Cookies, Privacy e GDPR: cosa c’è da sapere per essere a norma

Introduzione ai Cookies

I cookie sono piccoli file di testo che vengono memorizzati sul dispositivo dell'utente mentre naviga in Internet. Svolgono un ruolo importante nel migliorare l'esperienza di navigazione consentendo ai siti web di ricordare informazioni di sessione, preferenze e altre interazioni passate. Grazie ai cookie, gli utenti possono godere di una navigazione più fluida e personalizzata, senza dover ade esempio reinserire continuamente dati come nome utente e password.

Ma andando un più nello tecnico, i cookie sono stringhe di testo che i siti web visitati dagli utenti (cd. publisher, o “prime parti”) o siti e web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utente, perché siano poi ritrasmessi agli stessi siti alla visita successiva.

Esistono differenti tipi di cookie, ognuno con specifiche funzioni e caratteristiche, infatti sono usati per differenti finalità:

• esecuzione di autenticazioni informatiche,

• monitoraggio di sessioni,

• memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server,

• memorizzazione delle preferenze, o per agevolare la fruizione dei contenuti on line, come ad esempio per tenere traccia degli articoli in un carrello degli acquisti o delle informazioni per la compilazione di un modulo informatico ecc.; ma possono essere impiegati anche per profilare l’utente, cioè per "osservarne" i comportamenti, ad esempio al fine di inviare pubblicità mirate, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali. In questo caso si parla di cookie di profilazione.

Lo stesso risultato può essere conseguito anche per mezzo di altri strumenti o tecniche di tracciamento, tra i quali il fingerprinting.

I cookie, quindi, servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

Quali sono le tipologie di Cookie?

1. Cookies tecnici

2. Cookie analitici

3. Cookies di profilazione

Cookies tecnici (navigazione, lingua, carrello e-commerce, autenticazione): sono quelli che permettono al sito di funzionare correttamente, consentendo al visitatore una migliore navigazione del sito. In questo caso dal punto di vista normativo occorre creare solo un'informativa estesa, anche in un’altra pagina, con link diretto dall’home page, elencando i tipi di cookie tecnici e le finalità.

I cookie analitici sono, invece, quelli destinati a fornire al gestore del sito dati meramente statistici, come ad esempio il numero totale di visitatori del sito e di ogni sua pagina per ciascuna determinata fascia oraria.

• Cookies analytics propri (prima parte): sono trasmessi dal proprietario del sito internet, sono stati assimilati in tutto e per tutto ai cookie tecnici. Pertanto, come nel caso precedente, anche qui sarà sufficiente creare solo un'informativa estesa con le stesse modalità indicate sopra.

• Cookies analytics di terzi (come Google Analytics): il proprietario del sito ne ignora la quantità raccolta e le finalità per le quali vengono poi sfruttati, i cookie di terze parti consentono alle aziende di ricostruire le attività degli utenti su diversi siti e quindi fare un profilo più ampio e accurato, per la pubblicità personalizzata.

Quest'ultimi, sono equiparabili ai cookie e agli altri identificatori tecnici solo se:

• vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile,

• viene mascherata almeno la quarta componente dell’indirizzo IP,

• le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (ad esempio, file dei clienti o statistiche di visite ad altri siti) o dal trasmetterli ad ulteriori terzi;

• è tuttavia consentita alle terze parti la produzione di statistiche con dati relativi a più domini, siti web o app che siano riconducibili al medesimo publisher o gruppo imprenditoriale. In caso contrario sarà necessario chiedere il consenso alla loro installazione e dunque occorrerà l’informativa breve, il pulsante per accettare tutti i cookie, quello per rifiutarli tutti e quello per selezionare le categorie di cookie che si vogliono installare.

Infine, i cookies di profilazione servono a creare dei profili relativi all’utente che li incontra durante la sua navigazione, tale profilo viene poi utilizzato a scopi commerciali, attraverso l’invio di messaggi pubblicitari creati su misura in base ai gusti e alle preferenze manifestate in rete dall’utente profilato. I cookie di profilazione consentono insomma di “profilare” l’utente perché il sito grazie a questi file può ricostruire tutte le attività fatte da quel browser e dispositivo nel tempo.

• Cookies di profilazione propria: occorre fornire un'informativa breve con un banner semplificato di consenso espresso tramite il quale si avverte che il sito consente l’invio di cookies di profilazione più il link all'informativa estesa, il pulsante per accettare tutti i cookie, quello per rifiutarli tutti e quello per selezionare le categorie di cookie che si vogliono installare.

• Cookies di profilazione di terzi (come Adsense ads): occorre fornire un'informativa breve con un banner semplificato di consenso espresso tramite il quale si avverte che il sito consente l’invio di cookies di profilazione di terze parti più il link ad informativa estesa, il pulsante per accettare tutti i cookie, quello per rifiutarli tutti e quello per selezionare le categorie di cookie che si vogliono installare.

In sintesi, i cookie di terze parti sono impostati da domini diversi rispetto a quello che l'utente sta visitando. Questi cookie solitamente perseguono obiettivi pubblicitari e di tracciamento, permettendo agli inserzionisti di raccogliere dati sul comportamento dell'utente attraverso i vari siti web. Questa capacità di monitoraggio ha sollevato questioni importanti in merito alla privacy degli utenti, sull'utilizzo e sulla gestione dei dati. È quindi importante che i visitatori di un sito web comprendano la funzione dei cookie e possano esercitare il controllo su come vengono utilizzati per proteggere la propria privacy online.

La Normativa GDPR: Una Panoramica

Il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore nel maggio 2018, rappresenta un passo significativo verso la protezione dei dati personali nell'Unione Europea. Questa normativa ha lo scopo di armonizzare le leggi sulla privacy in tutta Europa, garantendo un ambiente più sicuro per l'elaborazione dei dati personali. La protezione dei dati è diventata una priorità fondamentale non solo per i cittadini ma anche per le Aziende e Organizzazioni che gestiscono informazioni sensibili.

Una delle principali finalità del GDPR è favorire la trasparenza, richiedendo alle aziende di informare gli utenti su come e perché i loro dati sono raccolti, utilizzati e conservati. Ciò implica una chiara comunicazione delle pratiche di trattamento dei dati, in modo che gli individui possano prendere decisioni informate. In questo contesto, il consenso gioca un ruolo cruciale. Gli utenti devono fornire un consenso esplicito e inequivocabile prima che i loro dati possano essere elaborati.

Il GDPR stabilisce, inoltre, una serie di diritti per gli utenti. Tra questi ci sono il diritto di accesso, di rettifica, di cancellazione e di portabilità dei dati. Ciò significa che gli individui hanno il potere di controllare le proprie informazioni personali e di chiedere che vengano eliminate o trasferite. Questo approccio enfatizza l'importanza dell'autonomia degli individui rispetto ai propri dati, rendendo le aziende responsabili nell'uso e nella protezione dei dati stessi.

In sintesi, il GDPR non solo punta alla protezione dei dati personali, ma incoraggia anche un cambiamento culturale nella gestione delle informazioni. La consapevolezza e il rispetto dei diritti degli utenti sono diventati elementi essenziali per le attività aziendali, influenzando profondamente anche le leggi sui cookie e la loro implementazione. La regolamentazione ha lo scopo di creare un rapporto di fiducia tra le aziende e i loro utenti, contribuendo a un panorama di internet più sicuro e rispettoso della privacy.

Implicazioni dei Cookies sulla Privacy

L'uso dei cookies sul web ha un impatto significativo sulla privacy degli utenti, poiché questi strumenti sono progettati per raccogliere e memorizzare informazioni sulle abitudini di navigazione e sulle preferenze personali. I cookies possono essere classificati in due macrocategorie principali: quelli di sessione, che sono eliminati alla chiusura del browser, e quelli permanenti, che rimangono sul dispositivo dell'utente per un periodo definito. I cookies di tracciamento, in particolare, sono una fonte crescente di preoccupazione poiché consentono ai siti web di raccogliere dati dettagliati riguardanti il comportamento online degli utenti.

I rischi associati a questi cookies possono essere significativi, in quanto essi possono comportare una raccolta di informazioni personali senza il consenso esplicito dell'utente. Questo solleva interrogativi cruciali sulla trasparenza e sull'etica nel trattamento dei dati personali. Gli utenti potrebbero non essere pienamente consapevoli del fatto che i loro dati siano monitorati e utilizzati per scopi di marketing o di profilazione, il che rappresenta una violazione della loro privacy. Le implicazioni legate ai cookies diventano ancor più evidenti in contesti normativi come il GDPR, che richiede un approccio rigoroso riguardo al consenso informato e al diritto degli individui sull'accesso e sulla modifica dei propri dati.

Le preoccupazioni comuni degli utenti riguardano la paura di essere esposti a pratiche invasive. Restringere la propria privacy online non è un comportamento da sottovalutare, soprattutto considerando l'attuale panorama digitale. È vitale che i siti web offrano una chiara informativa riguardo all'uso dei cookies, con opzioni trasparenti per accettare o rifiutare la raccolta di dati. Solo attraverso una maggiore consapevolezza e un miglioramento della trasparenza si può garantire una navigazione Internet più sicura e rispettosa della privacy degli utenti.

Consenso e Gestione dei Cookies

Il consenso è un elemento fondamentale nel contesto della gestione dei cookie secondo il GDPR (Regolamento Generale sulla Protezione dei Dati). Esso si riferisce alla necessità di ottenere l'autorizzazione degli utenti prima di raccogliere e trattare i loro dati personali attraverso i cookie. Questo deve essere fatto in modo chiaro e specifico, assicurando che gli utenti comprendano quali dati verranno raccolti e come verranno utilizzati.

Una delle migliori pratiche per ottenere il consenso degli utenti è l'utilizzo di banner informativi. Questi banner devono essere ben visibili e informativi, fornendo dettagli sui cookie utilizzati e le finalità del loro utilizzo. Inoltre, è consigliabile includere opzioni chiare per accettare o rifiutare i cookie, permettendo agli utenti di scegliere in base alle loro preferenze. Risulta essenziale che il banner non sia intrusivo, mantenendo però la necessaria visibilità per assicurare che gli utenti prendano una decisione informata.

È importante distinguere tra consenso esplicito e implicito. Il consenso esplicito si verifica quando un utente compie un'azione chiara, come cliccare su un pulsante di accettazione. Al contrario, il consenso implicito può essere ottenuto attraverso l'uso di cookie già attivi, ma questa pratica è generalmente considerata non conforme al GDPR. Un consenso ben strutturato deve garantire che gli utenti possano ritirare facilmente il loro consenso in qualsiasi momento, rafforzando così il principio di trasparenza.

Fornire informazioni chiare sui cookie è cruciale. Gli utenti devono sapere che tipo di cookie vengono utilizzati, se sono di sessione o permanenti, e con chi verranno condivisi i loro dati.

Il GDPR si applica quando:

• la base operativa dell’organizzazione si trova nell’UE;

• l’azienda, seppure non avente sede nell’UE, offre beni o servizi (anche gratuitamente) a cittadini europei;

• l’azienda, seppure non avente sede nell’UE, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.

Un ambito di applicazione così ampio copre quasi tutte le attività, e pertanto si può concludere che il GDPR si applichi indipendentemente dal fatto che l'azienda si trovi o meno nell’UE.

Obblighi per le Aziende: Cosa Fare per Essere a Norma

Con l'entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), le aziende hanno l'obbligo di garantire che i loro utilizzi di cookie siano conformi alle normative. Per raggiungere questo obiettivo, esistono alcuni passaggi chiave che le aziende devono seguire per essere in linea con i requisiti di legge.

Innanzitutto, le aziende devono elaborare una politica sui cookie chiara e accessibile. Questa politica dovrebbe spiegare quali tipi di cookie vengono utilizzati, per quali scopi e come gli utenti possono gestirli o revocare il loro consenso. È fondamentale che tali informazioni siano presentate in modo trasparente, poiché gli utenti devono avere un accesso facile e diretto a queste informazioni prima di acconsentire all'uso dei cookie sul sito web.

La seconda fase consiste nell'implementare strumenti efficaci per la gestione dei consensi. Le aziende sono tenute a ottenere il consenso esplicito degli utenti prima di installare cookie non essenziali sul loro dispositivo. Questo può essere realizzato tramite banner informativi sui cookie, che devono dettagliatamente spiegare i vari tipologie di cookie. È importante che gli utenti possano facilmente accettare o rifiutare i cookie, nonché modificare le loro preferenze in un secondo momento, in modo da garantire che la gestione dei consensi sia continuativa e semplicemente gestibile.

Un altro obbligo importante è quello di fornire un'informativa agli utenti. Le aziende devono garantire che gli utenti siano ben informati sulle pratiche di trattamento dei dati tranquillamente disponibili sulla loro piattaforma. Questa informativa deve contenere informazioni sui diritti degli utenti, sulle modalità di contatto per domande relative alla privacy e sui dettagli riguardanti eventuali trasferimenti di dati a paesi terzi.

Come fare una Cookie Policy?

Al fine di informare l’utente, il Garante ha previsto che l’avviso debba manifestarsi in due modi distinti, attraverso l’informativa breve e l’informativa estesa. A seconda del caso andranno utilizzate entrambe o meno.

L’informativa breve è necessaria per quei casi in cui si rende necessario il consenso vero e proprio dell’utente (altre volte è sufficiente solo informare l’utente, senza raccoglierne il consenso) e compare all’utente attraverso un banner, non appena questo entra sul sito internet (indipendentemente dal fatto che entri dalla home page o da un’altra pagina).

Per l’informativa estesa, il Garante della Privacy ha precisato che in essa debbono necessariamente essere presenti tutte le informazioni richieste dall’articolo 13 del GDPR.

Come è fatta l’Informativa Breve?

Deve essere contenuta nel banner e deve essere obbligatoriamente presente:

• Avviso all’utente che il sito utilizza cookie di profilazione, e, se il sito se ne avvale, del fatto che tali cookie possano essere anche di terze parti.

• L’indicazione relativa alla facoltà dell’utente di accettare l’installazione di tutti i cookie, rifiutare l’istallazione (attraverso un apposito comando come, ad esempio, una X in alto a destra o un pulsante specifico) o di scegliere le categorie di cookie attraverso il rimando ad una specifica area.

• Il link all’area nella quale poter scegliere le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Le linee guida aggiungono, inoltre, che è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento. Inoltre, l’area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.

• L’indicazione del fatto che chiudendo il banner senza accettare, resteranno installati solo i cookie tecnici necessarie.

• L’indicazione di un link di rinvio alla pagina in cui si trova l’informativa estesa.

• In generale, deve essere presente un registro dei consensi.

Come è fatta l’Informativa Estesa?

La cookie policy del sito deve contenere informazioni riguardanti la natura facoltativa o obbligatoria dei dati raccolti e le conseguenze per l’utente di un suo eventuale diniego a fornire i dati. Se il sito web trasmette cookie di terze parti, il titolare del sito deve fornire tutte le indicazioni su tali soggetti ed integrare la propria informativa con dei link alle cookie policy di tali terze parti.

L’informativa estesa, quindi, deve essere raggiungibile attraverso il link contenuto nel banner dell’informativa breve, inoltre, un ulteriore link, deve essere riportato nella parte inferiore di ciascuna pagina del sito internet.

Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. A tal fine si rende necessario elencare i cookie utilizzati e le singole e relative finalità.

In sostanza, l'informativa estesa deve:

• Contenere tutti gli elementi previsti dalla legge, descrivere le caratteristiche e le finalità dei cookie installati dal sito, elencare gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione delle informazioni e le indicazioni sulla possibilità e sulle modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.

• Contenere i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analytics e da quelli di profilazione.

Conclusioni e Raccomandazioni Finali

Il Regolamento Generale sulla Protezione dei Dati (GDPR) rappresenta un framework giuridico rigoroso per la protezione dei dati personali nell'Unione Europea. L'inevitabile necessità di conformarsi implica che le aziende debbano affrontare sanzioni in caso di violazioni. Le conseguenze per la non conformità possono variare da sanzioni pecuniarie significative a azioni legali da parte degli utenti. È cruciale comprendere queste implicazioni per evitare problematiche legali e garantire il corretto utilizzo dei cookie.

Oltre agli aspetti economici, la non conformità al GDPR può comportare anche azioni legali da parte degli utenti stessi. Gli utenti hanno il diritto di denunciare le aziende che non rispettano i loro diritti di privacy, quindi possono intraprendere azioni risarcitorie per danni subiti. La crescente consapevolezza degli utenti riguardo alla protezione dei dati personali ha reso questo problema ancora più rilevante. Pertanto, le aziende devono prendere sul serio la conformità alla normativa GDPR per tutelarsi da tali conseguenze legali e mantenere la fiducia dei consumatori.

Nel contesto attuale, caratterizzato da una crescente attenzione verso la privacy degli utenti, è fondamentale comprendere a fondo le implicazioni della gestione dei cookie e come queste interagiscono con il Regolamento Generale sulla Protezione dei Dati (GDPR). Il corretto uso dei cookie non solo è una questione di rispetto della normativa, ma rappresenta anche un'opportunità per le aziende di costruire e mantenere la fiducia con i propri utenti. Comunicare in modo chiaro e trasparente l'uso dei cookie sul proprio sito web è quindi essenziale.

Per gli utenti, è cruciale acquisire una maggiore consapevolezza riguardo ai cookie e alle informazioni che possono essere raccolte. Strumenti come le impostazioni dei browser e le opzioni fornite dai siti stessi permettono di gestire quali cookie si desidera accettare.

Per le aziende, la raccomandazione principale è di effettuare una revisione completa della propria politica sui cookie. Questo include l'implementazione di un banner informativo sui cookie che richieda il consenso esplicito degli utenti, fornendo informazioni dettagliate sui cookie utilizzati e sulle finalità del loro trattamento. È anche importante mantenere aggiornati i registri dei consensi e regolare le pratiche aziendali in conformità con le normative vigenti.

Infine, per mettere a norma siti e app in maniera semplice e nel rispetto della normativa consiglio di farlo con iubenda: una soluzione di facile gestione per creare privacy e cookie policy, cookie banner, termini e condizioni, e per gestire le preferenze sulla privacy dei tuoi utenti.