Stiamo vivendo una rivoluzione dei cookie e della privacy per i siti web, è importante capire cosa succede e come affrontare la situazione.
Se il tuo sito web, che sia di tipo “vetrina”, “blog”, “e-commerce” o altro, riceve visitatori dai paesi dell’Unione Europea (UE), il Regolamento generale sulla protezione dei dati (GDPR) influisce sul modo in cui utilizzi i cookie per raccogliere le loro informazioni e su cosa puoi fare con queste informazioni.
Soprattutto, devi predisporre il necessario per informare i tuoi visitatori/clienti e raccogliere eventuali consensi sull’utilizzo di cookie o attività di Fingerprinting.
Come oramai quasi tutti sanno, il GDPR è un regolamento sulla protezione dei dati personali dell’UE entrato in vigore il 25 maggio 2018. Le regole europee si sono, senza alcun dubbio, poste a riferimento degli standard di protezione dei dati in tutto il mondo.
Il GDPR impone per le imprese:
- Quali dati possono raccogliere sui visitatori del loro sito
- Come conservare queste informazioni
- Come utilizzare le informazioni
- Quali politiche sulla privacy si devono implementare
- Quali consensi occorre ottenere e conservare dai visitatori del sito per trattarne i dati.
Perché servono norme di conformità sul trattamento dei dati personali
L’evoluzione comportamentale degli utenti internet, sempre più disponibili a creare identità digitali come risultanti dall’accesso a molteplici servizi e funzioni disponibili (in particolare i social network), rende necessario fissare alcuni punti normativi.
Tale proliferazione di dati comporta infatti il rischio che le informazioni personali oggetto di trattamento siano raccolte incrociando altre informazioni per creare profili sempre più specifici e dettagliati.
Per questo motivo le Autorità Garanti si stanno muovendo, con diverse iniziative, per rafforzare le tutele volte a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo.
Il Regolamento UE 679/2016 prevede infatti che i consumatori siano in grado di controllare:
- Chi raccoglie informazioni su di loro
- Quali informazioni vengono raccolte
- Come vengono utilizzate queste informazioni
- Se terze parti hanno accesso a queste informazioni
Inoltre, una persona ha il diritto di revocare il consenso in qualsiasi momento. Se qualcuno decide che non vuole più che tu gestisca o memorizzi i suoi dati, devi adeguarti e agire di conseguenza. Ciò è in linea con i principi generali dell’UE in merito a trasparenza, equità, controllo individuale e processo decisionale basato sulla piena conoscenza dei fatti.
Cookie e GDPR
Poiché i cookie sono molto utilizzati, vale la pena definire cosa sono, in maniera semplice e sintetica.
Quando si visita un sito web, viene chiesto al computer o dispositivo mobile del visitatore di accettare dei cookie. I cookie sono una piccola porzione di dati che consente al sito web che visiti di ricordare te e le azioni che fai. Questo aiuta a identificare tendenze e modelli di navigazione offrendo, tra le altre cose, l’opportunità di creare dei “profili”.
Grazie ai Cookie, quindi:
- Le aziende sono in grado di mostrare ai visitatori annunci pertinenti e coerenti ai loro profili di interesse;
- I siti web possono memorizzare le preferenze uniche di qualcuno, il che migliora l’esperienza del visitatore;
- Identifica un utente.
I cookie sono un potente strumento di marketing e le aziende online utilizzano frequentemente per il loro sviluppo. Il GDPR rende obbligatorio per le aziende essere oneste riguardo ai cookie che installano e ai dati che tracciano.
Tale onestà di intenti si materializza con una buona Cookie Policy da esporre ai propri visitatori nonché la possibilità per questi ultimi di decidere quali cookie accettare oppure no.
Adempimenti di chi ha un sito web
Al momento in cui scriviamo questo articolo, le Autorità Garanti per la protezione dei dati personali in Europa si stanno muovendo per fissare alcune linee guida, sottoponendole, in parte, anche a pubbliche consultazioni per accogliere suggerimenti e osservazioni degli addetti ai lavori. Qui trovate l’iniziativa del Garante Italiano. Qui quella del EDPB.
Andando quindi al sodo, è obbligatorio per tutti i siti web notificare ai propri utenti l’utilizzo dei cookie utilizzati sulle proprie pagine web. Non solo. Occorre anche dare la possibilità ai visitatori di acconsentire o meno alle attività di raccolta dei dati attraversi tali cookie.
Questo significa che se un sito utilizza i cookie di un certo tipo, è necessario ottenere un consenso valido prima della loro installazione. Come? Con il famoso “cookie wall”.
Occorre eseguire una serie di attività, quali, ad esempio:
- mostrare un banner alla prima visita dell’utente
- predisporre una cookie policy che contenga tutte le informazioni relative
- dare agli utenti la possibilità di rifiutare parte dei trattamenti e, nel caso, revocare eventuali consensi già forniti.
Senza il consenso volontario ed esplicito non è possibile installare cookie, a eccezione dei cookie cosiddetti “esenti”, che sono cookie:
- tecnici essenziali per l’erogazione del servizio, ovvero necessari al funzionamento del vostro sito web e che senza i quali non sarebbe possibile effettuare la navigazione delle pagine e l’utilizzo del sito stesso.
- statistici gestiti direttamente dal proprietario del sito, purché i dati non vengano utilizzati per fare profilazione.
- statistici di terze parte anonimi.
Per tutti gli altri tipi di cookie occorre il consenso dell’Interessato, ovvero il visitatore del sito.
- Il consenso dei cookie deve soddisfare i requisiti stabiliti all’art.7 del GDPR. E’ importante che il consenso, da parte dell’interessato, venga fornito in maniera libera, specifica, informata e inequivocabile attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
- Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
- Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
- Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.
Il Banner Cookie
Lo scopo del Banner Cookie serve a spiegare le finalità di installazione dei cookie utilizzati dal sito. Deve essere ben evidente e contenere il link alla “cookie policy” che può anche essere integrata alla “Privacy Policy”.
Nel banner vengono inoltre indicate chiaramente quali sono le azioni che definiscono il consenso richiesto al visitatore.
Infine, il banner e quindi la funzione che vi è dietro, assurge anche a blocco preventivo dei cookie, ovvero consentire la loro installazione solo dopo aver ottenuto il consenso dell’utente, requisito che viene meno in presenza delle tipologie di cookie già citate in precedenza (cookie “esenti”).
In che direzione vanno i grandi player
Prospetticamente, almeno da un punto di vista formale, a fronte delle azioni che gli Enti Regolatori stanno mettendo in campo per incrementare la trasparenza nei confronti degli utenti finali. I principali utilizzatori di cookie affermano di indirizzare i loro sforzi verso un mondo “cookieless”. Ad esempio, Google ha annunciato l’eliminazione dei cookie di terze parti nel suo browser Chrome entro il 2022.
In poche parole, i cookie di terze parti, che permettono di conoscere i comportamenti online degli utenti come i siti web che visitano di frequente, gli acquisti fatti, i propri interessi non saranno più supportati e quindi utilizzabili dagli editori e i proprietari di siti web, hanno vita breve.
Questo cambiamento avrà un impatto principalmente sull’open web, mentre se un sito utilizza pagine “sotto login” non dovrebbe essere alcun cambiamento drastico.
Occorre però dire che le tecnologie esistenti e utilizzate per tracciare gli utenti, proprio come i cookie di terze parti, sono diverse, tra cui:
- Local Storage,
- IndexedDB,
- Web SQL,
- qualsiasi altra tecnologia che permetta di salvare i dati sul dispositivo di un utente dai browser (come i cookie).
In più, c’è da aggiungere che da anni che altri browser (come Safari) bloccano i cookie di terze parti, ma abbiamo visto più volte che i tracker ricorrono semplicemente ad espedienti, cioè altri metodi e nuove tecnologie che rendono possibile tracciare gli utenti in modo analogo.
Ciò significa, in soldoni, che i cookie di prima parte continueranno a funzionare di default anche nei browser che bloccano i cookie di terze parti (incluso Google Chrome), e continueranno a richiedere il consenso nella maggior parte dei casi, a meno che lo scopo di un cookie non sia “strettamente necessario” per il funzionamento di base di un sito web e quindi mappato come un “cookie esente”.
I Big Player stanno ragionando ben oltre il concetto di cookie terze parti. Probabilmente mirano a creare piattaforme con standard trasparenti per il tracciamento degli utenti, tutelandone la privacy e offrendo dei trust per fornire consapevolezza e libertà di gestione dei dati agli interessati.
Il consenso è e sarà alla base del tracciamento
Il consenso, e quindi la sua raccolta e conservazione, non solo resta fondamentale nella maggior parte delle attività che riguardano i trattamenti di dati personali, ma assumerà sempre maggiore rilevanza per l’industria dell’online-advertising, tendenza tra l’altro confermata dal lancio di Google Consent Mode da parte di Google nel settembre 2020.
Il tool Google Consent Mode permette ai siti web di eseguire tutti i servizi Google sulla base del consenso degli utenti finali e offrendo quindi un primo equilibrio tra la conformità e il tracciamento informato e approvato dagli interessati.
Ultimi suggerimenti circa Cookie e Privacy per i siti web
Quando mantieni separate la tua Cookie Policy e la tua Privacy Policy, rendi più facile per gli utenti trovare le informazioni che stanno cercando.
- Una Cookie Policy separata consente agli utenti di fare clic direttamente sulle informazioni sui cookie senza dover scorrere il documento sulla Privacy Policy;
- I cookie sono molto importanti per l’elaborazione dei dati e dedicare una politica separata ai cookie mostra agli utenti che prendi sul serio la privacy;
È fondamentale che una politica sui cookie sia facilmente comprensibile, soprattutto da chi non ha conoscenze legali.
Per creare una Cookie Policy legalmente efficace, il documento deve includere alcune cose del tipo:
- Come si utilizzano i cookie, ad esempio per mantenere un utente connesso senza reinserire la password ogni volta che visita il sito;
- I tipi di cookie utilizzati nel sito, siano essi per pubblicità, analisi o comodità del cliente;
- Se le informazioni vengono trasferite o utilizzate da terzi;
- Come gli utenti possono rifiutare i cookie e come disattivarli;
Il consenso, che viene prestato liberamente nella piena consapevolezza di come vengono utilizzati i cookie, è alla base della normativa GDPR sui cookie. Ricorda di implementare un sistema per conservare i consensi raccolti e permettere ai visitatori del tuo sito di cambiarli.
Cookie a norma di legge
Il GDPR bilancia le esigenze del mondo degli affari con i diritti delle persone. Parte di questo equilibrio include la divulgazione di alcune informazioni sull’utilizzo dei cookie agli utenti dell’UE.
Assicurati che la tua politica sui cookie GDPR:
- Sia scritta chiaramente
- Rileva quali cookie raccogli, per cosa li usi e se condividi i loro dati con terze parti
- Che ci sia un banner o pop-up di consenso ai cookie (se necessario)
Se non disponi di una Politica sui cookie separata, assicurati di includere una clausola sui cookie nella tua Informativa sulla privacy in cui copri le stesse
Non sai se sei conforme? Verificalo velocemente utilizzando il tool gratuito di 2GDPR.