• it
  • en
    • advertising e-commerce expertises Mar-tech

    Cookie Italia: come adeguarsi alle nuove linee guida

    Il 10 luglio 2021 il Garante Privacy ha approvato le nuove linee guida per l’utilizzo dei cookie. Abbiamo creato questa guida per aiutarti a comprendere questi cambiamenti e soddisfarli con il minimo sforzo (la scadenza per la conformità era il 10 gennaio 2022).

    Requisiti chiave e cosa devi fare

    Banner sui cookie

    Il banner costituisce un valido meccanismo per acquisire il consenso degli utenti qualora un sito web utilizzi cookie di profilazione o altri strumenti di tracciamento.

    Il Garante prevede che il banner o, in alternativa, un’area o una finestra visualizzata al primo accesso degli utenti a un sito web contenga i seguenti elementi:

    • una breve informativa sull’utilizzo da parte del sito dei cookie tecnici e degli eventuali cookie di profilazione o altri strumenti di tracciamento, con le relative finalità;
    • un link alla cookie policy che indica eventuali altri destinatari dei dati personali, il periodo di conservazione dei dati e i diritti degli utenti;
    • se si sceglie di utilizzare come forma di consenso la prosecuzione della navigazione attraverso un’azione positiva e inequivocabile, questa deve essere chiaramente indicata nel banner. Si tenga presente, tuttavia, che il “semplice scorrimento” non è considerato un metodo valido per raccogliere il consenso degli utenti;
    • un collegamento ad un’area dedicata dove gli utenti possono effettuare qualsiasi scelta granulare circa le funzionalità, le terze parti e le categorie di cookie da installare;
    • un “comando” per accettare tutti i cookie o altri strumenti di tracciamento;
    • un “comando” per rifiutare tutti i cookie o altri strumenti di tracciamento.

    Dopo che gli utenti hanno già impostato le proprie preferenze di consenso, alle successive visite allo stesso sito non è necessario presentare loro il banner iniziale, ma gli utenti dovrebbero avere accesso alla privacy/cookie policy e ad un’area dedicata dove poter esprimere la propria preferenze a un livello più granulare.

    N.B. Se un sito installa solo cookie tecnici, il banner non è necessario. Le informazioni sull’utilizzo di questi cookie tecnici possono essere inserite nella home page del sito o nell’informativa privacy ecc.

    Raccolta del consenso

    Scorrere verso il basso è ora da considerarsi non idoneo alla raccolta di un valido consenso. L’unica eccezione è se lo scorrimento fa parte di una serie di azioni che indicano inequivocabilmente la volontà degli utenti di fornire il consenso.

    Il Garante considera inoltre illeciti i “cookie wall” a meno che agli utenti non venga offerta una modalità alternativa per accedere al sito, ai contenuti o ai servizi senza dover fornire il proprio consenso (da valutare caso per caso).

    Periodo di validità delle preferenze sui cookie

    Agli utenti potrebbe essere richiesto di fornire nuovamente il consenso solo se:

    • sono cambiate le condizioni di consenso (es. sono stati aggiunti nuovi servizi di terze parti o sono stati eliminati quelli vecchi); o
    • il titolare del sito non dispone di mezzi tecnici per tenere traccia del consenso precedente (es. l’utente ha cancellato il cookie per il consenso depositato sul suo dispositivo); o
    • sono trascorsi almeno 6 mesi dall’ultima volta che hai richiesto il loro consenso.

     

    Cookie di analisi

    I cookie sono da identificare in base a due principali categorie: cookie tecnici e cookie di profilazione.

    Il Garante chiarisce inoltre che i cookie analytics di prima parte possono in linea di principio essere installati senza la raccolta del consenso degli utenti.

    Per quanto riguarda i cookie analytics di terza parte, essi possono essere collocati senza la raccolta del consenso degli utenti solo se ricorrono le seguenti condizioni:

    • non consentono l’identificazione di uno specifico utente (es. utilizzano solo IP abbreviati o non sono assegnati a un solo dispositivo, ma a più dispositivi);
    • il loro utilizzo è limitato a un singolo sito web o applicazione mobile;
    • l’output non è condiviso o divulgato a terzi;
    • i dati raccolti non vengono arricchiti con altri dati.

     

    Prova del consenso

    Il Garante precisa che il titolare di un sito web è tenuto a dimostrare di aver acquisito valido consenso secondo le norme del GDPR.

    Non è più consentito quindi il “proof of consent” ovvero che se uno ha potuto utilizzare il sito è perchè aveva dato il consenso (altrimenti si sarebbero disabilitate delle funzionalità) e quindi l’uso era esso stesso prova del consenso. Ora il consenso deve essere registrato in un apposito registro consultabile all’occorrenza (per questo diventa fondamentale utilizzare uno dei servizi menzionati in seguito).

    Ricorda che la scadenza obbligatoria per la conformità era il 10 gennaio 2022, e da tale data saranno considerati validi solo i consensi registrati secondo gli standard GDPR.

     

    Motivi legali diversi dal consenso degli utenti

    Il Garante precisa espressamente che i cookie (e altri tracker) non possono essere collocati su alcuna base giuridica diversa dal consenso degli utenti o, ricorrendone i presupposti dell’eccezione “strettamente necessaria” (ossia cookie strettamente necessari ed utilizzati unicamente per eseguire o facilitare la comunicazione o fornire il servizio esplicitamente richiesto dall’utente) senza il consenso degli utenti.

    Il “legittimo interesse” del titolare del sito web non costituisce una valida base giuridica.

    Soluzioni per il Cookie Consent

    Esistono diversi servizi che possono aiutare a risolvere il “problema” di essere aderenti alla nuova legislazione, spesso gratuiti per siti con poche pagine (generalmente sotto 100 pagine) ma a pagamento quando iniziamo ad avere siti di una certa dimensione.

    Quale il migliore? Come sempre dipende dalla tipologia di sito che si ha. Si va da soluzioni che prendono in esame solo GDPR e legge italiana, a soluzioni più complesse che prendono in esame anche legislazione CCPA (California Consumer Privacy Act). 

    Queste le più usate e funzionali:

    Cookiebot è una soluzione molto semplice e probabilmente più utilizzata, grazie al basso costo (con 3 profili a seconda della grandezza per avere sempre un costo certo ogni mese) e semplicità di utilizzo. Ha una versione gratuita per i micro siti ed è nata già con il registro dei consensi, cosa fondamentale per essere aderenti alla nuova normativa.

    Iubenda, che offre una soluzione gratuita fino a 25.o00 pagine viste anno e fornisce soluzioni comprensive anche della privacy policy (usando questo link http://iubenda.refr.cc/TCQX8V7 usufruirete di un 10% di sconto nella versione a pagamento).

    Cookiepro invece è la soluzione conosciuta di OneTrust, molto simile a Cookiebot e di cui condivide il modello del piano di pagamento.

    I proprietari dei siti avevano tempo fino al 10 gennaio 2022 per conformarsi (ovvero 6 mesi dalla pubblicazione delle linee guida sulla Gazzetta ufficiale il 9 luglio 2021) per non incorrere in pesanti sanzioni. 

    Gli scenari sono due:

    • omessa o inidonea informativa per cui scatta una sanzione da 6.000 a 36.000 euro;
    • installazione di cookie senza consenso per cui si applica una sanzione da 10.000 a 120.000 euro.

     Non farti trovare impreparato! Le soluzioni sono semplici e di facile installazione!

    I problemi arriveranno poi dalle campagne ads, ma questa è un’altra storia (e noi la conosciamo bene .) )

    Tags:
    Pubblicato da Giulia Carnovale