I cookie sono informazioni immesse sul tuo browser quando visiti un sito web o utilizzi un social network con il tuo pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc…

Questi possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser) o per lunghi periodi. In alcuni casi possono contenere un codice identificativo unico.

Alcuni cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web.

Questi cookie, cosiddetti tecnici, sono spesso utili, perché possono rendere più veloce e rapida la navigazione e la fruizione del web. Intervengono, ad esempio, a facilitare alcune procedure quando fai acquisti online, quando ti autentichi ad aree ad accesso riservato o quando un sito web riconosce in automatico la lingua che utilizzi di solito.

Una particolare tipologia di cookie, detti analytics, sono poi utilizzati dai gestori dei siti web per raccogliere informazioni in forma aggregata. Si va dal numero degli utenti a come questi visitano il sito stesso così da elaborare analisi statistiche.

Altri cookie possono invece essere utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, ecc.). In questo caso spesso, lo scopo è inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioural Advertising). Parliamo in questo caso di cookie di profilazione.

Ad esempio: ti è mai capitato di visitare un sito, usare la tua webmail o di accedere ad un social network e di trovare banner pubblicitari legati alle tue ultime ricerche sul web o all’ultimo acquisto fatto su Internet?

Ciò accade perché quegli spazi web sono progettati per riconoscere il tuo dispositivo (pc, smartphone, tablet) ed indirizzarti messaggi promozionali in base alle tue ricerche e al tuo utilizzo di Internet.

Può accadere anche che una pagina web contenga cookie provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa, come ad esempio banner pubblicitari, immagini, video, ecc.. Parliamo, in questi casi, dei cosiddetti cookie di terze parti, che di solito sono utilizzati a fini di profilazione.

Così i cookie che scarichi su pc, smartphone e tablet possono essere letti anche da altri soggetti, diversi da quelli che gestiscono le pagine web che visiti.

Sono i cookie che servono a garantire la navigazione o a fornire il servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Senza tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure. Ne sono esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.) per le quali i cookie risultano indispensabili. Senza i cookie, infatti, è impossibile, ad esempio, mantenere aperta la sessione privata.

Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini e scelte. Con questi cookie possono essere trasmessi al dispositivo dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso durante la navigazione.

No. Il Garante (cfr. provvedimento dell’8 maggio 2014 e Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021) ha tuttavia precisato che possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso. Il titolare potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito. Se le analisi statistiche sono affidate a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici. In via di eccezione, è comunque consentita tanto alla prima parte che vi provveda in proprio quando alla terza parte che agisca su mandato della prima, la produzione di statistiche con dati relativi a più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale

Sono script che generano un avviso che deve essere mostrato da tutte le app e tutti i siti web all’utente che vi naviga la prima volta. Deve anzitutto avvisare della presenza di cookie sul sito web, quindi garantire l’accesso all’informativa relativa alla raccolta dati effettuata e ai diritti dell’utente. Deve inoltre garantire all’utente il diritto di negare o prestare il consenso al trattamento. Per legge ogni sito web deve disporre di un cookie banner, una Cookie Policy e tenere disabilitati di default tutti i cookie non tecnici.

Iniziamo dicendo che qualsiasi sito utilizza cookie. Solo per il funzionamento, per la sessione di sistema sono necessari cookie che rendono il sito navigabile. A questa categoria appartengono i cookie tecnici, ovvero quelli indispensabili e come tali non si deve chiedere il permesso di utilizzo a nessuno e non si devono utilizzare Script per cookie banner.

Altro discorso sono invece i cookie che servono per tracciare la navigazione.

Facciamo un esempio: nel vostro sito esiste una sezione “Dove siamo” con la mappa di Google che utilizzate gratuitamente per far vedere dov’è la vostra attività. Ma, come si sa, in Internet “nulla è gratis”: Google con lo script della piantina installa anche uno script di un cookie che controlla l’indirizzo IP dei navigatori e cosa ricercano sul vostro sito.

In conseguenza ad accordi con grandi multinazionali, questo enorme traffico viene rivenduto in tempo reale a tutti i portali social, di informazione e media. In questo modo il navigatore, dopo essere passato sul vostro sito di affitto di camere d’hotel a Rimini, troverà in bella vista le pubblicità degli hotel di Rimini quando navigherà su altri siti web o sulla Gazzetta dello Sport.

Semplice no? Ma altrettanto illegale!

Tornando all’esempio di prima, la normativa attuale prevede che questo tipo di script cookie debbano essere disabilitati di default, come chiarisce il Garante al punto 7 delle FAQ nell’area tematica sui cookie, consultabile qui.

La normativa in pillole > Cookie Law, GDPR e sitiweb: cosa è utile sapere per la conformità della privacy policy e della cookie policy alla normativa vigente

Ecco perché è importante che gli Script per banner cookie siano sempre realizzati cuciti su misura, sartorialmente e personalizzati, per ogni sito web.

Grazie ad Alessandro Papini – Presidente di Accademia Italiana Privacy, per questo contributo.

La Cookie Policy di un sito web è il documento con il quale l’utente viene informato su quali sono i cookie attivi sul sito web in cui si sta navigando, quali sono i suoi dati che vengono raccolti, per quali scopi e dove vengono inviati. Infatti, secondo quanto stabilito nelle linee guida dell’EPDB (European Data Protection Board) n. 5-2020, tutti i siti web hanno l’obbligo di permettere agli utenti europei di controllare l’attivazione dei cookie e dei tracker che raccolgono i loro dati personali.

Il widget di Acconsento.click non blocca i Cookie di Google Analytics (e simili come: Google Tag Manager, Pixel di Facebook, ecc…) poiché li consideriamo Cookie tecnici secondo quanto riportato testualmente nella FAQ Cookie n°4 del Garante seguente:

“il Garante (cfr. provvedimento dell’8 maggio 2014 e Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021 ha precisato che i cookie analytics possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni di tipo statistico in forma aggregata sul numero degli utenti e su come questi visitano il sito”.

Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa. L’utilizzo di tutte le altre tipologie di cookie, invece, può essere fatto soltanto dopo aver ricevuto il consenso tramite informativa.

Secondo il GDPR, i siti web hanno il dovere di permettere agli utenti europei di controllare l’attivazione dei cookie e dei tracker che raccolgono dati personali. Le Nuove Linee Guida del Garante in materia Cookie chiariscono cosa si intende per consenso valido in conformità con il GDPR. Vi si ribadisce che i cookie banner non possono presentare caselle preselezionate. Inoltre la prosecuzione dello scorrimento o della navigazione da parte degli utenti non possono essere considerati come un consenso valido per il trattamento dei dati personali. Nello specifico, il consenso va richiesto rispettando i seguenti requisiti:

• Avviso: un testo chiaro e semplice da leggere che informi l’utente sull’utilizzo dei cookie. Si deve chiarire che l’utente può accettare o rifiutare i cookie e deve dare il consenso per ogni finalità separatamente
• Pulsanti di Accetta o Rifiuta: entrambi i pulsanti devono essere presenti e devono avere la stessa visibilità. I proprietari dei siti web non devono utilizzare modelli scuri per incoraggiare a cliccare sul pulsante Accetta
• Impostazioni Cookie: questo deve collegarsi al centro di preferenze cookie dove gli utenti possono dare il proprio consenso per ogni scopo separatamente. Ciò implica mostrare anche l’elenco di cookie per ogni scopo
• Revoca dei Cookie: l’utente deve poter revocare il proprio consenso ai cookie con la stessa facilità con cui l’ha inizialmente concesso
• Auto-Blocking Cookie e tracking: questo è il passo cruciale, assicurarsi che nessun cookie venga rilasciato prima del consenso dell’utente. Ossia individuare automaticamente tutti i cookie e i tracker sul sito web e bloccarli fino a quando l’utente non abbia dato il proprio consenso

Con l’entrata in vigore del GDPR il titolare deve garantire che, per impostazione predefinita, siano trattati solo i dati necessari al conseguimento di specifiche finalità. Il trattamento va quindi limitato al minimo indispensabile per consentire agli utenti la navigazione nel sito. Di conseguenza, al momento del primo accesso dell’utente, non potrà essere utilizzato nessun cookie o altro strumento di tracciamento. Potrà invece comparire un banner, di dimensioni adeguate ai diversi tipi di dispositivo utilizzabili: questo pur non impedendo il mantenimento delle impostazioni predefinite, deve consentire a chi invece lo desidera di esprimere il proprio consenso. L’utente che non intenderà prestarlo, dovrà poter chiudere il banner selezionando l’apposito comando normalmente utilizzato a questo scopo (di regola, un pulsante con una X posto in alto a destra del banner stesso).

No. Se l’utente non ha fornito il proprio consenso o lo abbia fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato. Vi sono alcuni casi specifici che fanno eccezione:

• quando cambiano significativamente una o più condizioni del trattamento, ad esempio le “terze parti”;
• quando è impossibile per il provider sapere se un cookie tecnico è già stato posizionato nel dispositivo dell’utente (ad esempio nel caso in cui sia l’utente stesso a cancellare i cookie);
• quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner.

No, il semplice scorrimento del cursore di pagina non è atto in sé idoneo alla manifestazione di un consenso consapevole. Lo scrolling potrebbe semmai costituire una delle componenti di un processo più articolato che consenta di generare un evento informatico idoneo ad esprimere una scelta registrabile, documentabile e inequivocabile.

No, salva l’ipotesi, da verificarsi caso per caso, nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il consenso.

No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

La Privacy Policy (o Informativa Privacy) è il documento con il quale gli utenti vengono informati sulle finalità e modalità di trattamento dei loro dati personali. Questo documento rappresenta la comunicazione agli utenti di ogni informazione necessaria per garantire un trattamento dei dati corretto e trasparente ai sensi di legge. Dovrà contenere le finalità di trattamento, il periodo di conservazione dei dati, il diritto alla revoca del consenso, le informazioni sul titolare del trattamento, etc.).

La privacy policy online è obbligatoria ogni qualvolta viene effettuato un trattamento dei dati personali su un sito. Secondo il GDPR, si definisce trattamento qualsiasi operazione compiuta sui dati personali dell’utente in modo automatizzato o meno.

Per approfondire     Informativa privacy: cosa è, come si appronta, perchè è l’ultima cosa da fare (e non utilizzando il copia e incolla).

Una informativa privacy non è semplicemente “un foglio”

È un errore in cui, specialmente dopo le nuove indicazioni del Garante in materia di cookie, i più ancora cascano, specialmente coloro che creano siti “fai da te” e chi pensa che un’informativa sia un “foglio” da trovare in internet, magari facendo copia incolla o da scaricare tra i tanti modelli che si trovano online.

Una privacy policy è in realtà quel documento che condensa ed esplicita una complessa filiera nella quale l’Interessato, cioè la persona di cui si raccolgono, trattano e conservano i dati, è assoluto protagonista e centro di interessi: sono infatti i suoi diritti quelli che devono essere indicati nell’informativa ai sensi degli articoli 13 e 14 del GDPR.

Cosa deve contenere

Il documento in questione (chiamiamola pure privacy policy mutuando il testo in inglese del GDPR, ma ricordiamo che parliamo dell’informativa) è il risultato di una serie di decisioni e sintesi dei procedimenti scelti da un imprenditore o professionista, Titolare del Trattamento, su cui gravano tutti i doveri previsti dalla normativa europea. Primo tra questi doveri è quello della scelta dei dati che intende trattare per la propria attività e, di conseguenza, le modalità che saranno scelte per la raccolta, le tipologie di trattamento necessarie, il luogo e le modalità di conservazione e, se possibile, anche la loro distruzione o cancellazione dagli archivi.

Logico ed intuitivo come per inserire nel testo del documento “l’esistenza di un processo decisionale automatizzato” oppure informazioni in merito a diversità nelle finalità di trattamento è indispensabile conoscere una serie di elementi che difficilmente sono noti a uno sviluppatore web o creatore di un sito che non abbia piena cognizione delle politiche aziendali in materia di dati.

Stop al copia e incolla

Purtroppo l’esperienza ci dice esattamente il contrario. La rete è piena di siti aziendali che presentano informative privacy lacunose, incomplete e, spessissimo, frutto di quel copia incolla che, può creare non pochi problemi per quanto riguarda, prima di tutto i cookie.

Tutto ciò, inoltre, viene troppo spesso complicato dagli stessi titolari del trattamento, imprenditori che si occupano delle loro attività e, verosimilmente, non hanno le competenze tecniche e legali per comprendere una normativa della quale farebbero a meno e che, per molti di loro, è un costo che vorrebbero evitare.

L’imprenditore deve indicare quali sono i dati personali indispensabili

Viceversa è proprio dalle loro intenzioni e decisioni che deve muovere il lavoro dei consulenti privacy, tecnici informatici e legali, per creare il perfetto quadro del trattamento dati sulla base dei principi di privacy by design e by default che stanno alla base del GDPR.

È infatti l’imprenditore che deve indicare quali sono i dati personali indispensabili alla sua attività, nel rispetto del principio di minimizzazione, e quali invece sono utili per ulteriori scopi che possono andare dalla fidelizzazione alla vera e propria profilazione dell’utenza. È ancora l’imprenditore Titolare che, dalla sua esperienza e dalla sua vision aziendale, trae le indicazioni sul tempo di conservazione dei dati e, magari, potrebbe trarre utili indicazioni in questi processo per cercare di non aggravare i propri archivi di dati inutile e, magari, alleggerire memorie evitando così anche il rischio di attacchi informatici e alleggerendosi di alcuni costi.

Indispensabile inoltre decidere prima chi dovrà venire a contatto di questi dati, anche qui cercando di ridurre al minimo la catena dei passaggi, per predisporre, insieme alle informative, le necessarie lettere di incarico.

Per approfondire > Privacy by design e by default, come strumenti dell’organizzazione aziendale

Informativa privacy: l’ultima cosa da fare

È pertanto solo dopo l’analisi di questi e altri elementi che sarà possibile, per chi dovrà scrivere le informative, avere il quadro completo della completa filiera aziendale della protezione del dato. Inoltre dobbiamo sempre tenere presente che, con il tempo, possono mutare le esigenze delle aziende o i loro processi interni. Ecco che potrebbe presentarsi anche la necessità di modifiche alle informative. Ed anche questo è un motivo per cui questo documento è l’ultimo passo da compiere nella definizione della complessiva gestione della privacy.

La privacy policy per essere conforme deve soddisfare tutti i requisiti legali e contenere tutte le informazioni richieste dalla legislazione vigente in materia di privacy e dai regolamenti europei (GDPR):

• Tipologie di dati personali raccolti: è possibile scegliere tra dati volontariamente forniti dall’utente (dati di contatto, informazioni, contenuti, dati sensibili, dati raccolti da social media, etc.) e dati acquisiti automaticamente (dati di utilizzo, dati di geolocalizzazione, dati raccolti tramite cookie etc.)
• Finalità del trattamento: devono essere elencati gli scopi per cui si raccolgono i dati personali (fini statistici, profilazione dell’utente, gestione dei pagamenti, etc.). In Acconsento.click abbiamo predisposto l’intervista permettendo di scegliere tra finalità pre impostate e/o personalizzabili
• Modalità del trattamento: devono essere indicati gli strumenti elettronici o manuali con i quali si raccolgono i dati, le modalità di organizzazione dei dati, le misure di sicurezza per impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei dati
• Destinatari dei dati: devono essere indicati i nomi dei soggetti terzi destinatari dei dati o le categorie economiche o merceologiche di appartenenza (consulenti di marketing, spedizionieri, etc.)
• Base giuridica del trattamento: il fondamento su cui si fonda il trattamento (consenso, obbligo di legge, obbligo contrattuale, etc.)
• Luogo: dove vengono conservati i dati e se vengono trasferiti in un paese extra UE
• Processi decisionali automatizzati: se vengono utilizzate procedure come la profilazione e la logica con cui vengono usate
• Periodo di conservazione dei dati: per quanto tempo i dati personali dell’utente i dati vengono conservati
• Diritti esercitabili dagli utenti: la normativa richiede espressamente di inserire l’elenco di cosa può fare un utente (chiedere la rimozione dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati etc.)
• Dati identificativi del titolare del trattamento e/o del responsabile della protezione dei dati (DPO): devono essere inseriti tutti i dati per identificare e contattare chi determina le finalità e i mezzi del trattamento di dati personali. Se nominato, va indicato anche il responsabile della protezione dei dati

Quasi sicuramente sì. Se il tuo sito traccia dati personali, serve una dichiarazione che ne informi gli utenti. La maggioranza dei siti web tracciano dati degli utenti. Spesso anche senza la consapevolezza del proprietario del sito, tramite i cookie. Se il tuo sito raccoglie informazioni personali degli interessati dovrai sempre avere un’informativa e chiedere anche il consenso se farai trattamenti di marketing o profilazione. Con l’entrata in vigore del GDPR e la direttiva su vita privata e comunicazioni elettroniche (e-Privacy), una policy privacy corretta è obbligatoria.

No, non lo è mai stato e non lo è tuttora. La convinzione sul registro dei consensi obbligatorio trae origine dal fatto che il consenso all’uso dei cookie diversi da quelli tecnici (es. cookie analitici e di profilazione) dovrà essere documentato. In aderenza a quanto disposto dal GDPR, il tracciamento del consenso potrà avvenire con un qualsiasi altro strumento idoneo. Ad esempio tramite un plugin in grado di installare cookie tecnici finalizzati a registrare il consenso dell’utente rispetto ai cookie diversi da quelli tecnici. Questa scelta, secondo il Garante: “rientra nell’autonomia imprenditoriale e nell’Accountability del titolare” (LINEE GUIDA GARANTE PRIVACY 10/6/2021). Ecco quindi che il registro preferenze cookie è e resta facoltativo.

Come detto in precedenza, la cookie law ha sempre richiesto che i siti web fossero in grado di fornire la prova documentale del consenso. Questa prova viene fornita tramite un cookie tecnico. Questo cookie impedisce al cookie banner di comparire quando l’utente ha espresso la sua scelta se accettare o meno i cookie. Usare questo cookie per dimostrare il consenso ai cookie può essere tecnicamente difficile. Pertanto, al posto di un costoso “registro dei consensi” le stesse piattaforme CMS stanno lanciano sui propri App Store dei tool in grado semplicemente di monitorare gli indirizzi IP che hanno prestato il consenso al rilascio dei cookie di profilazione. In particolare, questi semplici tool tengono traccia delle categorie di cookie di profilazione accettati dall’utente.