HomeBlogAnalyticsNuove Linee Guida sui cookie: quant’è compliant il tuo sito web?

Nuove Linee Guida sui cookie: quant’è compliant il tuo sito web?

È trascorso un mese dall’entrata in vigore delle nuove Linee Guida sulla gestione dei cookie e di tutti gli strumenti di tracciamento definite dal Garante della Privacy.

Per questo motivo c’è ancora più attenzione intorno al tema dei cookie, quei piccoli file di testo che, una volta installati sul browser dell’utente, salvano informazioni sul suo comportamento online e sulle sue preferenze. Da anni, queste tracce lasciate in Rete come briciole sono oro per editori e professionisti del marketing, che possono migliorare l’esperienza di navigazione, analizzare il traffico al proprio sito e mostrare contenuti rilevanti e annunci personalizzati al pubblico giusto.

Le Linee Guida in questione, rispetto al GDPR, forniscono delle precisazioni circa le corrette modalità di acquisizione del consenso online, con l’obiettivo di rafforzare il potere decisionale degli utenti sull’uso dei loro dati personali.

In questo articolo cercheremo di descrivere le principali novità introdotte dal Garante e gli adempimenti necessari a garantire la protezione dei dati personali dei tuoi visitatori.

Come adeguare il proprio sito web alle nuove Linee Guida

Rendere un sito web conforme alle tante disposizioni privacy non è cosa semplice, anche perché il Regolamento in vigore ci dice cosa fare, ma non come. Ecco perché una check-list può rappresentare un buon punto di partenza per verificare quanto il tuo sito sia conforme. Iniziamo!

1) Hai aggiornato la privacy e la cookie policy?

L’informativa privacy è ormai condizione necessaria. Deve spiegare in modo chiaro e trasparente quali dati degli utenti saranno raccolti, secondo quali modalità, come verranno trattati, da chi e per quale scopo. Secondo l’Autorità, la privacy policy deve essere facilmente fruibile, senza discriminazioni, e dev’essere scritta con un linguaggio semplice. Ricorda che attraverso la privacy policy gli utenti del tuo sito vengono a conoscenza dei propri diritti sulle loro informazioni che raccogli, quindi sii scrupoloso e chiedi l’aiuto di un legale o del DPO.

Anche la cookie policy è un elemento che fa parte della privacy policy. Questa descrive dettagliatamente le tipologie di cookie installati dal sito e da terze parti, con le relative finalità. Molte CMP (Consent Management Platform) ti rendono la vita più semplice, grazie alla possibilità di generare automaticamente il documento dopo una scansione del sito.

2) Hai predisposto il banner per la raccolta del consenso?

Per i cookie non tecnici e di profilazione, il Garante ribadisce la necessità di acquisire il consenso dell’interessato. Dunque, oggi non è più possibile menzionare il concetto di “legittimo interesse” come base giuridica. Il consenso deve anzi essere (1) liberamente prestato, non estorto; (2) specifico, granulare ed (3) espresso in maniera inequivocabile, tramite un atto positivo da parte dell’utente, come il flag di una casella. Ciò significa che il semplice scorrimento  di pagina (scrolling) non è più idoneo ad esprimere una manifestazione di volontà ad essere tracciati. Anche servirsi dei cosiddetti “cookie-wall” (meccanismi di take it or leave it nel quale l’utente viene obbligato a esprimere il proprio consenso alla ricezione di cookie di profilazione, pena l’impossibilità di accedere ai contenuti del sito) non è più considerato lecito, in quanto limita la libertà di scelta dell’utente.

Il consenso è da richiedere attraverso un banner, che dovrà comparire alla prima visita – fin qui, nessuna novità – e avvisare della possibilità di accettare il tracciamento, ma anche di poter proseguire la navigazione rifiutandolo (ad esempio cliccando sulla “X” in alto a destra o su uno specifico bottone).

Secondo il Garante Privacy, il banner cookie deve avere dimensioni tali da essere facilmente visibile e creare una certa “discontinuità” nella fruizione dei contenuti della pagina.

L’Autorità sottolinea anche l’esigenza, per i comandi, di utilizzare gli stessi elementi grafici e le stesse dimensioni per non ingannare gli utenti.

Per quanto riguarda i contenuti, il banner deve contenere:

  • Una breve informativa sull’utilizzo da parte del sito di cookie tecnici ed eventuali cookie di profilazione;
  • Il link alla cookie policy;
  • Un comando per accettare gli strumenti di tracciamento e uno per rifiutarli;
  • Un link a un’area dedicata in cui l’utente possa selezionare in modo granulare i cookie di profilazione pubblicitaria e/o statistica a cui acconsentire.

È importante che gli utenti possano, in qualsiasi momento, accedere nuovamente al banner e revocare o modificare le loro scelte attraverso un’apposita area nel sito, in genere collocata nel footer. 

Per quanto riguarda il periodo di validità delle preferenze di consenso, il titolare del sito non deve riproporre il banner, salvo che:

  1. Non siano trascorsi 6 mesi dal rilascio del consenso; 
  2. Non sia avvenuto un cambiamento significativo nelle condizioni o nelle finalità del trattamento, come nel caso di un aggiornamento della vendor list;
  3. Il titolare non abbia modo di tenere traccia del consenso precedente (ad esempio, se l’utente ha cancellato i cookie dai propri device).

3) Hai attivato il blocco preventivo dei cookie?

Per impostazione predefinita e in linea col principio di privacy by default, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici deve essere installato nel dispositivo dell’utente, fintanto che questi non abbia selezionato quali accettare.

Questo implica che, tranne i cookie necessari al funzionamento del sito, le altre categorie di cookie debbano essere disabilitate. L’immagine che segue mostra l’area di gestione delle preferenze di un sito che utilizza Iubenda come CMP:

Un altro tema importante e che genera ancora molti dubbi riguarda i cookie analitici. Sono cookie tecnici – parte di quelli “strettamente necessari” – o sono cookie di profilazione? Beh, dipende. Devi sapere che l’indirizzo IP di un utente rientra a tutti gli effetti fra i suoi dati personali. Questo comporta che, salvando tale informazione in chiaro, potresti identificare in modo univoco tale utente e ricondurlo ad un suo determinato comportamento. In questo caso, è necessario il consenso affinché tu possa trattare questi dati che, se incrociati con altri, potrebbero fornirti una qualche profilazione. 

Per poter assimilare i cookie analytics ai cookie tecnici, e quindi non dover raccogliere alcun consenso, il Garante impone la presenza di tre requisiti, tutti necessari:

  • Tali cookie non devono consentire l’identificazione di uno specifico utente, ad esempio anonimizzando l’indirizzo IP;
  • Il loro utilizzo dev’essere limitato alla produzione di statistiche aggregate;
  • I dati raccolti non devono essere condivisi a terzi ed elaborati con altri dati di terze parti.

4) Stai raccogliendo la prova dei consenti acquisiti?

Il titolare di un sito è tenuto a dimostrare di aver ottenuto un valido consenso secondo gli standard del GDPR. In caso di controversia, il Garante può esaminare il browser dell’utente e comparare le informazioni con il registro delle preferenze. 

E per i consensi già raccolti in precedenza? Quelli conformi alle previsioni del Regolamento possono essere ritenuti validi a condizione che, al momento della loro acquisizione, siano stati registrati e siano documentabili.

5) And last, buy not least…hai adeguato anche i form di contatto?

Nulla di nuovo, giusto un reminder. Il GDPR impone il consenso anche per i moduli di contatto, come l’iscrizione alla newsletter, la richiesta di demo e l’invio di mail di marketing. Perciò, quando l’utente lascia i suoi dati personali – come nome ed email – deve acconsentire esplicitamente al trattamento dei dati e dichiarare di aver visionato la normativa sulla privacy.

Accertati, quindi, che i tuoi form di raccolta lead utilizzino la corretta dicitura prevista e contengano l’ormai noto checkbox GDPR, obbligatorio per l’invio del modulo. Se possibile, sfrutta anche il doppio opt-in, un meccanismo che prevede, in una prima fase, che l’utente compili il form, e successivamente, che riceva un’email di conferma con un link di verifica.  

Riepilogando:

• Mantieni aggiornate privacy e cookie policy: utilizza un linguaggio chiaro e semplice e sii trasparente.

• Implementa/aggiorna il banner per raccogliere il consenso degli utenti: predisponi anche un comando per rifiutare i cookie e permetti a ciascun utente di scegliere a quale tracciamento acconsentire.

• Assicurati di non installare alcun cookie o sistema di tracciamento diverso da quelli tecnici fino all’acquisizione del consenso esplicito dell’utente.

• Documenta e archivia i consensi validi raccolti, come prova in caso di controversia o di un controllo da parte del Garante Privacy.

• Prediligi l’utilizzo di una CMP le cui funzionalità ti aiutino a rendere il tuo sito GDPR compliant, garantendo agli utenti il rispetto della loro privacy.

È chiaro che il panorama normativo relativo al corretto trattamento dei dati personali sia in costante aggiornamento. Accertarsi di rispettare le disposizioni vigenti e la privacy degli utenti dev’essere una assoluta priorità per tutti i proprietari di siti web.

Non è tuttavia l’unico aspetto da considerare: il fatto che i governi di tutto il mondo stiano cercando di risolvere i problemi legati alla privacy accende un altro tema di discussione, quello della progressiva eliminazione dei cookie di terze parti. Prossimamente affronteremo anche l’impatto della cosiddetta “Rivoluzione Cookieless” sull’intera industry della pubblicità digitale.

Stay tuned!

 
 
AUTORE

Jessica Rando

Da piccola giocava con la calcolatrice da tavolo del nonno; oggi si occupa di Digital Analytics. Organizzatrice seriale: vive di to-do-list. Romantica: quando non ha a che fare con numeri e grafici, legge romanzi storici o si rifugia nel suo luogo sicuro, il mare.
 
 

Vuoi scrivere per noi?

Contattaci per proporre un articolo o segnalarci un contenuto interessante.