative all'uso dei dati, e devono rispondere a requisiti specifici: per saperne di più, leggi l'articolo Cosa scrivere nell'informativa: Cookie Banner e Cookie Policy. Nel caso il sito web utilizzi anche cookie diversi dai soli cookie tecnici, le sole informative non sono sufficienti e sarà necessario integrare un sistema di Cookie Consent, ovvero un sistema per l'acquisizione di un consenso che possa essere ritenuto valido e documentato: per saperne di più, leggi l'articolo Cookie: consenso valido e prova del consenso.
COOKIE BANNER: l’informativa breve ai cookie
All’accesso al sito, va visualizzato un banner cookie riportante un informativa breve che, tra le altre cose, deve contenere:
- Tipo di cookie scaricati in caso di consenso
- Come non fornire il consenso
- Link alla Privacy Policy e alla Cookie Policy
- Pulsante per poter accettare o effettuare il diniego
Il banner deve essere discontinuo e deve prevedere una modalità semplificata per negare lo scarico dei cookie ma accedere comunque al sito, scaricando tutt’al più solo cookie tecnici.
COOKIE CONSENT: Bloccare i cookie prima del consenso
I cookie di profilazione e i cookie analitici di terze parti non anonimizzati (che possiamo considerare “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) vanno bloccati fino all’espressione “attiva” del consenso da parte del visitatore.
Questo significa che la funzione svolta dal banner cookie non è solo informativa, ma deve anche effettuare la funzione di controllo del “cookie consent” bloccando i cookie profilanti non accettati. Questo significa che il sito web non dovrà scaricare alcun cookie profilante, come anche bloccare tutti gli oggetti di terze parti (widget, video embeddati, etc..) presenti nelle pagine web, fino al necessario consenso.
COOKIE POLICY: l’informativa estesa
La Cookie Policy deve contenere:
- Spiegazione di cosa sono i cookie
- Descrizione dei cookie di terze parti installati e i link alle relative Cookie Policy
- Possibilità di disattivare i cookie e/o revocarne il consenso dato
- Tabella dei cookie, divisa per finalità e con l’elenco completo dei cookie installati, indicante l’origine/destinazione (terza parte) e il periodo di conservazione
Può essere inserita nella Privacy Policy e, per rispondere meglio alle specifiche dell’Art. 13 del GDPR, nella Cookie Policy andrebbe inserita anche una modalità agevolata per revocare il consenso ai cookie e andrebbe aggiunta una tabella dei cookie che indica l’origine del cookie (che coincide con la piattaforma terza cui saranno trasmessi i dati) e la durata della sessione.
GDPR e cookie di Google Analytics
Il Garante Italiano mette in rilievo la differenza tra cookie profilanti di terze parti anonimizzati e non. Come specificato nell’infografica e nei chiarimenti del 05/06/2015, il potere profilante dei cookie può essere limitato mascherandone (anche parzialmente) l’indirizzo IP e non inviando così alla piattaforma terza il dato personale del visitatore del sito.
Ciò avviene tramite la tecnica dell’anonimizzazione, con la quale il dato trasmesso alla piattaforma di analytics contiene solo le informazioni necessarie per rilevarne la provenienza e poter effettuare delle statistiche aggregate, ma non viene incrociato con altri dati e quindi ricondotto al singolo utente.
Solo se resi anonimi e non usati per fini diversi da quelli statistici, i cookie analitici di terze parti possono essere assimilati a cookie tecnici. Tuttavia, la sola anonimizzazione potrebbe non essere di per sè sufficiente a garantire che il dato grezzo raccolto non venga combinato con altri dati (del sito web, di analytics o di altri prodotti collegati) che messi insieme potrebbero profilare comunque l’utente.
Consulenza GDPR per l'adeguamento ai cookie
In questo articolo abbiamo cercato di riportare le informazioni più utili e importanti riguardanti i cookie e l’adeguamento del sito web al GDPR. L’adeguamento del sito web alla normativa sulla gestione dei cookie è un aspetto molto importante: si tratta di una tematica complessa, che richiede la massima attenzione sia dal punto di vista tecnico che normativo, soprattutto quando il sito è collegato a campagne digitali oppure è un sito ecommerce. Non esiste un modello predefinito ma bisogna mettere in campo un mix di competenze professionali diversificate, dove spesso l'agenzia di web development deve collaborare con avvocati e consulenti privacy per un adeguamento corretto alla normativa. Puoi chiederci una consulenza specialistica per valutare lo stato di adeguamento del tuo sito web alla GDPR: forniamo supporto ad aziende e professionisti, per connettere correttamente tutti gli strumenti e integrare le parti mancanti, mettendoti al riparo da rischi o interventi disciplinari.
Contattaci per saperne di più.
Cosa devi sapere per gestire correttamente i Cookie sul tuo sito web:COME GESTIRE I COOKIE SUL TUO SITO WEB
Tipologie di cookie
Cosa sono i Cookie: tecnici, statistici e profilanti
Cosa sono i Cookie di Analytics
Cosa sono i Cookie di terze parti
Cosa fare sul sito
Come gestire i Cookie sul sito web
Cookie Policy e Cookie Banner
Cookie Consent e prova del consenso
Normative
Cookie e GDPR
Cookie e Linee Guida del Garante Privacy
Google Analytics e GDPR
Domande e risposte sui cookie:FAQ SUI COOKIE
Cosa sono i Cookie e a cosa servono
Cosa sono i Cookie?
Con il termine cookies (letteralmente ‘biscottini‘) si fa riferimento a tracker che collegano utenti e siti web. Il cookie vero è proprio è tipicamente un file di testo inviato sul computer dell’utente che in quel momento sta visitando il sito web. Con lo stesso termine, nel linguaggio comune si fa riferimento anche ad altre tecnologie assimilabili come i web beacon o clear gift, che tracciano gli utenti utilizzando metodologie diverse ma perseguono fini simili. Non tutti i cookie sono uguali e nemmeno le regole che ne autorizzano l’utilizzo. Molti siti web utilizzano cookies per la profilazione e il monitoraggio degli utenti online che, raccogliendo informazioni personali, possono rappresentare un rischio per la sicurezza e la privacy delle persone fisiche.
A cosa servono i Cookie?
I cookie in origine sono nati come strumenti per migliorare la navigazione, in quanto permettevano di leggere e/o memorizzare delle informazioni (es. preferenze sull’aspetto grafico, ultima lingua scelta dall’utente sul sito, etc…) che al successivo accesso venivano direttamente riproposte, migliorando l’esperienza di navigazione. Ben presto i cookie iniziarono ad essere utilizzati per identificare, riconoscere e classificare il visitatore del sito: le aziende ne compresero il potenziale e insieme ai cookie tecnici svilupparono cookie statistici per analizzare le visite al sito, e cookies di profilazione per creare annunci personalizzati e aderenti ai gusti del visitatore. In poco tempo, le tecniche di profilazione dei visitatori su web diventarono così sempre più avanzate e spesso all’insaputa dell’utente: i cookie iniziarono ad essere distribuiti anche da siti terzi, e nacquero società come DoubleClick (acquisita a marzo 2008 da Google) per tracciare gli utenti durante tutta la loro navigazione online e poi mostragli annunci personalizzati sui siti diversi.
Cosa sono i Cookie tecnici?
I cookie tecnici servono per la navigazione del sito e sono strettamente necessari al funzionamento e alla fruizione dei contenuti in esso presente: ad esempio, per lo scorrimento della pagina, la consultazione dei contenuti, l’erogazione del servizio etc….
Cosa sono i Cookie analitici o statistici?
I cookie analitici o statistici vengono utilizzati per raccogliere informazioni utili sul numero degli utenti e su come questi visitano il sito, a fini di analizzarne le performance e migliorarne le prestazioni. Possono assumere un potere profilante se vengono incrociati con altri dati.
Cosa sono i Cookie di profilazione?
I cookie profilanti o di marketing sono cookie tipicamente utilizzati per raccogliere informazioni che, incrociate con altri dati, permettono di tracciare un profilo di navigazione dell’utente in modo da proporgli messaggi pubblicitari in linea con i suoi interessi. L’esempio più tipico sono le piattaforme pubblicitarie di terze parti che vendono spazi pubblicitari: per raggiungere questo scopo, queste piattaforme distribuiscono i loro cookie tramite più siti web (un esempio tipico è il pixel di Facebook) e così raccolgono i dati per una pubblicità comportamentale. In generale, un cookie diventa profilante laddove utilizzi le informazioni raccolte per scopi commerciali perseguiti tramite un processo automatizzato. La ragione di ciò è che i cookie che tracciano il comportamento dell'utente potrebbero essere un potenziale rischio per la privacy.
Cosa vuol dire Cookie di prima parte?
I Cookie di prima parte sono installati dal sito che l’utente sta visitando e gestiti direttamente dal gestore (editore) dello stesso sito; raccolgono dati che saranno trattati in modo proprietario sui server di quest’ultimo.
Cosa sono i Cookie di terza parte?
I Cookie di terza parte vengono installati attraverso il sito che l’utente sta visitando ma gestiti da un soggetto diverso dal gestore (editore) dello stesso sito; raccolgono dati che saranno trasmessi e trattati in una piattaforma e/o servizio esterno.
Documenti e Informative sul sito
Cosa scrivere nel Banner Cookie o informativa breve?
L’utente che accede per la prima volta a una qualsiasi pagina del sito dovrà visualizzare immediatamente un banner di dimensioni tali da garantire una chiara e percettibile discontinuità rispetto al resto del contenuto. Questo banner deve contenere l’informativa breve sull’uso dei cookie e il link alla cookie policy estesa, i pulsanti accetta e rifiuta (o una X in alto a destra che equivale al pulsante “rifiuta”) e la possibilità di esprimere un consenso granulare lasciando la possibilità all’utente di dare o meno un consenso all’uso di ogni singola categoria di cookie. Le dimensioni del banner devono essere adeguate in relazione ai diversi dispositivi e in relazione alle grandezze dei comandi proposti, al fine di evitare che l’utente possa compiere una scelta indesiderata e/o inconsapevole.
Cosa scrivere nella Cookie Policy o Informativa estesa?
L’informativa estesa o Cookie Policy è un'area del sito web che descrive la politica sull'uso dei cookie. Può essere una pagina separata o una sottosezione della Privacy Policy dedicata ai cookie. Deve rispondere ai requisiti di trasparenza imposti dagli Art 12 e 13 del GDPR, e a tal fine deve descrivere la modalità di trattamento dei dati acquisiti tramite cookie visualizzando quali cookie utilizza il sito, le categorie in cui rientrano (finalità di trattamento) e la possibilità di attivare o disattivare determinate categorie di cookie. Questi dati possono essere esposti in una tabella dei cookie che riporta anche la scadenza (tempi di conservazione) e l’origine del cookie, ovvero l'eventuale piattaforma terza cui saranno trasmessi i dati (altri soggetti destinatari dei dati personali). Deve inoltre includere una modalità agevolata per revocare il consenso eventualmente già fornito. Deve essere accessibile sia dal banner breve sia da ogni pagina web: per questo motivo, viene tipicamente inserito il link di richiamo nel footer del sito.
Cosa è la Privacy Policy?
La Privacy Policy è un documento generale che descrive come un’organizzazione tratta tutti i dati raccolti: oggi, data l’enorme diffusione delle reti e delle tecnologie di connessione, per dati personali s'intendono nome, cognome, telefono o indirizzo email ma anche altri dati come ad esempio l'indirizzo IP, la geolocalizzazione dell'utente, i suoi dati biometrici, etc.... La Privacy Policy si compone di diverse sezioni, tra le quali i riferimenti del titolare e dei responsabili del trattamento dei dati, i diritti degli interessati, la tipologia dei dati trattati, le finalità del trattamento, i destinatari dei dati e altri soggetti terzi, il luogo di conservazione dei dati, i tempi di conservazione, i link per richiedere l’accesso ai dati, la revocare e/o la cancellazione. Descrive quindi come vengono trattate tutte le diverse tipologie di dati personali raccolti dall'azienda, per le diverse finalità.
Qual è la differenza tra Privacy Policy e Cookie Policy?
La Privacy Policy è un documento che descrive le modalità di trattamento di tutti i dati personali raccolti dall’azienda, attraverso o meno il sito Web, includendo dati provenienti da moduli di contatto, registrazioni al sito, registrazioni alla mailing list, acquisti etc... La Cookie Policy è un documento che si attiene specificamente all’uso dei cookie sul sito: può essere una sotto-sezione della Privacy Policy presente sul sito, dedicata ai dati personali raccolti tramite cookie.
Quando il consenso utente è obbligatorio?
È necessario il consenso dell'utente all'installazione dei Cookie? Se il sito utilizza solo cookie tecnici, il titolare del sito dovrà fornire un’informativa ma non sarà obbligato ad acquisire il consenso degli utenti. Se invece il sito web installa cookie di profilazione e/o cookie analitici di terze parti non anonimizzati (considerati “potenzialmente profilanti” se incrociati con dati provenienti da altre fonti) allora dovrà bloccarne lo scarico fino all’espressione “attiva” del consenso da parte del visitatore.
È obbligatorio tenere un registro dei consensi?
La norma non richiede esplicitamente di tenere un registro dei cookie: non esiste un registro preferenze cookie obbligatorio ma bensì l’esigenza di dimostrare che il consenso al rilascio ai cookie di profilazione sia avvenuto in modo corretto, ovvero che l’azione dell’utente sia considerata un consenso valido. La norma chiede di fornire una prova documentale del consenso al rilascio dei cookie di profilazione. Al fine di documentare l’azione di acquisizione del consenso, deve esserci un evento informatico registrato da parte del titolare del sito: quindi il consenso dell’utente andrà memorizzato sia in un cookie tecnico sul dispositivo dell’utente (per impedire la reiterazione al cookie banner) sia in un file di log sul server del sito.
È possibile considerare consenso lo Scrolling?
Il solo scrolling di pagina non rappresenta più una manifestazione di consenso valida. Per acquisite un consenso valido, l’utente deve quindi cliccare su un pulsante di accettazione o rifiuto, manifestando la sua scelta in modo chiaro e inequivocabile.
Come gestire i Cookie sul sito Web
Come gestire a norma i Cookie sul sito web?
Per gestire in modo compliant (ovvero conforme) alla normativa i cookie e le tecnologie affini, è necessario intervenire su due aspetti principali: informare correttamente l'utente circa l'utilizzo dei suoi dati (tramite il sito) e ottenere un consenso valido all'uso di tutte le tecnologie di tracciamento (diverse dai cookie tecnici). Per proteggere i dati personali degli utenti che navigano online, tutti i titolari di siti web devono adeguare i propri sistemi ad una corretta gestione del consenso ai cookie, valutando quindi con estremo rigore ogni possibile soluzione di carattere tecnico adottata. Possiamo sintetizzare gli interventi necessari in 4 strumenti:
- Cookie Banner
- Cookie Policy
- Cookie Consent
- Prova del consenso
Cosa fare se il sito ha solo cookie tecnici?
Come riportato nelle Linee guida del Garante Privacy ai cookie e altri strumenti di tracciamento (10 giugno 2021): Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, di essi potrà essere data informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.
Cosa fare se il sito ha cookie analitici o statistici?
Per il Garante italiano, l'adempimento sul sito web varia a seconda se il cookie è di prima parte o di terza parte, e se viene effettuata o meno profilazione. Più nello specifico, se il sito usa:
- cookie statistici di prima parte e non effettua profilazione è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di prima parte ma effettua profilazione è necessario anche il Cookie Consent
- cookie statistici di terza parte anonimizzati e non incrociati con altri dati è sufficiente la Cookie Policy e il Cookie Banner
- cookie statistici di terza parte non anonimizzati o incrociati con altri dati è necessario anche il Cookie Consent
Cosa fare se il sito ha cookie profilanti?
Se il sito usa Cookie Profilanti a fini commerciali, sia di prima parte sia di terza parte, deve avere Cookie Policy, Cookie banner e rilevare sempre il consenso degli utenti tramite un opportuno sistema di Cookie Consent.
Altre domande sui cookie
Cosa vuol dire CMP (Consent Management Platform)?
CMP significa Consent Management Platform letteralmente piattaforma di gestione del consenso . Sono sistemi che si occupano di acquisire e gestire il consenso dell'utente sul sito web, in relazione alla raccolta e al trattamento delle informazioni personal tramite cookie o altri tracker di terze parti. Insieme al cookie banner, il CMP è usato per rendere il sito conforme alle leggi sulla privacy dei dati.
Cosa vuol dire TCF (Transparency and Consent Framework)?
TCF sta per Transparency and Consent Framework: è uno standard per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari profilati online. Creato da IAB Europe (Interactive Advertising Bureau) per assistere gli editori, le industrie tecnologiche e gli inserzionisti nell’essere conformi al GDPR e alla Direttiva ePrivacy dell’UE. Molti sistemi CMP si adeguano a questo standard per garantire la conformità delle procedure offerte.
Google Analytics è conforme alla GDPR?
Raccogliendo dati con Google Analytics Universal (GA), Google può fare digital fingerprint incrociando client_ID, user-agent e indirizzo IP (anche se anonimizzato). Questi 3 dati formano un’impronta digitale (digital fingerprint per l’appunto), che può essere utilizzata per identificare completamente o parzialmente singoli utenti o dispositivi, anche quando i cookie sono disattivati. Per questo motivo il Garante della Privacy italiano ha dichiarato l'uso di GA illegittimo (se configurato client-side) dopo che già nel 2020 la Corte di Giustizia europea aveva annullato gli strumenti giuridici con cui avvenivano i trasferimenti dati da Europa a Usa (nota con il nome di sentenza Schrems II) motivata dal fatto che la normativa statunitense non dava le garanzie richieste dal GDPR in termini di sorveglianza governativa su quei dati.
Esistono altre piattaforme online non conformi al GDPR?
Quali servizi online pongono il problema del trasferimento dati in USA? Oltre a Google Analytics, il problema del tracciamento tramite cookie di terza parte e trasferimento dati in Usa si pone per moltissimi altri servizi online: dalle campagne in remarketing di Google Ads alle campagne Facebook Ads. Il Garante “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali” (ndr: dove per altri servizi analoghi s’intende che effettuano trasferimento in Usa e profilazione dell’utente).
Fonti Articolo
Fonti ufficiali e altri articoli di riferimento
ePrivacy
Direttiva 2002/58/CE (ePrivacy)
Codice Privacy Italiano
Decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy)
Modifica alla ePrivacy
Direttiva 2009/136/CE
Provvedimento Garante Italiano (Cookie Law)
Provvedimento 229/2014
Regolamento UE 679/2016 (GDPR)
Regolamento Generale sulla protezione dei dati personali n. 679/2016
Ex Gruppo Articolo 29
Il Gruppo Articolo 29
Sito del Garante Italiano: are dedicata ai cookie
Cookie e privacy: istruzioni per l´uso
Sito del Garante Italiano: FAQ sui cookie
FAQ del Garante
Sito del Garante: Decadimento dell’obbligo di Notifica
Principi fondamentali del trattamento (liceità, minimizzazione…)
Sito del Garante: Trasparenza e linee guida elaborate dal Gruppo Art. 29
Trasparenza e Linee guida elaborate dal Gruppo Art. 29
I Pareri del ex Gruppo Articolo 29 (criteri dei cookie tecnici)
I pareri del Gruppo Articolo 29
Comitato Europeo per la protezione dei dati (EDPB) (Ex Gruppo Articolo 29)
Comitato europeo per la protezione dei dati (EDPB)
Linee guida EDPB del 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Guidelines 05/2020 on consent under Regulation 2016/679
Linee guida Garante Italiano del 6/2020 (consenso valido)
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021
Linee guida Garante Italiano del 6/2020 (sintesi)
Linee guida cookie e altri strumenti di tracciamento (sintesi)
Featured Image
termly.io
Contattaci per saperne di più
Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!