CercaEsegui ricerca
Privacy e security
Cookie e GDPR: cos’è davvero necessario?

Cookie e GDPR: cos’è davvero necessario?

3 aprile 2023Cookie e GDPR: cos’è davvero necessario?

Con il 25 maggio alle porte, il GDPR è sulla bocca di tutti, e molti si chiedono quali saranno gli effetti sugli obblighi legati all'utilizzo dei cookie. Per questo motivo, vogliamo cogliere l'occasione per chiarire alcuni dei malintesi più comuni relativi ai cookie e al GDPR.

Fonte: iubenda

Aggiornamento di maggio 2020: il Comitato europeo per la Protezione dei Dati (EDPB) ha rivisto le proprie linee guida sui meccanismi di raccolta del consenso. Maggiori informazioni qui.

Quando si parla di normativa sulla protezione dei dati, si pensa ad un facile collegamento con le disposizioni in materia di cookie in quanto i due argomenti sono tra loro strettamente correlati. Ciò può portare erroneamente a pensare che la Direttiva ePrivacy (o Cookie Law) sia stata abrogata dal Regolamento generale sulla protezione dei dati personali (o GDPR), cosa assolutamente non vera. Al contrario, GDPR e Direttiva ePrivacy lavorano assieme e si completano a vicenda.

In breve
  • la Cookie Law non è stata sostituita dal GDPR ed è ancora applicabile;
  • la Cookie Law non si applica solo ai cookie, ma più in generale a ogni tipo di tecnologia che memorizza o ha accesso alle informazioni sul dispositivo dell’utente (come pixel tag, impronta digitale del dispositivo, identificatori univoci, ecc.). Per semplicità, tutte queste tecnologie, inclusi i cookie, sono più comunemente definiti strumenti di tracciamento (o tracker). Tuttavia, in questa guida i termini “cookie” e “strumenti di tracciamento” verranno usati con lo stesso significato.
  • la Cookie Law pone in capo al titolare l’obbligo di raccogliere un consenso informato da parte degli utenti prima di memorizzare o accedere alle informazioni sui loro dispositivi;
  • il consenso ai cookie dev’essere prestato liberamente, specifico, informato e basato su un’esplicita azione positiva; diverse autorità europee per la protezione dei dati hanno pubblicato delle guide ai cookie e a tecnologie simili, includendo consigli e raccomandazioni sui metodi validi per ottenere il consenso.
  • anche se la Cookie Law non richiede esplicitamente di tenere un registro dei consensi (bensì solo la prova che il consenso è stato prestato), in molti casi i cookie trattano dati personali degli utenti. Ecco perché si applica il corrispondente principio del GDPR. Per questo motivo la maggior parte delle autorità nazionali preposte alla protezione dei dati hanno allineato le loro disposizioni sui cookie ai requisiti del GDPR. Ciò significa che, a seconda del Paese di pertinenza, potresti essere obbligato a tenere un registro dei consensi ai cookie come richiesto dal GDPR.
  • la Cookie Law non richiede di elencare singolarmente i cookie di terza parte usati, ma solo di indicarne la categoria di appartenenza, l’uso e la finalità di trattamento;
  • se usi cookie di terza parte, tu e la terza parte siete responsabili di informare gli utenti e di ottenere il consenso. Come parte di questo obbligo, assicurati di fornire informazioni su questa terza parte e un link alla sua privacy e/o cookie policy.

La Direttiva ePrivacy è stata pensata per mettere in atto linee guida precise in materia di protezione dei dati con mezzi elettronici, compreso l’email marketing e l’utilizzo dei cookie, e si applica ancora oggi. In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora assieme” al GDPR, invece di essere abrogata da quest’ultimo.

Più precisamente, se fai uso di cookie, devi adeguarti alla Cookie Law prima del GDPR. Questo perché la Cookie Law è quello che in termini legali si chiama “lex specialis”, quindi ha la precedenza sul GDPR.

In generale, le direttive fissano determinati obiettivi e orientamenti concordati, e gli Stati Membri sono obbligati a implementarle nella legislazione nazionale. Per contro, i regolamenti sono giuridicamente vincolanti in tutti gli Stati membri dal momento della loro entrata in vigore, e sono applicati secondo norme stabilite a livello comunitario.

💡 Dai un’occhiata alla nostra tabella che confronta i paesi dell’UE sulle regole di raccolta del consenso ai cookie.

Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy. Il Regolamento ePrivacy dovrebbe essere messo a punto nel prossimo futuro ed opererà di concerto con il GDPR per regolamentare i requisiti per l’uso dei cookie e le comunicazioni elettroniche.

La Cookie Law non si applica solo ai cookie, ma più in generale a ogni tipo di tecnologia che memorizza o ha accesso alle informazioni sul dispositivo dell’utente (ad esempio, pixel tag, impronta digitale del dispositivo, identificatori univoci, ecc.). Per semplicità, tutte queste tecnologie, inclusi i cookie, sono più comunemente definiti strumenti di tracciamento (o tracker).

Inoltre, la Cookie Law è neutrale dal punto di vista della tecnologia: non disciplina cioè solo siti e browser web, ma anche altri tipi di tecnologie, come app, smartphone, tablet, smart TV, o altri dispositivi.

Tuttavia, in questa guida i termini “cookie” e “strumenti di tracciamento” (o tracker) verranno usati con lo stesso significato.

Che cosa richiede esattamente la Cookie Law?

La Cookie Law pone in capo al gestore del sito l’obbligo di raccogliere il consenso informato dell’utente prima di memorizzare o accedere alle informazioni sul dispositivo dell’utente.

Ciò significa che se fai uso di cookie devi:

  • informare gli utenti del tuo sito/app (o qualsiasi servizio di terza parte usato dal tuo sito/app) che stai usando cookie;
  • spiegare, in modo semplice e comprensibile, come funzionano i cookie e perché li usi;
  • ottenere il consenso informato prima di memorizzare i cookie sul dispositivo dell’utente.

In pratica, devi mostrare un cookie banner alla prima visita dell’utente, predisporre e mostrare all’utente una cookie policy e permettergli di prestare il consenso – a meno che (eventualità molto improbabile) il tuo sito non usi solo cookie esenti dall’obbligo di consenso preventivo. Prima di aver ottenuto il consenso, nessun tipo di cookie – tranne quelli esenti – dev’essere installato o risultare attivo.

Devi mostrare un cookie banner alla prima visita dell’utente, predisporre una cookie policy e permettergli di prestare il consenso – a meno che (eventualità molto improbabile) il tuo sito non usi solo cookie esenti dall’obbligo di consenso preventivo. Prima di aver ottenuto il consenso, nessun cookie – tranne quelli esenti – dev’essere installato o risultare attivo.

L’avviso sui cookie deve:

  • informare gli utenti che il tuo sito/app (o qualsiasi servizio di terza parte usato dal tuo sito/app) sta usando cookie;
  • descrivere chiaramente le azioni che saranno considerate come una dichiarazione di consenso;
  • essere sufficientemente discontinuo nella navigazione del sito da essere ben evidente;
  • contenere un link ad una cookie policy che illustri in dettaglio le finalità, l’utilizzo e le attività delle terze parti disponibili all’utente.

Tieni a mente che quelli appena menzionati sono i requisiti minimi. I requisiti per il contenuto del cookie banner possono cambiare da paese a paese, in base alle indicazioni dell’autorità competente.

💡 Per saperne di più sui requisiti in vigore in ogni paese, dai un’occhiata alla nostra tabella che confronta i paesi dell’UE sulle regole di raccolta del consenso ai cookie.

La cookie policy deve:

  • indicare le tipologie di cookie installate (cookie di prima parte vs cookie di terza parte)
  • indicare tutti i soggetti terzi che installano, gestiscono o accedono ai cookie tramite il tuo sito/app, prevedendo inoltre un link alle rispettive policy e a eventuali moduli di opt-out;
  • descrivere in dettaglio le finalità di utilizzo dei cookie;
  • essere disponibile in tutte le lingue in cui viene fornito il servizio.

I cookie di prima parte sono gestiti direttamente da te, proprietario del sito/app, mentre quelli di terza parte sono gestiti da terze parti e attivano servizi forniti da loro. Di solito, i cookie di terza parte sono presenti quando il tuo sito/app utilizza servizi di terza parte per incorporare, ad esempio, le immagini, i plugin dei social media, o gli annunci pubblicitari.

In ottemperanza ai principi generali della legislazione sulla privacy, che impediscono il trattamento prima del consenso, la Cookie Law non consente di memorizzare o accedere alle informazioni sul dispositivo dell’utente prima di aver acquisito il suo consenso. In pratica, ciò implica la necessità di bloccare i codici che installano cookie prima di aver raccolto il consenso dell’utente.

Il consenso all’installazione dei cookie

Il consenso all’installazione dei cookie dev’essere libero, specifico, informato ed esplicito, e dev’essere espresso con una chiara azione positiva (opt-in). Quindi, se usi delle checkbox, le caselle non devono essere pre-selezionate.

Il documento sulla Cookie Law del Gruppo di Lavoro 29 stabilisce che per garantire che le metodologie di raccolta del consenso all’installazione dei cookie soddisfino le condizioni di ciascuno Stato membro, tali meccanismi dovrebbero includere ciascuno degli elementi principali richiesti:

  • informazioni chiare e dettagliate;
  • consenso preventivo;
  • indicazione delle preferenze espresse dall’utente mediante un comportamento attivo;
  • possibilità di scegliere liberamente.

Diverse autorità europee per la protezione dei dati hanno pubblicato delle guide ai cookie e tecnologie simili, includendo consigli e raccomandazioni sui metodi validi per ottenere il consenso.

Vale la pena di notare che il Garante per la protezione dei dati personali (Garante Privacy) riconosce specificamente il “compiere un’azione di scorrimento (c.d. scroll down)” e il “fare click su uno dei link interni della pagina” come indicazioni valide di consenso mediante comportamento attivo.

Infatti, essendo l’ePrivacy una direttiva, le specifiche di come i requisiti vanno soddisfatti dipendono in larga misura dalla legislazione dei singoli Stati membri.

Tieni però presente che il Garante Italiano ha recentemente proposto delle nuove linee guida sull’uso dei cookie e di altri tipi di tracker – modifiche che, al momento, non sono ancora entrate in vigore.

Attenzione

Il Comitato europeo per la Protezione dei Dati (EDPB) ha aggiornato le sue linee guida sul consenso. Questo aggiornamento è importante in quanto mira a eliminare qualsiasi ambiguità sull’argomento cookie. Le novità più importanti sono il divieto di usare i cosiddetti “cookie wall” e il fatto che scorrimento e proseguimento della navigazione non siano più considerati meccanismi validi di raccolta del consenso.

📌 Per saperne di più, consulta la nostra tabella comparativa.

Non potendo sapere quale circostanza può applicarsi al tuo caso specifico, ti diamo la possibilità di abilitare o disabilitare il “Consenso al proseguimento della navigazione” all’interno del configuratore della Cookie Solution.

Cookie Solution - Consenso al proseguimento della navigazione (scorrimento e click)

Per quanto riguarda il rifiuto di esprimere il consenso o la revoca dello stesso dopo averlo prestato (opt-out), la legge stabilisce che all’utente debba essere data la possibilità di negare o revocare il consenso. Il documento del Gruppo di Lavoro 29 approfondisce questo punto precisando che, per quanto riguarda la revoca o il rifiuto di esprimere il consenso, è necessario fornire le seguenti informazioni:

  • come gli utenti possono revocare il consenso e le azioni necessarie a tal scopo;
  • come l’utente può scegliere di accettare o negare l’installazione di cookie.

Questo significa che tali metodi possono non essere erogati direttamente dal gestore del sito. In alcuni casi, secondo il diritto degli Stati membri, le sole impostazioni del browser sono già considerate un mezzo accettabile per revocare il consenso.

I meccanismi di raccolta del consenso considerati validi possono variare da uno Stato membro all’altro.

Elencare i cookie uno ad uno (è davvero richiesto?)

In generale, la direttiva non richiede specificamente che il gestore del sito elenchi nome per nome i singoli cookie. Tuttavia, è esplicitamente richiesto di indicare in modo chiaro le categorie, le finalità e, se si tratta di cookie di terza parte, anche la terza parte che li gestisce e un link alla rispettiva privacy e cookie policy.

È probabile che questa decisione dell’autorità sia stata dettata dall’esigenza di non porre in capo ai singoli gestori di siti/app l’onere di elencare ogni singolo cookie, alla ricerca di modifiche che sfuggono al loro controllo. Ciò sarebbe infatti irragionevole, inefficiente e probabilmente inutile per gli utenti.

Per approfondire ulteriormente questo punto, la guida sui cookie dell’ICO stabilisce che, sebbene sia possibile fornire lunghi elenchi di tutti i cookie installati, per la maggior parte degli utenti una spiegazione più ampia del modo in cui funzionano i cookie e delle categorie di cookie utilizzati è più che sufficiente. Una descrizione dei tipi di cookie utilizzati sul sito avrà maggiori probabilità di soddisfare i requisiti di informazione, piuttosto che limitarsi ad elencare tutti i cookie utilizzati nome per nome, con riferimenti di base alla loro funzione.

Questo orientamento è ulteriormente sviluppato dall’autorità italiana per la protezione dei dati (il “Garante Privacy”) che sancisce espressamente quanto segue:

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.

In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti.

Maggiori dettagli qui.

La legge prevede che il consenso acquisito debba essere prestato liberamente affinché possa essere considerato valido. A questo proposito, bisogna ricordare che, nelle loro linee guida e raccomandazioni, l’EDPB e alcune autorità europee per la protezione dei dati hanno esplicitamente vietato l’uso dei cosiddetti “cookie wall”, basati su un approccio “prendere o lasciare”, che obbliga gli utenti a prestare il loro consenso per usufruire del servizio.

I cookie wall non sono considerati validi perché l’utente non ha una vera e propria scelta.

Esenzioni dal requisito del consenso

La Cookie Law prevede due esenzioni al requisito del consenso, ossia:

  • l’esenzione per i cookie e i tracker di comunicazione, il cui obiettivo è la trasmissione di una comunicazione su una rete (ad esempio, identificare l’endpoint di comunicazione; permettere lo scambio di elementi di dati secondo un ordine preciso; rilevare errori di trasmissione o perdita di dati). Esempio: stai usando un cookie per il bilanciamento del carico per distribuire il traffico della rete su diversi server. L’unico fine del cookie è identificare uno dei server (cioè, un endpoint di comunicazione) e, come tale, ricade nell’esenzione indicata.
  • l’esenzione per i cookie strettamente necessari, che si applica a cookie e strumenti di tracciamento necessari a fornire un “servizio della società dell’informazione” (cioè, un servizio fornito attraverso internet, come un sito o un’app) richiesto dall’utenteEsempio: il tuo sito eCommerce utilizza un cookie di sessione che permette all’utente di “memorizzare” un articolo nel carrello mentre usa il sito o per la durata della sessione. In questo scenario, i cookie sono necessari per la procedura d’acquisto, esplicitamente richiesto dall’utente nel momento in cui ha indicato di voler aggiungere un articolo al carrello. In modo simile, i cookie utilizzati per memorizzare le preferenze di lingua dell’utente ricadono in quelli strettamente necessari.

È importante notare che, sebbene si applichino queste esenzioni al requisito del consenso, devi comunque informare gli utenti che stai usando cookie e tecnologie simili attraverso una cookie policy. In questi casi specifici, il cookie banner non è necessario se la cookie policy è visibile e facilmente accessibile da ogni pagina del tuo sito.

È possibile che i cookie e gli strumenti di tracciamento usati per finalità statistiche ricadano nelle categorie esenti?

Non c’è una risposta univoca. Le autorità europee per la protezione dei dati hanno dato interpretazioni diverse. Ad esempio, secondo le linee guida dell’ICO del Regno Unito, i cookie statistici non rientrano nei cookie strettamente necessari e quindi richiedono il consenso. Anche le autorità del Belgio e dell’Irlanda hanno un’opinione simile.

Al contrario, secondo le autorità di Francia, Germania, Paesi Bassi e Italia, i cookie analitici possono essere considerati come strettamente necessari se sussistono delle circostanze particolari (ad esempio, sono cookie di prima parte, l’opt-out è anonimo, il tracciamento incrociato non è attivo). Quindi, dovresti consultare attentamente quali regole si applicano ai cookie statistici nel tuo paese di riferimento.

Quanto spesso può essere raccolto il consenso e mostrato il banner?

Dopo aver mostrato il cookie banner alla prima visita dell’utente, non devi continuare a mostrarlo a ogni sua visita. Tuttavia, dovresti valutare di mostrare il banner a intervalli regolari.

Tieni presente che ci sono una serie di motivi e circostanze che possono portare a richiedere nuovamente il consenso dell’utente e quindi mostrare il cookie banner.
Un esempio pratico è l’utilizzo di cookie di terza parte non esenti. In questo caso dovrai ottenere un nuovo consenso dall’utente, dal momento che quello ottenuto in precedenza si applica solo a quelle terze parti che hai reso note al momento della raccolta.

Per aiutarti a rispettare questo requisito, ti permettiamo di richiedere un nuovo consenso ad ogni aggiornamento della cookie policy.

Tieni presente che alcune autorità europee per la protezione dei dati hanno fissato un periodo di tempo per la validità del consenso (ad esempio, secondo l’autorità francese, 6 mesi sono un periodo di tempo ragionevole). La nostra Cookie Solution ti permette di impostare la durata del consenso. Per saperne di più, consulta la nostra tabella sulle regole di raccolta del consenso.

Cookie Solution - Durata del consenso

Registro dei consensi

Sebbene la Cookie Law non richieda esplicitamente di tenere un registro dei consensi (solo una prova), in molti casi i cookie trattano dati personali ed è per questo che può applicarsi il requisito del registro dei consensi derivante dal GDPR. Molte autorità per la protezione dei dati in Europa hanno dunque allineato le proprie indicazioni sui cookie ai requisiti del GDPR.

Il Registro Preferenze Cookie è ora disponibile nella nostra Cookie Solution. Integra questa soluzione con un click, e inizia a memorizzare e gestire facilmente la prova delle preferenze di consenso dei tuoi utenti, come richiesto dal GDPR.

Fonte: iubenda

Stampa

2014 Img Internet srl,  via Moretto da Brescia 22 - 20133 Milano tel +39 02 700251 - fax +39 02 7002540
Privacy e Cookie Policy