GDPR & Cookies

Il GDPR è una normativa della UE: essa costituisce l’iniziativa più significativa sulla protezione dei dati degli ultimi 20 anni.

La finalità è volta alla protezione delle “persone fisiche in merito al trattamento dei dati personali e alla libera circolazione di tali dati”, ad esempio l’utente di un sito web.

I cookie sono menzionati solo una volta nelle 88 pagine che costituiscono il Regolamento. Tuttavia, quelle poche righe hanno un impatto significativo sulla conformità dei cookie:

(30): “Le persone fisiche possono essere associate a identificatori online […] come indirizzi di protocolli Internet, identificatori di cookie o altri identificatori […]. Ciò potrebbe lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, potrebbero essere utilizzate per creare profili delle persone fisiche e identificarle.”

In altre parole: si parla di dati personali quando i cookie sono in grado di identificare un individuo.

Ad ogni modo, cosa c’è dietro un cookie?


I cookie sono piccoli file automaticamente rilasciati sul tuo computer mentre navighi in rete. Sono, di fatto, innocue porzioni di testo memorizzate localmente e che possono essere facilmente visualizzate ed eliminate.

Ma i cookie possono fornire una visione approfondita delle tue attività e preferenze, e possono essere utilizzati per identificarti senza il tuo esplicito consenso.

Ciò rappresenta una grave violazione, dal punto di vista legale, e man mano che le tecnologie dei dati divengono sempre più sofisticate, la tua privacy come utente è sempre più compromessa.

Spesso i cookie neanche provengono dal sito web che stai visitando, bensì da terze parti che ti seguono per scopi di marketing. Tutto ciò accade “dietro le quinte”.

Anche se non tutti i cookie sono utilizzati in un modo da poter identificare gli utenti, la maggior parte di essi (e quelli più utili per i proprietari dei siti web) sono e saranno soggetti al GDPR.

I cookie rilasciati per analisi, pubblicità e servizi funzionali, come strumenti di sondaggio e di chat, sono tutti esempi di cookie capaci di identificare gli utenti.

I cookie presentano due problemi: uno relativo alla privacy: cosa viene registrato?, e uno inerente alla trasparenza: chi ti sta monitorando? per quale scopo? dove andranno i dati e per quanto tempo resteranno in giro?

Requisiti: in che modo garantire la conformità del tuo sito al regolamento GDPR?


In qualità di proprietario del sito web, adottare le misure necessarie per conformare il sito al GDPR significa esaminare l’elaborazione dei dati e assicurarti che i dati personali siano gestiti secondo le nuove normative.

Ad esempio, il Regolamento generale sulla protezione dei dati considera come dati personali un nome, una foto, un indirizzo e-mail, le coordinate bancarie, i post sui siti web dei social network, le informazioni mediche o gli indirizzi IP del computer.

Se il tuo sito web o la tua organizzazione elaborano dati (a) direttamente personali, o (b) che potrebbero essere combinati o isolati al fine di identificare un individuo, allora il sito o l’organizzazione dovranno essere rivisti per conformarsi ai requisiti.

Mappa e valuta i dati sensibili della tua organizzazione, esamina le tue politiche di sicurezza e assicurati che i dati siano protetti.

I due aspetti principali di cui essere consapevole sono:

1. Come archiviare i dati dei clienti e degli utenti della tua organizzazione, e

2. I cookie sul tuo sito web (sia di prima che di terza parte).

L’adeguamento della tua politica sui cookie e del tuo consenso sui cookie rappresentano una parte significativa di questo processo.

Quali caratteristiche dovrebbero essere presenti in un consenso sui cookie conforme alla normativa?


Uno dei requisiti più concreti del GDPR è costituito dalla definizione di un adeguato consenso sui cookie, nel senso che il consenso deve essere:

  • Informato: perché, come e dove vengono utilizzati i dati personali? Deve essere chiaro, per l’utente, a cosa viene dato il consenso, e deve essere possibile selezionare e deselezionare i vari tipi di cookie.
  • Basato su una scelta reale: ciò significa, ad esempio, che l’utente deve avere accesso al sito web e alle sue funzioni, anche rifiutando i cookie.
  • Dato per mezzo di un’azione affermativa, positiva, che non può essere male interpretata.
  • Previo: Richiesto prima del trattamento iniziale dei dati personali.
  • Modificabile: dovrà essere facile, per l’utente, cambiare idea e ritirare il consenso.

Inoltre,

  • L’utente ha il diritto di essere dimenticato. Su richiesta dell’utente, tutti i suoi dati personali devono essere correttamente eliminati.
  • Tutti i consensi devono essere registrati come documentazione che il consenso è stato dato.

Com’è un messaggio cookie conforme?


I requisiti sopra riportati rendono obsoleta la maggior parte delle notifiche sui cookie utilizzate prima dell’implementazione del regolamento GDPR. Ad esempio, il consenso implicito e il consenso dato semplicemente visitando un sito non sono sufficienti.

Lo stesso vale per i pop-up e per i banner indicanti la dicitura “Utilizzando questo sito, si accettano i cookie”.

Anche un semplice pulsante “ok” per accettare i cookie non è sufficiente.

Ad esempio, questa dicitura non è sufficiente:

In che modo il regolamento GDPR influirà sulla mia politica sui cookie?


Il Regolamento generale sulla protezione dei dati implica che dovrai rivedere la tua politica sui cookie, assicurandoti che sia conforme alle normative.

La direttiva UE sulla e-privacy richiede che il consenso da parte degli utenti del tuo sito sia preventivo e informato, mentre il Regolamento generale sulla protezione dei dati (GDPR) richiede la documentazione di ciascun consenso.

Allo stesso tempo, dovrai essere in grado di sapere quali saranno i dati utente condivisi con i servizi di terze parti incorporati sul tuo sito web, e in quale parte del mondo verranno inviati tali dati.

Una politica sui cookie conforme al GDPR e alla normativa sulla e-privacy deve soddisfare i seguenti requisiti:

Una politica trasparente sui cookie


La politica sui cookie deve essere conforme alle normative e deve fornire all’utente una panoramica chiara sulle modalità in cui i cookie saranno utilizzati sul sito web in qualsiasi momento.

Panoramica e responsabilità per i cookie sul tuo sito web


Potresti essere sottoposto a controlli e tenuto a rispondere esaustivamente in merito alle elaborazioni dei dati contestuali alla connessione al tuo sito web.

Ciò è più facile a dirsi che a farsi, in quanto la maggior parte dei siti web contiene un gran numero di cookie di terze parti fluenti attraverso il loro sistema.

Consenso richiesto mediante un’azione affermativa


Il più grande cambiamento per i cookie e per il monitoraggio online in relazione al GDPR è costituito dal fatto che il consenso deve essere dato secondo una chiara azione affermativa.

I cittadini dell’UE sono ormai abituati, e probabilmente anche infastiditi, dai banner presenti su tutti i siti web e dalle relative diciture sull’uso dei cookie, richiedenti talvolta null’altro che la selezione del pulsante ok, ma senza offrire una vera possibilità di scelta.

Grazie ai regolamenti, questo non è più sufficiente. Il consenso deve essere dato in forma di azione affermativa e positiva, e il rifiuto dei cookie deve costituire un’effettiva opzione.

Possibilità di ritirare il proprio consenso in qualsiasi momento


L’utente deve poter ritirare il proprio consenso.

È quindi importante assicurarsi che gli utenti abbiano accesso al proprio attuale stato di consenso in ogni momento, e che possano modificarne le impostazioni o ritirare completamente il proprio consenso.

Rinnovo del consenso


Ogni 12 mesi, il consenso dovrebbe essere rinnovato, contestualmente alla prima visita dell’utente sul sito.

Accessibilità, non sproloqui incomprensibili


Una sfida posta dal GDPR è rappresentata dal fatto che, da un lato, l’uso dei cookie dovrebbe essere trasparente e agli utenti dovrebbe essere data una visione approfondita del modo in cui vengono utilizzati i dati.

Dall’altro lato, tuttavia, la comunicazione dovrebbe essere chiara e facile da capire, in modo che l’utente possa davvero scegliere.

Consenso preventivo


Con il GDPR, il consenso dell’utente deve essere dato prima dell’impostazione dei cookie, in modo che vengano memorizzati solo i cookie strettamente necessari.

I consensi devono essere registrati come elementi di prova


Tutti i consensi devono essere archiviati in modo sicuro, in modo che possano essere utilizzati come prova in caso di controllo.