Regolamento GDPR e Cookie Policy

Dopo aver affrontato gli aspetti generali del regolamento GDPR vediamo oggi le ultime novità in tema di Cookie Policy entrate in vigore il 9 gennaio 2022.

Il significato di GDPR

Prima di affrontare la Cookie Policy vediamo in breve qual è il significato di GDPR (General Data Protection Regulation) o Regolamento generale sulla protezione dei dati. Si tratta della legge europea sulla privacy che tutela i diritti delle persone rispetto al trattamento dei dati personali. Stabilisce regole uniformi per proteggere e rafforzare i diritti alla riservatezza dei dati di tutti i cittadini dell’UE.

Cosa prevede il regolamento GDPR?

Il Regolamento (UE) 2016/679 per la Protezione dei Dati o GDPR (General Data Protection Regulation) determina le “linee guida” da adottare in materia di Protezione delle Persone Fisiche con riguardo al Trattamento dei Dati nonché alla libera circolazione di tali dati. La legge estende le leggi sulla protezione dei dati dell’UE a tutte le società straniere che trattano i dati personali delle persone nell’UE. Ciò significa che, se il tuo sito web raccoglie ed elabora i dati personali dei visitatori dell’UE il GDPR influenzerà la tua attività anche se non hai alcuna presenza fisica in Europa. L’obiettivo el regolamento GDPR è di dare a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”.

Cookie Policy: cosa è cambiato dal 9 gennaio 2022

Il 9 gennaio 2022 sono entrate in vigore le nuove linee guida sui cookie dei siti web, che il Garante Privacy aveva presentato lo scorso luglio. Ciò significa che da quella data le aziende che ancora non si sono messe in regola rischiano ora sanzioni. Il valore della sanzione è lo stesso di quelle relative a tutte le norme del GDPR ovvero fino al 4 per cento del fatturato annuale dell’azienda.

In questi giorni purtroppo constato che sono ancora molte le PMI che non hanno ancora messo a norma con le nuove linee guida i propri siti aziendali. Come marketing manager B2B devi sollecitare colui che ti fornisce / gestisce il sito web aziendale ad allinearlo immediatamente alle nuove normative.

Cosa sono i cookies?

I cookie sono un piccolo file di testo che viene memorizzato sul dispositivo dell’utente quando naviga in internet con il proprio browser.

Sono anche conosciuti come cookie HTTP, web, Internet o del browser. Sono creati dal server che ospita il sito web e inviati al browser con lo scopo di migliorare la navigazione e personalizzarla in base alle precedenti sessioni in cui il visitatore è atterrato sul sito.

Tipi di cookie

I cookie possono essere di sessione, legati sola alla visita in corso o persistenti, permangono nel browser e si dividono in cookie di

  • cookie di prima parte: quelli installati dal sito visitato, in genere i cookie tecnici
  • cookie tecnici: relativi soprattutto alla navigazione e alla sessione in corso. Sono gli unici che possono essere preimpostati perché sono indispensabili per la fruibilità del sito stesso.
  • cookie di terze parti: quelli installato da un sito diverso da quello visitato. Esempio classico Google Analytics.
  • cookie di profilazione: utilizzati per creare un profilo personale del navigatore sulla base dei suoi comportamenti.

Vediamo ora i punti principali della nuova normativa entrata in vigore il 9 gennaio 2022.

Privacy policy e Cookies policy separate

Non è più possibile avere in un’unica pagina le informazioni relative alla Privacy policy e alla Cookies policy. Abitudine molto diffusa nei siti delle nostre PMI. Da adesso le due policy devono essere sperate e prodotte in tutte le lingue in cui il sito è disponibile. Per quanto riguarda i cookie la normativa prevede che sia fornita una:

  • informativa breve o Cookie Banner
  • informativa estesa o Cookie Policy

Il banner è un elemento che deve essere presentato al primo accesso di qualsiasi pagina del sito, mentre la Cookie policy è un testo descrittivo al quale il visitatore deve sempre poter accedere il cui link, per comodità è posto a piè pagina del sito (footer) che rimane sempre visibile durante tutta la navigazione.

Le caratteristiche del Cookie banner per il consenso esplicito

Il cookie banner richiesto ora dal garante della privacy ha caratteristiche ben precise che occorre rispettare.

Cookie banner ben visibile

Quando il visitatore accede per la prima volta a qualsiasi pagina del sito dovrà visualizzare immediatamente il banner da qualsiasi dispositivo egli acceda. Il banner deve avere dimensioni e forma grafica adeguate a renderlo immediatamente visibile rispetto al resto del sito per rendere semplice la scelta.

Requisiti del Cookie Banner

Il banner deve rispondere a precisi requisiti, ovvero deve contenere:

  • L’informativa breve
  • Il consenso Granulare, i bottoni di “Accetta”, “Rifiuta” “Personalizza” dei cookie
  • Link alla Cookie policy completa
  • X di chiusura in alto a destra che, se selezionato, indica il rifiuto di tutti i cookies diversi da quelli tecnici, ovvero quelli che non compiono nessun tracciamento ma sono necessari al funzionamento del sito. Questa è un’imposizione relativa solo all’Italia e non presente nella normativa EU.
cookie banner
Cookie banner ben visibile e che non deve confondersi con la grafica del sito

Il bottone Personalizza

Bisogna lasciare all’utente la possibilità di personalizzare la propria navigazione scegliendo quali cookies di profilazione, o strumenti di tracciamento non tecnici, desidera attivare anche in relazione alle terze parti. Il bottone personalizza consente in pratica un consenso granulare.

Attenzione che tutte le opzioni dovranno essere deselezionate perché l’utente deve dare il proprio consenso tramite un’azione che non sia equivocabile.

cookie policy consenso granulare
Consenso granulare per tipologia di cookie

Memorizzazione delle scelte dell’utente

Qualsiasi sia la scelta del visitatore del tuo sito aziendale ricorda che la devi memorizzare per non riproporre più il banner nelle successive visite a sito per un periodo di almeno sei mesi a meno che:

  • siano, ovviamente, passati più di sei mesi
  • i cookies siano stati modificati (ad esempio se ne sono aggiunti di nuovi)
  • il visitatore ha cancellato i cookies dal suo dispositivo

La prova del consenso

Il consenso va registrato su un cookie tecnico che va scaricato sul dispositivo del visitatore del sito aziendale. Ma se l’utente cancella i cookies? La normativa non obbliga alla tenuta di un vero e proprio registro dei consensi ma, se richiesto, devi essere in grado di fornire una prova documentale del consenso al rilascio dei cookies di profilazione, quindi, di fatto, devi memorizzare da qualche parte il consenso del tuo visitatore.

cookie policy log consensi
Log dei consensi prestati dall’utente esportabile in CSV

Per la prova documentale del consenso bisogna quindi tenere traccia in un apposito file di log tutti gli indirizzi IP con i relativi consensi prestati o rifiutati, e in quale data. In caso di controllo può essere richiesto questo file che tutti i sistemi di gestione dei cookie banner offrono in un classico file di testo o csv.

Modifica del consenso all’uso dei cookie

Non solo devi tenere traccia del consenso del visitatore del tuo sito aziendale ma devi anche dargli in ogni momento la possibilità di modificarlo o revocarlo. Il tuo sistema di gestione del cookie banner deve quindi prevedere la possibilità di avere un bottone che sia sempre visibile durante la navigazione con il quale l’utente possa modificare le scelte fatte.

cookie policy modifica impostazioni
Deve sempre essere visibile il bottone che consente di modificare le impostazioni date.

Niente più accettazione con lo scroll della pagina

Se la pratica di considerare lo scroll della pagina come accettazione dei cookies (non è il tuo caso vero?) è già caduta in disuso da molto tempo, ora è proprio vietata. Così come sono vietati i così detti cookies wall ovvero quando si obbliga l’utente ad accettare i cookies per fornire informazioni e servizi. Il caso più classico è il box relativo all’accettazione di materiale promozionale che se non spuntato non permette di andare avanti.

Ripeto: ora queste due pratiche sono espressamente vietate.

Cosa devi fare se non ti sei ancora messo in regola

Affrettarti senza dubbio! Contatta il partner che gestisce il tuo sito aziendale e scuotilo ben bene perché avrebbe dovuto già da tempo proporti di mettere in regola il sito aziendale. Ci sono diversi strumentie software che gestiscono questa attività, ma nella scelta stai attento a chi ti affidi. In Europa è in atto un diatriba per la gestione e trasferimento dei dati di cittadini europei negli USA. Mettiti subito al riparo e scegli i servizi di un’azienda europea.

Contatta inoltre l’avvocato aziendale o il tuo DPO per esaminare la tua Privacy policy alla luce degli ultimi cambiamenti e soprattutto per scrivere la nuova Cookie policy di cui hai bisogno.

Sintesi delle cose da fare per adeguarsi alla normativa

Ecco la lista sintetica delle azioni necessarie per mettersi in regola:

  1. Visualizzare al visitatore un cookie banner alla sua prima visita del tuo sito aziendale;
  2. Inserire nel cookie banner i bottini di: Accetta, Rifiuta (o “X”) e Personalizza;
  3. Tutti i cookies non necessari devono essere disabilitati fino a che il visitatore non esprime il suo consenso;
  4. Consentire un consenso granulare sulle diverse categorie di cookie.
  5. Una volta prestato il consenso, non richiederlo più per almeno 6 mesi nelle visite successive;
  6. Lasciare sempre attiva la possibilità di modificare il consenso prestato in precedenza;
  7. Elencare le finalità di trattamento nel banner;
  8. Memorizzare il consenso prestato per fornire una prova documentale nel caso ti venga richiesta.
  9. Menzionare esplicitamente il diritto di revocare il consenso;
  10. Predisporre dei link separati alla Privacy policy e alla Cookie policy in modo che siano sempre presenti in ogni pagina del sito e l’utente possa aggiornare in qualsiasi momento le proprie preferenze;

Questo articolo NON è una consulenza legale

Non essendo un avvocato e comunque non avendo esperienza in materia legale, devi considerare questo articolo a titolo d’indicazioni generali e non puoi in alcun modo interpretarlo come una consulenza legale. Non puoi quindi basarti su questo articolo per impostare la tua Cookie e Privacy policy.
Ti invito quindi a consultare il tuo legale di fiducia per fare una approfondita analisi dei processi legati ai siti web e alle app aziendali e per aggiornare le informative e gli strumenti di raccolta dei consensi.

Vuoi votare questo articolo?
[( 1 ) 5 su 5]
Altro di tuo interesse...
Scrivi un commento

L'indirizzo email non verrà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.