GDPR e Cookies



You are here: Home » GDPR e Cookies

La normativa UE sul trattamento dei dati personali, ovvero il Regolamento generale sulla protezione dei dati, è spesso denominata GDPR.

In che modo il GDPR influisce sui tuoi cookie e sul monitoraggio online? Come conformarsi alla normativa per quanto riguarda i cookie? E come influisce sulla tua politica e sul tuo consenso inerente ai cookie?

In quest’articolo offriremo un’introduzione completa al GDPR e una guida pratica sul significato di tali nuove regole per te e il tuo sito web.

GDPR e cookie

Il GDPR è una normativa della UE: essa costituisce l’iniziativa più significativa sulla protezione dei dati degli ultimi 20 anni.

La finalità è volta alla protezione delle “persone fisiche in merito al trattamento dei dati personali e alla libera circolazione di tali dati”, ad esempio l’utente di un sito web.

I cookie sono menzionati solo una volta nelle 88 pagine che costituiscono il Regolamento. Tuttavia, quelle poche righe hanno un impatto significativo sulla conformità dei cookie:

(30): “Le persone fisiche possono essere associate a identificatori online […] come indirizzi di protocolli Internet, identificatori di cookie o altri identificatori […]. Ciò potrebbe lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, potrebbero essere utilizzate per creare profili delle persone fisiche e identificarle.”

In altre parole: si parla di dati personali quando i cookie sono in grado di identificare un individuo.

Ad ogni modo, cosa c’è dietro un cookie?

I cookie sono piccoli file automaticamente rilasciati sul tuo computer mentre navighi in rete. Sono, di fatto, innocue porzioni di testo memorizzate localmente e che possono essere facilmente visualizzate ed eliminate.

Ma i cookie possono fornire una visione approfondita delle tue attività e preferenze, e possono essere utilizzati per identificarti senza il tuo esplicito consenso.

Ciò rappresenta una grave violazione, dal punto di vista legale, e man mano che le tecnologie dei dati divengono sempre più sofisticate, la tua privacy come utente è sempre più compromessa.

Spesso i cookie neanche provengono dal sito web che stai visitando, bensì da terze parti che ti seguono per scopi di marketing. Tutto ciò accade “dietro le quinte”.

Anche se non tutti i cookie sono utilizzati in un modo da poter identificare gli utenti, la maggior parte di essi (e quelli più utili per i proprietari dei siti web) sono e saranno soggetti al GDPR.

I cookie rilasciati per analisi, pubblicità e servizi funzionali, come strumenti di sondaggio e di chat, sono tutti esempi di cookie capaci di identificare gli utenti.

I cookie presentano due problemi: uno relativo alla privacy: cosa viene registrato?, e uno inerente alla trasparenza: chi ti sta monitorando? per quale scopo? dove andranno i dati e per quanto tempo resteranno in giro?

Requisiti: in che modo garantire la conformità del tuo sito al regolamento GDPR?

In qualità di proprietario del sito web, adottare le misure necessarie per conformare il sito al GDPR significa esaminare l’elaborazione dei dati e assicurarti che i dati personali siano gestiti secondo le nuove normative.

Ad esempio, il Regolamento generale sulla protezione dei dati considera come dati personali un nome, una foto, un indirizzo e-mail, le coordinate bancarie, i post sui siti web dei social network, le informazioni mediche o gli indirizzi IP del computer.

Se il tuo sito web o la tua organizzazione elaborano dati (a) direttamente personali, o (b) che potrebbero essere combinati o isolati al fine di identificare un individuo, allora il sito o l’organizzazione dovranno essere rivisti per conformarsi ai requisiti.

Mappa e valuta i dati sensibili della tua organizzazione, esamina le tue politiche di sicurezza e assicurati che i dati siano protetti.

I due aspetti principali di cui essere consapevole sono:

1. Come archiviare i dati dei clienti e degli utenti della tua organizzazione, e

2. I cookie sul tuo sito web (sia di prima che di terza parte).

L’adeguamento della tua politica sui cookie e del tuo consenso sui cookie rappresentano una parte significativa di questo processo.

Quali caratteristiche dovrebbero essere presenti in un consenso sui cookie conforme alla normativa?

Uno dei requisiti più concreti del GDPR è costituito dalla definizione di un adeguato consenso sui cookie, nel senso che il consenso deve essere:

  • Informato: perché, come e dove vengono utilizzati i dati personali? Deve essere chiaro, per l’utente, a cosa viene dato il consenso, e deve essere possibile selezionare e deselezionare i vari tipi di cookie.
  • Basato su una scelta reale: ciò significa, ad esempio, che l’utente deve avere accesso al sito web e alle sue funzioni, anche rifiutando i cookie.
  • Dato per mezzo di un’azione affermativa, positiva, che non può essere male interpretata.
  • Previo: Richiesto prima del trattamento iniziale dei dati personali.
  • Modificabile: dovrà essere facile, per l’utente, cambiare idea e ritirare il consenso.

Inoltre,

  • L’utente ha il diritto di essere dimenticato. Su richiesta dell’utente, tutti i suoi dati personali devono essere correttamente eliminati.
  • Tutti i consensi devono essere registrati come documentazione che il consenso è stato dato.

 

Com’è un messaggio cookie conforme?

I requisiti sopra riportati rendono obsoleta la maggior parte delle notifiche sui cookie utilizzate prima dell’implementazione del regolamento GDPR. Ad esempio, il consenso implicito e il consenso dato semplicemente visitando un sito non sono sufficienti.

Lo stesso vale per i pop-up e per i banner indicanti la dicitura “Utilizzando questo sito, si accettano i cookie”.

Anche un semplice pulsante “ok” per accettare i cookie non è sufficiente.

In che modo il regolamento GDPR influirà sulla mia politica sui cookie?

Il Regolamento generale sulla protezione dei dati implica che dovrai rivedere la tua politica sui cookie, assicurandoti che sia conforme alle normative.

La direttiva UE sulla e-privacy richiede che il consenso da parte degli utenti del tuo sito sia preventivo e informato, mentre il Regolamento generale sulla protezione dei dati (GDPR) richiede la documentazione di ciascun consenso.

Allo stesso tempo, dovrai essere in grado di sapere quali saranno i dati utente condivisi con i servizi di terze parti incorporati sul tuo sito web, e in quale parte del mondo verranno inviati tali dati.

Una politica sui cookie conforme al GDPR e alla normativa sulla e-privacy deve soddisfare i seguenti requisiti:

Una politica trasparente sui cookie

La politica sui cookie deve essere conforme alle normative e deve fornire all’utente una panoramica chiara sulle modalità in cui i cookie saranno utilizzati sul sito web in qualsiasi momento.

Panoramica e responsabilità per i cookie sul tuo sito web

Potresti essere sottoposto a controlli e tenuto a rispondere esaustivamente in merito alle elaborazioni dei dati contestuali alla connessione al tuo sito web.

Ciò è più facile a dirsi che a farsi, in quanto la maggior parte dei siti web contiene un gran numero di cookie di terze parti fluenti attraverso il loro sistema.

Consenso richiesto mediante un’azione affermativa

Il più grande cambiamento per i cookie e per il monitoraggio online in relazione al GDPR è costituito dal fatto che il consenso deve essere dato secondo una chiara azione affermativa.

I cittadini dell’UE sono ormai abituati, e probabilmente anche infastiditi, dai banner presenti su tutti i siti web e dalle relative diciture sull’uso dei cookie, richiedenti talvolta null’altro che la selezione del pulsante ok, ma senza offrire una vera possibilità di scelta.

Grazie ai regolamenti, questo non è più sufficiente. Il consenso deve essere dato in forma di azione affermativa e positiva, e il rifiuto dei cookie deve costituire un’effettiva opzione.

Possibilità di ritirare il proprio consenso in qualsiasi momento

L’utente deve poter ritirare il proprio consenso.

È quindi importante assicurarsi che gli utenti abbiano accesso al proprio attuale stato di consenso in ogni momento, e che possano modificarne le impostazioni o ritirare completamente il proprio consenso.

Rinnovo del consenso

Ogni 12 mesi, il consenso dovrebbe essere rinnovato, contestualmente alla prima visita dell’utente sul sito.

Accessibilità, non sproloqui incomprensibili

Una sfida posta dal GDPR è rappresentata dal fatto che, da un lato, l’uso dei cookie dovrebbe essere trasparente e agli utenti dovrebbe essere data una visione approfondita del modo in cui vengono utilizzati i dati.

Dall’altro lato, tuttavia, la comunicazione dovrebbe essere chiara e facile da capire, in modo che l’utente possa davvero scegliere.

Consenso preventivo

Con il GDPR, il consenso dell’utente deve essere dato prima dell’impostazione dei cookie, in modo che vengano memorizzati solo i cookie strettamente necessari.

I consensi devono essere registrati come elementi di prova

Tutti i consensi devono essere archiviati in modo sicuro, in modo che possano essere utilizzati come prova in caso di controllo.

Come rendere conformi con facilità i cookie e il monitoraggio online al regolamento GDPR e alle norme sulla e-privacy:

Per soddisfare i requisiti, puoi creare una configurazione personale di consenso basata sul regolamento GDPR. Oppure puoi iscriverti a Cookiebot, una soluzione per cookie e monitoraggio online pienamente conforme al regolamento GDPR e la normativa sulla ePrivacy.

Cookiebot integra la politica sui cookie al monitoraggio dell’attività dei cookie sul tuo sito web, garantendo così che la politica sia aggiornata e onesta in ogni momento.

Ogni mese verrà generato un rapporto sui cookie e sull’attività di elaborazione dei dati sul sito web, garantendo al proprietario di averne il controllo in ogni momento.

Il consenso dell’utente verrà richiesto mediante un banner comprensibile, in cui gli utenti potranno facilmente attivare e disattivare i vari tipi di cookie.

Gli utenti potranno, in qualsiasi momento, accedere alla configurazione del consenso e modificare o ritirare il proprio consenso.

Ogni dodici mesi, il consenso verrà automaticamente rinnovato alla prima visita dell’utente sul sito web.

La comunicazione nei banner del consenso sarà intuitiva e senza fronzoli, offrirà una vera trasparenza, ma allo stesso tempo eviterà il sovraccarico di informazioni.

Il consenso sarà richiesto prima della configurazione dei cookie, ad eccezione di quelli strettamente necessari e dunque legali.

Tutti i consensi verranno automaticamente raccolti tramite una connessione protetta e memorizzati come chiavi fortemente crittografate.