GDPR, Cookie, Privacy, Banner Nel Sito: Update 11/2020
25 Nov
Aggiornamento delle linee guida GDPR
Le Linee Guida dell’EDPB 04/05/20 modificano in alcune parti ed integrano quelle già adottate il 28/11/2017 ed aggiornate il 10/04/2018.
Ai sensi dell’art. 4(11) del GDPR il Consenso deve essere inteso come:
qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento
Secondo le disposizioni il Consenso deve essere una “decisione reversibile“, ossia deve essere soggetto a revoca quale diritto dell’interessato nel più ampio ambito del suo potere di controllo sui dati.
In particolare, l’EDPB ha ritenuto necessari chiarimenti in merito soprattutto a due questioni:
- la validità del consenso fornito dall’interessato che interagisca con i cookie wall (tipicamente espressi con un banner)
- l’azione di scroll come atto di consenso online
I punti principali di tali linee guida sono i seguenti:
- I permessi all’installazione dei cookie diversi da quelli necessari non possono più essere accorpabili in un semplice “accetto tutto”, senza gestione granulare del consenso che permetta anche un suo rifiuto (anche parziale) ed una sua successiva revoca
- Lo scroll o il cambio pagina NON sono più considerate “azioni positive” che costituiscono consenso ed è quindi necessaria un’azione esplicita da parte dell’utente (~ click sul bottone)
- Per rimozione dell’accettazione dei cookie (raggruppati in categorie), successiva all’accettazione, bisogna garantire all’utente la medesima facilità di accesso e gestione della funzionalità e della granularità dei permessi
- Il consenso deve essere dimostrato, per cui bisogna tenere un registro certificato tracciando per ogni utente (con un ID tracciato da un cookie tecnico!) quando è avvenuta l’accettazione, cosa è stato accettato, eventuali modifiche delle accettazioni
- I cookie tecnici e meramente statistici possono continuare ad essere installati senza consenso, previo presenza di informativa aggiornata.
A tale proposito il Garante Privacy italiano aveva già chiarito che i cookie di Google Analytics sono riconosciuti come meramente statistici qualora si rispettino le seguenti condizioni:
– IP anonimizzati
– accettazione emendamento Google
– nessuna meta profilazione (remarketing, signals etc.)
Banner nel sito web e informativa Cookie
Il garante ha pubblicato un contenuto esplicativo molto chiaro sull’utilizzo di banner informativi o per il consenso: Cookie e privacy: dalla parte degli utenti.
1. Cosa sono i cookie?
I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. “terze parti” vengono, invece, impostati da un sito web diverso da quello che l´utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.
2. A cosa servono i cookie?
I cookie sono usati per differenti finalità : esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.
3. Cosa sono i cookie “tecnici”?
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall´utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell´estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l´identificazione dell´utente nell´ambito della sessione, risultano indispensabili.
4. I cookie analytics sono cookie “tecnici”?
No. Il Garante (cfr. provvedimento dell´8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
5. Cosa sono i cookie “di profilazione”?
Sono i cookie utilizzati per tracciare la navigazione dell´utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell´utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.
6. È necessario il consenso dell´utente per l´installazione dei cookie sul suo terminale?
Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.
Per l´installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679). I cookie di profilazione, invece, possono essere installati sul terminale dell´utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
7. In che modo il titolare del sito deve fornire l´informativa semplificata e richiedere il consenso all´uso dei cookie di profilazione?
Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l´informativa va impostata su due livelli.
Nel momento in cui l´utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all´uso dei cookie e un link per accedere ad un´informativa più “estesa”. In questa pagina, l´utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.
8. Come deve essere realizzato il banner?
Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l´utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell´utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.
9. Quali indicazioni deve contenere il banner?
Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell´utente.
Deve contenere il link all´informativa estesa e l´indicazione che, tramite quel link, è possibile negare il consenso all´installazione di qualunque cookie.
Deve precisare che se l´utente sceglie di proseguire “saltando” il banner, acconsente all´uso dei cookie.
10. In che modo può essere documentata l´acquisizione del consenso effettuata tramite l´uso del banner?
Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale “documentazione”, non è necessario che l´informativa breve sia riproposta alla seconda visita dell´utente sul sito, ferma restando la possibilità per quest´ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all´informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.
11. Il consenso online all´uso dei cookie può essere chiesto solo tramite l´uso del banner?
No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.
12. L´obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?
No. In questo caso, il titolare del sito può dare l´informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l´inserimento delle relative indicazioni nella privacy policy indicata nel sito.
13. Cosa deve indicare l´informativa “estesa”?
Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all´utente di selezionare/deselezionare i singoli cookie.
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l´installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l´utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.
14. Chi è tenuto a fornire l´informativa e a richiedere il consenso per l´uso dei cookie?
Il titolare del sito web che installa cookie di profilazione.
Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell´informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
Cookie Management Platform
Il suggerimento è quello di utilizzare una CMP (Cookie Management Platform) piattaforma certificata IAB.
Aggiornamenti sul rapporto targeter e social media provider
Nel mese di settembre 2020 l’EDPB è ritornato sul tema dei cookie nell’ambito delle nuove Linee Guida 08/2020 (in consultazione pubblica) aventi ad oggetto i rapporti tra targeter (chi usa la piattaforma per attività di promozione) e social media provider nelle operazioni di targeting dei social media user.
In tali Linee Guida l’EDPB ha trattato l’esempio dei pixel, ricordando che oltre alla gestione del consenso granulare, documentabile e gestibile anche successivamente, l’utilizzo di questa tecnologia comporta una contitolarità nel trattamento dei dati tra targeter e social media provider che dovrà essere disciplinata in apposito accordo il cui contenuto essenziale sarà messo a disposizione degli interessati.
Abolizione del Privacy Shield
Per completare il quadro dell’evoluzione in atto, ricordiamo che la Corte di Giustizia dell’Unione Europea quest’estate ha abolito il Privacy Shield, ossia il noto sistema di autoregolamentazione privacy degli operatori USA, chiedendo ulteriori e diverse basi di legittimità del trasferimento dati UE-USA, tra cui il consenso e le Standard Contractual Clauses (SCCs) laddove applicabili.
Ad oggi il tema è al centro di un forte dibattito anche di natura politica (viste anche le recenti consultazioni presidenziali USA), in quanto è proprio il potere autoritativo del governo statunitense a comportare una delicata gestione dei dati trattati dai provider americani.
Consulenza e servizio Studio Cappello
Come Studio Cappello siamo a disposizione dei nostri clienti per la valutazione dei tracciamenti in essere, per la categorizzazione dei cookie e per fornire e gestire la migliore soluzione tecnologica in base alle necessità riscontrate. O per esigenze molto complesse segnalare lo studio legale partner.
Studio Cappello Digital Marketing Agency
Potrebbero interessarti:
Quanto vale la pubblicità nel search rispetto giornali e tv
Pubblicità sui Social Network: funziona?
Far Decollare L’Ecommerce? Conoscere Il Costo Per Cliente
2013: SEO Previsioni, Top SEO Tools, Tattiche, Budget e altro…
Google ADS E Utente In Più Audience: A Chi Attribuire La Conversione?
SEO e Adwords: il successo a braccetto
Il marketing, questo sconosciuto
Ecommerce Conversion Rate Optimization: 30 Idee In Infografica
