Introduzione
Da qualche anno ci siamo abituati ad incontrare, nella quasi totalità dei siti web che visitiamo, un banner più meno invadente, che ci informa della presenza dei cd. “cookies“, chiedendoci di accettare o rifiutare il loro utilizzo.
L’obiettivo del presente approfondimento è quello di fare chiarezza sui casi e le circostanza in cui sia effettivamente obbligatorio implementare un banner dei cookie, sfatando il comune malinteso in forza del quale molti ritengono che la presenza del predetto banner sia sempre necessaria.
Sommario
- Cosa sono i “cookie”
- Tipologie di cookie
- Quadro normativo
- Quando è necessario il consenso dell’utente
- La corretta implementazione del “cookie banner”
- Come redigere una cookie policy efficace
- Conclusioni
1. Cosa sono i “cookie”
La parola cookie deriva dell’inglese “biscotto“. Le ragioni di tale insolita circostanza risiedono nella famosa favola di “Pollicino”, il quale, per evitare di smarrire la strada che stava percorrendo, lasciava delle briciole lungo il sentiero.
I cookie sono in effetti piccoli file di testo che vengono memorizzati sul dispositivo dell’utente quando questo visita un sito web. Hanno diverse funzioni, come memorizzare le preferenze dell’utente, raccogliere informazioni statistiche sul traffico web e permettere una navigazione più fluida e personalizzata.
Negli ultimi anni, la privacy online è diventata un tema centrale nella vita quotidiana. Ogni azione che compiamo in rete, dai siti che visitiamo alle informazioni che condividiamo, può essere tracciata e registrata. Questo ha sollevato non poche preoccupazioni relative alla privacy e alla sicurezza dei dati personali, portando le istituzioni a intervenire per regolamentare l’uso dei cookie, al fine di proteggere i diritti degli utenti.
La normativa che regola l’utilizzo dei cookie in Italia e in Europa è piuttosto articolata. Al centro troviamo il Regolamento Generale sulla Protezione dei Dati (GDPR) del 2016, che ha introdotto regole stringenti sulla raccolta e l’utilizzo dei dati personali. A livello nazionale, il Garante per la protezione dei dati personali ha emesso diverse disposizioni applicative e chiarimenti in merito all’uso dei cookie. Ad esempio, nel 2020 è stata pubblicata una guida che distingue tra cookie tecnici e di profilazione, stabilendo in quali casi è necessario ottenere il consenso dell’utente e come questo debba essere manifestato. L’elemento chiave è la trasparenza: gli utenti devono essere informati sull’utilizzo dei cookie e avere la possibilità di scegliere se accettarli o meno.
2. Tipologie di cookie
Cookie Tecnici
I cookie tecnici sono fondamentali per il corretto funzionamento di un sito web, permettendo agli utenti di navigare senza interruzioni e di utilizzare tutte le funzioni disponibili. Tali cookie non raccolgono informazioni per fini di marketing, ma servono, ad esempio, a memorizzare le preferenze di lingua, a gestire il carrello della spesa in un e-commerce, o a facilitare alcune procedure di autenticazione.
Cookie Analitici
Questo tipo di cookie è utilizzato per raccogliere informazioni anonime sul comportamento degli utenti durante la navigazione, permettendo così ai gestori del sito di ottimizzare i contenuti e offrire un servizio migliore. Possono essere creati sia dal titolare del sito web che da terze parti e, se configurati per raccogliere dati in forma aggregata, non richiedono il consenso esplicito dell’utente.
Cookie di Profilazione
I cookie di profilazione hanno lo scopo di creare profili utenti per inviare pubblicità mirata in linea con le preferenze manifestate durante la navigazione. A differenza delle altre categorie, l’utilizzo di questi cookie richiede il consenso preventivo e informato dell’utente, che deve avere la possibilità di accettare o rifiutare l’uso di tali cookie.
Cookie di Terze Parti
Si tratta di cookie creati da siti web diversi da quello che l’utente sta visitando. Essi permettono di offrire servizi addizionali e funzionalità, come i video di YouTube incorporati in una pagina web o i pulsanti di condivisione per i social network. La gestione delle informazioni raccolte da “terze parti” è governata dalle relative informative, alle quali si deve fare riferimento.
3. Quadro normativo
Il Regolamento Generale sulla Protezione dei Dati (GDPR)
Il GDPR, entrato in vigore nel 2016, rappresenta il punto di riferimento principale per la protezione dei dati personali all’interno dell’Unione Europea. Questo regolamento ha introdotto obblighi precisi per le aziende in termini di trasparenza e consenso, richiedendo un’informativa chiara e dettagliata sull’uso dei cookie e consentendo agli utenti di esprimere le proprie preferenze in modo libero e consapevole.
Normativa Italiana Specifica
In Italia, il riferimento normativo principale è costituito dal Codice in materia di protezione dei dati personali (D. Lgs. 196/2003, noto anche come “Codice Privacy“), integrato e modificato dal D. Lgs. 101/2018 per armonizzarlo con il GDPR. Il Garante per la protezione dei dati personali ha poi emanato provvedimenti specifici sull’uso dei cookie, delineando i casi in cui è necessario ottenere il consenso degli utenti e le modalità per farlo.
Le Sanzioni in Caso di Non Conformità
Il mancato rispetto delle normative può comportare sanzioni significative. Le ammende previste dal GDPR possono raggiungere fino al 4% del fatturato annuo globale dell’azienda o 20 milioni di euro, a seconda di quale valore sia più alto. In Italia, le sanzioni possono essere sia amministrative che penali e il Garante può intervenire con provvedimenti che vanno dalla prescrizione di misure correttive fino al blocco del trattamento dei dati.
4. Quando è necessario il consenso dell’utente
Eccezioni al consenso: Cookie tecnici e analitici.
Per quanto riguarda i cookie tecnici e analitici (questi ultimi solo se utilizzati direttamente dal gestore del sito per raccogliere informazioni in forma aggregata e anonima sul numero degli utenti e su come questi visitano il sito), non è necessario ottenere il consenso preventivo degli utenti. Tuttavia, è obbligatorio fornire un’informativa, che può essere facilitata attraverso una privacy policy ben strutturata, dove gli utenti possono trovare tutte le informazioni necessarie circa l’utilizzo dei propri dati.
Cookie di profilazione e il consenso esplicito
I cookie di profilazione, che servono a creare profili relativi all’utente per inviare messaggi pubblicitari in linea con le preferenze manifestate durante la navigazione, richiedono, invece, un consenso esplicito e preventivo dell’utente, che deve essere manifestato attraverso una dichiarazione esplicita o attraverso un’azione inequivocabile, come potrebbe essere il clic su un banner.
L’uso dei cookie da parte delle terze parti
Anche i cookie installati da terze parti richiedono il consenso dell’utente. Essendo questi spesso utilizzati per fini di profilazione, il gestore del sito web deve fornire i link alle informative e ai moduli di consenso delle terze parti, consentendo agli utenti di esprimere le loro preferenze.
Un’eccezione è costituita da quei servizi di terze parti che non comportano lo scambio di cookie con server di terzi, ma solo il trattamento di “dati di utilizzo.” Come ad esempio Google Maps JavaScript API v3, utile per l’implementazione di una mappa nel proprio sito web. In questi casi basterà fornire agli utenti un’adeguata informativa circa il trattamento degli anzidetti “dati di utilizzo”.
5. La corretta implementazione del “cookie banner”
Struttura del Banner
La creazione di un banner efficace e conforme alla normativa deve includere alcuni elementi chiave: una breve descrizione dei tipi di cookie utilizzati dal sito, un link alla cookie policy completa e uno strumento che permetta agli utenti di esprimere il loro consenso in modo esplicito.
Scelte distinte per ogni categoria di Cookie
Per andare oltre il semplice “accetta tutti i cookie”, è consigliabile fornire una sezione dove gli utenti possono esprimere le loro preferenze in modo più granulare, accettando o rifiutando specifiche categorie di cookie.
Facilitare la revoca del consenso
Gli utenti dovrebbero avere la possibilità di modificare le proprie preferenze in qualsiasi momento, attraverso una sezione facilmente accessibile del sito. Questo non solo garantisce una maggiore fiducia da parte degli utenti, ma è anche una pratica richiesta dalla normativa vigente.
Documentazione e registro dei consensi
Infine, è importante tenere un registro dei consensi raccolti, in modo da poter dimostrare, in caso di controllo, di operare in piena conformità con la legga. È quindi consigliabile implementare strumenti che consentano di documentare e conservare le scelte degli utenti in modo sicuro e conforme.
6. Come redigere una cookie policy efficace
Il contenuto minimo di una cookie policy
Una cookie policy conforme alle indicazione del Garante dovrebbe includere:
- Una definizione chiara e comprensibile di cosa sono i cookies e come vengono utilizzati nel tuo sito web.
- Una distinzione chiara tra i vari tipi di cookies utilizzati (tecnici, analitici, di profilazione, ecc.).
- Informazioni sui terzi che potrebbero avere accesso alle informazioni raccolte tramite i cookies.
Le informazioni da fornire sull’uso dei cookie
È cruciale fornire dettagli specifici sull’uso dei cookies, incluso:
- Quali cookies sono utilizzati e con quale finalità.
- Come un utente può controllare, gestire o eliminare i cookies dal suo dispositivo.
- Se e come le informazioni raccolte tramite cookies vengono condivise con terze parti.
Ricorda che una cookie policy non è un documento statico e dovrebbe essere aggiornata regolarmente per riflettere qualsiasi cambiamento nel modo in cui il tuo sito web utilizza i cookies.
7. Conclusioni
In questo approfondimento abbiamo visto che non tutti i siti web necessitano di un banner dei cookie e al contempo che la corretta implementazione di tale strumento risulta cruciale per un gestione dei dati dell’utente in linea con la normativa privacy italiana ed europea.
Sarebbe auspicabile che anche fornitori di servizi e gestori dei siti web si mantengano costantemente aggiornati, anche al fine di evitare implementazioni superflue che potrebbero influenzare negativamente l’esperienza dell’utente e costituire costo evitabile per il proprietario del portale.
Hai dubbi o domande? Contattaci!