I cookie e la privacy sono strettamente interconnessi. Parliamo di privacy dei cookie perché questi ultimi svolgono un ruolo chiave nel tracciare le attività online degli utenti, attraverso la raccolta di dati personali.
Ma cosa sono esattamente i cookie? Si tratta di piccoli file di testo, progettati originariamente per arricchire l’esperienza utente sui siti web. La loro funzione è quella di conservare informazioni relative alle preferenze di navigazione all’interno dei browser, facilitando l’accesso ai siti internet e personalizzando la visualizzazione dei contenuti, come i feed dei social network.
I cookie possono essere categorizzati in base alla loro finalità, ad esempio:
- Memorizzare credenziali di accesso, permettendo agli utenti di evitare di reinserirle ogni volta che accedono a sezioni protette di un sito.
- Personalizzare la SERP (Search Engine Results Page) in base alla cronologia di ricerca dell’utente, offrendo risultati più pertinenti alle sue ricerche precedenti.
- Ottimizzare l’esperienza di navigazione, rendendo più fluido il passaggio tra le varie pagine di un sito.
L’utilizzo di questi dati personali porta al cuore della cosiddetta Cookie Law e al suo intreccio con i principi fondamentali del GDPR.
Questo articolo approfondisce la natura dei cookie, esamina la legislazione italiana sui cookie, discute il concetto di consenso esplicito e analizza le norme del regolamento ePrivacy insieme alle indicazioni fornite dal garante per la protezione dei dati personali.
In altre parole, ci addentreremo nel complesso mondo di “Privacy & Cookies”, svelando come questi due elementi si influenzino reciprocamente.
CONTENUTO DELL'ARTICOLO
- 1 Cosa sono i cookie e perché sono Importanti per la privacy?
- 2 Cookie privacy: cosa richiede esattamente la cookie law Italia?
- 3 GDPR e cookie policy: novità e integrazioni
- 4 Consenso online e normativa sui cookie: le nuove direttive dell’EDPB
- 5 Aggiornamenti sul regolamento ePrivacy
- 6 Aggiornamenti sulle linee guida del Garante Privacy sui cookie del 2021
- 7 Cookie Privacy check-list
- 8 Cosa può fare Legal for Digital per la tua cookie policy
Molti potrebbero sorridere al pensiero che i cookie siano quelli da forno, ma in realtà, l’origine del termine “cookie” nel contesto digitale si rifà al concetto di “Magic Cookie“, un meccanismo di identificazione utilizzato già negli anni Ottanta. Questi file di testo sono stati concepiti per tracciare le azioni degli utenti su Internet, con l’intento di rendere più efficiente e personalizzata la loro esperienza online.
Nel 1994, i cookie vennero impiegati per la prima volta con la finalità che oggi è a tutti nota, e già verso la metà degli anni ’90 si avvertì la necessità di regolamentarne l’uso per proteggere la privacy degli utenti.
La legislazione italiana, seguendo le direttive europee, classifica i cookie in tre principali categorie, a seconda delle informazioni che raccolgono e della funzione che svolgono:
- Cookie tecnici o necessari: Essenziali per il corretto funzionamento dei siti, questi cookie migliorano l’accessibilità e la navigabilità. Esempi tipici sono i cookie che mantengono attiva la sessione dell’utente senza necessità di reinserire le credenziali di accesso, o quelli che conservano i prodotti nel carrello di un e-commerce.
- Cookie statistici o analitici: Forniscono ai gestori dei siti web dati aggregati sul comportamento dei visitatori, migliorando così la comprensione di come gli utenti interagiscono con il sito. Questi cookie raccolgono informazioni in modo anonimo, contribuendo all’ottimizzazione del sito.
- Cookie profilanti: Creano profili dettagliati degli utenti basati sulle loro attività online, al fine di inviare messaggi pubblicitari personalizzati. Attraverso la profilazione, gli utenti possono essere indirizzati in specifici percorsi di conversione, supportando strategie di marketing mirate.
“
Legal for Digital è una certezza. Ho avuto bisogno di una consulenza per la redazione della privacy policy del mio sito e di un contratto Smart.
Mi sono confrontata con gli avvocati Vercellotti, Mariotti e Crispino e ognuno di loro è stato davvero prezioso nei suoi consigli, sono rimasta molto colpita dell’attenzione e della cura che hanno avuto nei confronti del mio piccolo progetto.
Ringrazio moltissimo anche la Dott.ssa Rossi, velocissima e precisa nel rispondere a qualsiasi dubbio.
”
Giada Corneli
Content writer freelance
La raccolta di dati tramite cookie solleva importanti questioni relative alla privacy online. Mentre i cookie tecnici e analitici sono generalmente accettati per il loro ruolo nell’ottimizzare l’esperienza utente, i cookie profilanti richiedono un’attenzione particolare per le potenziali implicazioni sulla privacy degli individui. È fondamentale garantire trasparenza e controllo agli utenti sul trattamento dei loro dati personali.
Importante è anche ricordare che gli utenti hanno il potere di gestire i cookie attraverso le impostazioni del proprio browser, potendo così cancellare la cronologia dei cookie o impedirne l’installazione. Questa capacità di controllo è cruciale, sebbene la disattivazione dei cookie possa influire sull’esperienza di navigazione, rendendola meno fluida e personalizzata.
La legge italiana sui cookie, recependo le direttive europee, impone regole precise per la gestione dei cookie e la tutela della privacy online. Il fulcro di questa normativa, introdotta dal Garante per la Privacy nel 2014, è garantire che gli utenti dei siti web siano adeguatamente informati sull’uso dei cookie, in particolare quelli profilanti, e fornire un consenso chiaro prima della loro attivazione.
Ascolta il podcast sui cookie dell’avvocato Martino
Cookie e privacy: la normativa italiana
La normativa vigente, che integra il GDPR, pone l’accento su due aspetti fondamentali:
- I cookie profilanti: vengono categorizzati come particolarmente invasivi per la privacy degli utenti. La legge richiede che gli utenti siano informati dell’uso di tali cookie e che esprimano un consenso esplicito prima che questi possano essere attivati.
- La gestione dei cookie: la responsabilità della gestione dei cookie spetta sia ai gestori dei siti web che alle eventuali terze parti coinvolte. È cruciale definire chiaramente le responsabilità per quanto riguarda l’informativa agli utenti e la raccolta del loro consenso.
Per conformarsi alla legge, i siti web devono dotarsi di un cookie banner, uno strumento visuale che appare all’utente al momento dell’accesso al sito, con lo scopo di raccogliere il consenso per l’uso dei cookie profilanti. Il banner deve:
- Essere immediatamente visibile all’utente;
- Informare sull’uso dei cookie di profilazione di terze parti, offrendo la possibilità di esprimere il consenso;
- Indicare l’uso di cookie profilanti diretti, con un’opzione per accettare;
- Menzionare i cookie analitici di terze parti, anche in assenza di consenso necessario;
- Spiegare come rinunciare alla profilazione;
- Contenere un link all’informativa privacy estesa.
Il Garante per la Privacy stabilisce che i siti web debbano fornire due livelli di informativa:
- Informativa breve: visualizzata all’interno del cookie banner, segnala l’uso dei cookie e rimanda all’informativa estesa.
- Informativa estesa: deve essere accessibile da una sezione dedicata del sito e includere dettagli come:
- Le finalità della raccolta dati, coprendo tutti i tipi di cookie;
- La non obbligatorietà del consenso per i cookie profilanti e le relative conseguenze della non accettazione;
- Dati di eventuali terze parti coinvolte e link alle loro politiche privacy;
- Istruzioni per modificare le impostazioni dei cookie tramite browser;
- Elenco dei soggetti che avranno accesso ai dati raccolti;
- Informazioni sul responsabile del trattamento dei dati.
Il banner e il footer del sito devono sempre rimandare all’informativa dettagliata.
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il banner, oltre a essere chiaro e visibile, deve specificare:
- La presenza e la possibilità di accettare i cookie di profilazione di terze parti;
- L’opzione di consenso per i cookie di profilazione diretti;
- Che la prosecuzione nella navigazione (es. scroll) equivale all’accettazione dei cookie profilanti.
Con l’avvento del GDPR nel 2018, si attendeva l’approvazione del regolamento ePrivacy sulle comunicazioni elettroniche, con l’intenzione che quest’ultimo e il GDPR operassero in sinergia, potenziando reciprocamente la tutela della privacy online. Sebbene il GDPR non abbia introdotto cambiamenti radicali rispetto alla normativa del 2014 per i siti web, ha messo in luce l’importanza della profilazione e delle sue implicazioni sulla privacy degli utenti.
La profilazione, ovvero l’analisi e la raccolta di informazioni relative al comportamento online degli utenti per finalità di marketing, si posiziona in una zona delicata. Il Regolamento Europeo richiede un consenso esplicito da parte dell’utente per tale attività, in linea con quanto già stabilito dalla cookie law, sottolineando che i dati personali non possono essere utilizzati per scopi diversi senza ulteriore autorizzazione.
Il consenso secondo il GDPR
Per essere considerato valido, il consenso al trattamento dei dati personali deve soddisfare quattro criteri fondamentali:
- Documentato: il titolare del trattamento deve essere in grado di dimostrare il rispetto dei requisiti del GDPR nella procedura di acquisizione del consenso.
- Informato: l’utente deve essere chiaramente informato sull’identità del titolare del trattamento e sulle modalità di utilizzo dei dati.
- Libero: il consenso deve poter essere revocato in qualsiasi momento senza penalità.
- Specifico: deve essere acquisito separatamente per ciascuna finalità di trattamento dei dati.
Il consenso viene raccolto tramite un banner che appare al primo accesso dell’utente al sito web, indipendentemente dalla pagina da cui si accede.
Informativa estesa: criteri di chiarezza
L’informativa estesa, che accompagna il banner, deve essere:
- Completa: fornire tutti i dettagli rilevanti sul trattamento dei dati.
- Esaustiva: coprire ogni aspetto del trattamento e dell’utilizzo dei dati.
- Chiara: presentare le informazioni in modo comprensibile.
Questa informativa, insieme al GDPR, rinnova le regole relative alla gestione della privacy, integrandosi con le disposizioni preesistenti della cookie law. Il banner dei cookie, seguendo le linee guida combinate di cookie law e GDPR, deve:
- Consentire agli utenti di esprimere consensi specifici, evitando selezioni preimpostate.
- Informare sull’utilizzo dei cookie tecnici e analitici.
- Spiegare le modalità e le finalità del trattamento dei dati.
- Includere un link all’informativa completa.
- Essere facilmente visibile.
Anche se per i cookie tecnici e analitici non è necessario un consenso preventivo, è obbligatorio informare gli utenti della loro presenza, offrendo la possibilità di disattivarli. Prima dell’attivazione di qualsiasi cookie, eccetto quelli strettamente necessari per raccogliere il consenso, deve essere mostrato il banner informativo.
La sinergia tra la cookie law, il GDPR e le future normative ePrivacy sottolinea l’importanza di un approccio trasparente e informato alla gestione dei dati personali online, garantendo agli utenti un controllo completo sulla loro privacy digitale.
Nel maggio 2020, l’European Data Protection Board (EDPB) ha pubblicato nuove linee guida riguardanti l’acquisizione del consenso online, mettendo in evidenza specifiche direttive per la cosiddetta “privacy dei cookie”. Tra gli aspetti più significativi, emerge la necessità di ottenere un consenso esplicito da parte degli utenti, definito come il risultato di un’azione affermativa chiara da parte dell’interessato.
Il GDPR sottolinea che il consenso deve derivare da una dichiarazione dell’interessato o da un atto affermativo preciso. Ciò implica che il consenso deve sempre essere manifestato attraverso un gesto attivo o una dichiarazione, rendendo evidente l’accettazione dell’utente rispetto al trattamento dei suoi dati personali.
L’EDPB chiarisce ulteriormente che attività quali lo scroll (scorrimento) della pagina non soddisfano i criteri per un’azione chiara e affermativa. Questo perché tali azioni potrebbero essere difficilmente distinguibili da altre forme di interazione dell’utente con il sito, rendendo impossibile assicurare che il consenso sia stato acquisito in modo univoco. Inoltre, in tali contesti, risulta complicato fornire all’utente un modo per revocare il consenso con la stessa facilità con cui è stato concesso.
Da sottolineare è il fatto che, fino a questa presa di posizione, Italia e Spagna erano gli unici Paesi membri dell’Unione Europea a sostenere una posizione differente. L’Italia, in particolare, riteneva che le pratiche in atto non necessitassero di modifiche rispetto alla precedente normativa sui cookie, sulla quale il Garante per la Privacy italiano si era espresso già nel 2015. Secondo questa interpretazione, lo scroll della pagina poteva essere considerato come consenso all’installazione dei cookie, basandosi sull’idea che la prosecuzione nella navigazione su un sito implicasse il rilascio del consenso.
Tuttavia, a partire da maggio 2020, i siti che ricorrevano allo scroll della pagina come meccanismo per acquisire il consenso sono stati costretti ad adeguarsi alle nuove indicazioni, per evitare sanzioni. Il consenso, dunque, deve essere espresso attraverso un’azione positiva e inequivocabile, come la selezione di una casella specifica nel banner dei cookie, per rispettare pienamente i requisiti del GDPR e delle linee guida dell’EDPB.
Aggiornamenti sul regolamento ePrivacy
Il regolamento ePrivacy, attualmente in fase di finalizzazione, si preannuncia come un passo avanti significativo nella regolamentazione delle comunicazioni elettroniche all’interno dell’Unione Europea. Previsto per sostituire la direttiva ePrivacy del 2002, questo nuovo regolamento mira a integrarsi e armonizzarsi con il GDPR, rafforzandone i principi e aggiornandoli in base agli ultimi sviluppi tecnologici nel campo della comunicazione digitale.
Mentre ci avviciniamo alla data di entrata in vigore del regolamento ePrivacy, prevista per il 2024, è fondamentale che proprietari di siti web, sviluppatori e professionisti del marketing si preparino a questo cambiamento, assicurandosi di adeguare le proprie pratiche alle nuove disposizioni per garantire una navigazione sicura e rispettosa della privacy degli utenti.
Principali Novità del Regolamento ePrivacy
A differenza delle precedenti direttive, il regolamento ePrivacy sarà direttamente applicabile in tutti gli stati membri dell’UE, sebbene sia previsto un periodo transitorio per permettere un adeguamento completo alle nuove normative. La sua entrata in vigore segnerà un momento di svolta, ponendosi come normativa di riferimento, in particolare per quanto riguarda le disposizioni relative ai cookie e alla comunicazione elettronica.
Differenze e sinergie tra regolamento ePrivacy e GDPR
Il regolamento ePrivacy si distingue dal GDPR soprattutto per il suo focus specifico sulla privacy delle comunicazioni elettroniche. Tuttavia, molte delle sue disposizioni sono in linea con i principi già stabiliti dal GDPR, come la necessità di un linguaggio chiaro e accessibile per le informative sui cookie e il consenso.
Esonero per i cookie analitici
Una delle proposte più discusse riguarda l’esenzione dall’obbligo di consenso per i cookie analitici che non trattano dati personali. Questa esenzione, tuttavia, sembra applicarsi esclusivamente ai cookie gestiti direttamente dai siti web, lasciando incertezze riguardo ai servizi di analisi esterni come Google Analytics.
Nuovi nequisiti per i browser
Il regolamento introduce anche requisiti specifici per i browser, che dovranno offrire agli utenti un controllo più diretto e intuitivo sulle impostazioni dei cookie sin dalla fase di installazione, promuovendo così una maggiore protezione della privacy.
Consenso esplicito e azione positiva
Confermando e ampliando i principi del GDPR, il regolamento ePrivacy stabilisce che il consenso per l’uso dei cookie non possa essere presupposto o implicito. Gli utenti dovranno esprimere il loro consenso attraverso un’azione chiara e inequivocabile, escludendo quindi la validità di banner che si limitano a notificare l’uso dei cookie senza richiedere una scelta attiva.
Fingerprinting e altri strumenti di tracciamento
Le tecniche di fingerprinting e altri strumenti simili di tracciamento saranno soggetti ai medesimi requisiti previsti per i cookie, richiedendo così un consenso esplicito prima del loro impiego.
Guida GDPR
GDPR senza segreti – Dai uno sguardo, clicca sull’immagine per l’anteprima della tua nuova guida legale
Nel luglio 2021, il Garante per la Protezione dei Dati Personali ha pubblicato linee guida aggiornate riguardanti l’uso dei cookie e ha stabilito un periodo di sei mesi per permettere alle aziende di allinearsi alle nuove disposizioni, con scadenza fissata al 9 gennaio 2022.
Queste linee guida non introducono norme inedite rispetto alla legislazione preesistente, ma forniscono chiarimenti su punti cruciali per assicurare una maggiore tutela della privacy degli utenti.
Divieto del cookie wall
Una delle precisazioni più significative riguarda il divieto dei cosiddetti “cookie wall”, ovvero banner dei cookie che limitano l’accesso al contenuto del sito fino all’accettazione dei cookie da parte dell’utente. Questa pratica, ritenuta intrusiva, può influenzare il libero consenso dell’utente, spingendolo ad accettare i cookie solo per accedere ai contenuti.
Lo scrolling non è consenso
Le linee guida ribadiscono che lo scroll della pagina non può essere considerato come un’espressione di consenso, allineando l’Italia alle direttive del Comitato Europeo per la Protezione dei Dati. Questo significa che i banner che implicano l’accettazione dei cookie attraverso la semplice navigazione non sono conformi alla normativa.
Opzioni nel Cookie Banner
Il Garante specifica che il cookie banner può offrire diverse opzioni all’utente: la chiusura tramite una “X”, che permette di proseguire senza fare una scelta esplicita, oppure tramite pulsanti che offrono le opzioni di “rifiutare”, “accettare” o accedere alle “preferenze”. In caso di chiusura del banner senza una scelta, saranno attivati solo i cookie tecnici, necessari per il funzionamento del sito.
Frequenza di riproposizione del Banner
Un punto spesso dibattuto riguarda la frequenza con cui è possibile ripresentare il banner a chi ha già rifiutato il tracciamento. Secondo le linee guida, il banner non dovrebbe essere riproposto prima di sei mesi dall’espressione di una scelta da parte dell’utente, a meno che non vi siano cambiamenti sostanziali nelle condizioni di trattamento dei dati o l’utente abbia cancellato la propria cronologia di navigazione, impedendo al sito di riconoscerlo.
Queste nuove disposizioni mirano a rendere più trasparente e rispettosa della privacy l’interazione degli utenti con i cookie, garantendo che il consenso sia informato, libero e specifico, in linea con i principi fondamentali del GDPR.
Cookie Privacy check-list
La gestione efficace della privacy dei cookie è un aspetto cruciale per garantire la conformità del tuo sito web alle normative vigenti, in particolare al GDPR. Ecco alcuni passaggi chiave per ottimizzare la privacy dei cookie attraverso un audit accurato e l’implementazione di un cookie banner conforme.
Un audit dei cookie rappresenta il primo passo indispensabile per comprendere quali cookie sono attivi sul tuo sito, e per categorizzarli in base alla loro necessità, funzione e provenienza. Ecco alcuni consigli per condurre un audit efficace:
- Utilizzo di strumenti specifici: impiega strumenti di analisi dei cookie che possano scansionare il tuo sito e identificare tutti i cookie in uso, fornendo una panoramica dettagliata.
- Classificazione dei cookie: differenzia i cookie in categorie – necessari, di profilazione e di terze parti – per determinare quali richiedano il consenso esplicito secondo il GDPR e quali possano essere considerati esenti.
- Verifica della conformità: assicurati che l’uso dei cookie sul tuo sito sia in linea con le ultime normative, e che l’informativa estesa sui cookie sia aggiornata e accessibile.
- Consultazione legale: Considera la possibilità di consultare un esperto legale specializzato in diritto del web per una valutazione professionale della tua cookie policy e per assicurarti che le tue pratiche siano completamente conformi.
La creazione di un cookie banner conforme alle normative non solo migliora la trasparenza e la fiducia con gli utenti, ma è anche un requisito legale. Segui queste linee guida per un’implementazione efficace:
- Visibilità immediata: assicurati che il banner sia chiaramente visibile non appena l’utente accede al sito, fornendo informazioni essenziali sull’uso dei cookie e offrendo la possibilità di esprimere il consenso.
- Azione positiva e univoca: il consenso deve essere raccolto attraverso un’azione esplicita da parte dell’utente, escludendo l’accettazione implicita tramite lo scroll o la continuazione della navigazione.
- Opzioni chiare nel banner: offri agli utenti la scelta tra accettare, rifiutare o personalizzare le proprie preferenze sui cookie, garantendo che queste opzioni siano facilmente comprensibili e accessibili.
- Informativa cookie estesa: Include un link diretto all’informativa cookie estesa all’interno del banner, assicurandoti che questa sia completa, esaustiva e formulata in un linguaggio chiaro.
- Consulenza legale: Per l’elaborazione di un banner dei cookie che sia non solo efficace ma anche strategicamente allineato alle normative vigenti, valuta di avvalerti del supporto di un legale specializzato.
Ricorda, l’obiettivo principale è garantire che gli utenti del tuo sito siano pienamente informati e in grado di esercitare un controllo consapevole sul trattamento dei loro dati personali tramite cookie. Un approccio trasparente e conforme alle leggi non solo tutela la privacy degli utenti, ma rafforza anche la credibilità e l’affidabilità del tuo sito web.
Sono tre i punti fondamentali da ricordare in merito alla Cookie Privacy e alla messa online del banner dei cookie.
- Il banner deve essere subito visibile all’utente appena accede al sito; non è necessario se sul sito sono installati solo cookie necessari e cookie analitici propri.
- Dobbiamo predisporre il blocco dei cookie fino all’acquisizione del consenso, che deve essere dato con un’azione positiva e univoca.
- Sul sito bisogna prevedere sempre l’informativa cookie estesa.
Per affrontare la gestione dei cookie in linea con le normative attuali non basta la semplice attenzione: è necessaria una specializzazione specifica. Questo ambito, infatti, non solo implica il rispetto delle leggi ma incide direttamente sulla percezione di sicurezza e affidabilità che gli utenti hanno del tuo sito web.richiede attenzione e precisione.
Realizzare un audit dei cookie e mettere in atto un banner conforme alle normative sono azioni indispensabili che richiedono competenze dettagliate. Tali misure, oltre a evitare penalizzazioni, sono fondamentali per garantire un’esperienza online trasparente e rispettosa della privacy degli utenti.
Comprendiamo che affrontare le sfide legali e tecniche possa sembrare complesso. Per questo, ti offriamo il nostro supporto per migliorare la gestione dei cookie sul tuo sito. Con il nostro aiuto, potrai adeguarti alle norme vigenti, garantendo al tempo stesso la tutela della privacy e il rispetto delle preferenze dei tuoi visitatori.