Sai cosa s’intende per Cookie Policy?
Il GDPR ha introdotto nuovi adempimenti ai quali le aziende devono sottostare per adeguare la loro attività agli obblighi in materia di privacy. In particolare, con riferimento al tema cookie, il Garante della Privacy italiano ha pubblicato anche delle Linee guida in riferimento all’utilizzo dei cookie, aggiornate il 9 gennaio 2022.
Secondo la normativa vigente se gestisci un sito web devi adeguare la tua presenza online aziendale ai nuovi obblighi, come per esempio predisporre la cookie policy. In questo articolo vediamo cosa sono i cookie, per poi capire cosa s’intende per cookie policy, cookie banner e consenso da richiedere all’utente.
Cosa sono i cookie?
Innanzitutto cosa sono i cookie? I cookie sono piccoli file di testo che vengono installati all’interno del dispositivo usato dall’utente (computer, smartphone, tablet, smart TV) quando questo visita un certo sito web.
A cosa servono?
- I cookie semplificano e velocizzano gli accessi ai siti web da parte degli utenti perché memorizzano alcune informazioni che permettono all’utente di non doverle inserire nuovamente (ad esempio, grazie ai cookie è possibile tenere traccia degli articoli inseriti nel carrello di un ecommerce);
- I cookie sono molto utili anche per i soggetti che gestiscono i siti web, perché consentono la raccolta di vari dati personali (es: indirizzo IP, identificativo univoco) e dati non personali (come la lingua preferita o il tipo di dispositivo che una persona sta utilizzando per navigare nel sito).
Esistono diverse tipologie di cookie: di natura “tecnica” e di natura “non tecnica”. I cookie di profilazione (“non tecnici”) permettono di ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte dal sito. Ciò, previo consenso, permette al titolare di modulare la fornitura del servizio in modo sempre più personalizzato, nonché di inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente durante la navigazione.
Invece i cookie tecnici vengono utilizzati per effettuare la navigazione correttamente o per fornire un servizio richiesto dall’utente. Questi cookie sono necessari per esempio per le operazioni di home banking (es. visualizzazione estratto conto, bonifici, pagamento di bollette), in quanto consentono all’utente di effettuare e mantenere la sua identificazione nell’ambito della sessione.
Cookie policy: cos’è?
La cookie policy è un documento che informa l’utente sul funzionamento dei cookie, quali cookie vengono installati sul device durante la navigazione e per quali finalità; indicando anche quali sono i diritti dell’utente stesso in materia di protezione dei dati personali (come per esempio il diritto di proporre reclamo all’autorità di controllo nei casi di violazione dei principi del GDPR).
Nel dettaglio la cookie policy deve contenere:
- informazioni che descrivono in maniera analitica le caratteristiche e le finalità dei cookie installati dal sito, precisando se si tratti di cookie di prima o di terza parte;
- i tempi di conservazione delle informazioni;
- le indicazioni sulle possibilità e sulle modalità di esercizio dei diritti da parte degli utenti.
Inoltre, se il tuo sito web installa cookie non tecnici, devi predisporre una cookie policy (consultabile tramite il primo livello del banner che mostri all’utente o tramite il footer del sito), così che questo possa prestare il suo consenso potendo visualizzare facilmente il documento.
Come richiedere il consenso
Le nuove Linee Guida hanno introdotto novità significative per quanto riguarda la raccolta del consenso dell’utente.
Prima di procedere, facciamo un passo indietro: è necessario il consenso dell’utente per l’installazione dei cookie nel suo dispositivo?
Dipende dalla finalità dei cookie stessi: per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, anche se è comunque sempre necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679); mentre per i cookie di profilazione si: questi non devono essere installati sul device dell’utente fino a quando lui/lei non vi acconsente, selezionando una casella «ACCETTO» (o comando analogo).
Come possiamo acquisire il consenso online dall’utente?
Per raccogliere il consenso degli utenti secondo la direttiva europea devi sapere che:
- lo scrolling – spostamento in basso della pagina– non può essere considerato come consenso implicito dell’utente, il quale deve compiere un’azione positiva per manifestare il suo consenso;
- i cookie wall sono vietati. Per cookie wall si intende il meccanismo vincolante che (anche detto “take it or leave it”) impone all’utente di prestare il consenso all’installazione di cookie per poter visualizzare le informazioni pubblicate sul sito web, limitando così la sua libertà di scelta. Considerata l’illiceità di questa pratica, ultimamente molti proprietari di siti web hanno optato per una soluzione alternativa: i paywall. Si tratta, però, di una pratica non ancora convalidata dal Garante Privacy che, anzi, più volte criticata anche dalla stessa Autorità. Se vuoi approfondire questo tema puoi consultare il nostro articolo sul GDPR: cosa fare per adeguarsi.
- i consensi raccolti in precedenza e conformi alle caratteristiche del regolamento vigente mantengono la loro validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano quindi documentabili.
- puoi reiterare la richiesta di consenso per utenti che hanno scelto di non prestarlo in precedenza solo nei seguenti casi: se cambiano significativamente le condizioni del trattamento; quando per il sito risulta impossibile sapere se un cookie è già stato memorizzato nel dispositivo e, infine, se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.
Cookie Banner: quando e come?
Se il tuo sito web installa anche cookie non tecnici, come abbiamo detto, è necessario che l’utente presti il proprio consenso liberamente e prima che qualsiasi cookie venga installato sul suo device. È quindi necessario mostrare un banner a comparsa all’utente che visita il tuo sito web immediatamente, ossia non appena l’utente accede al tuo sito.
Il cookie banner deve:
- Informare l’utente del sito web che l’azienda sta usando cookie tecnici ed eventuali cookie di profilazione, precisandone le finalità. Può fornire una semplice informativa breve, rinviando alla cookie policy estesa per maggiori informazioni sull’utilizzo dei cookie.
- Fornire all’utente la possibilità di accettare solo alcuni cookie, come per esempio solo cookie tecnici o anche analitici (ad esempio, accedendo a un’apposita area dedicata): il consenso dei cookie deve essere granulare.
- Contenere il link all’informativa estesa, ossia alla cookie policy vera e propria;
- Non contenere caselle pre-flaggate;
- Includere un comando (normalmente la X posta in alto a destra) che permette di chiudere il banner senza prestare il consenso all’uso dei cookie diversi dai cookie tecnici (necessari per il corretto funzionamento del sito);
- l’avvertenza che la chiusura del banner (ad es. mediante la X già citata) comporta il permanere delle impostazioni di default e dunque la navigazione in assenza di cookie diversi da quelli tecnici.
Per concludere
Online esistono molte soluzioni che offrono un generatore cookie policy che, con pochi clic, ti permette di generare una cookie policy. Sebbene si tratti di sistemi molto diffusi, la cookie policy è un documento chiave per un sito web “a prova di GDPR” che merita attenzione. È quindi sempre meglio preparare una cookie policy su misura, che tenga conto delle esigenze uniche di ciascuna azienda.
Per generare una cookie policy conforme alla normativa vigente e soprattutto su misura, affidati a un team di specialisti che, dopo aver analizzato la tua situazione, ti proporrà una cookie policy su misura adatta alle tue esigenze.