Dal 10 Gennaio 2022 entrano in vigore le nuove indicazioni circa l’acquisizione, la gestione, l’utilizzo e l’archiviazione dei dati personali in termini di privacy policy e cookie policy.
Ogni sito web non potrà non tenerne conto, pena le sanzioni.
Il fatto oggettivo
Il Garante della privacy aggiorna le linee guida
Il Garante per la protezione dei dati personali ha pubblicato (Gazzetta Ufficiale n. 163 del 9 luglio 2021) le Linee Guida sui cookies e altri strumenti di tracciamento adottati sui siti internet (10 giugno 2021), con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. ll documento è volto ad aggiornare le indicazioni contenute nel provvedimento n. 229/2014 alla luce delle novità introdotte dal GDPR 679/2016 (in considerazione dell’evoluzione comportamentale degli stessi utenti della rete sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall’accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network), delle Linee guida dell’European Data Protection Board (EDPB) del maggio 2020 e delle indicazioni che sono emerse dalla consultazione pubblica promossa alla fine dello scorso anno.
L’oggetto del problema
Cookie e GDPR, sempre loro!
Stiamo parlando dei “famosi” cookie che ciascuno di noi, suo malgrado, ha imparato a conoscere da qualche anno. Il motivo è semplice: ogni sito web in cui si naviga, mostra un banner in cui viene detto qualcosa del tipo: “Questo sito utilizza i cookie… accetta!”.
Bene, da qualche tempo questi cookie sono oggetto di normativizzazioni: l’Europa, e quindi anche l’Italia, hanno stilato delle leggi che vanno a regolamentarizzarli.
Per chi vivesse nell’iperuranio digitale e ancora non avesse capito cosa sono i cookie, ecco la risposta: i cookie sono pezzi di codice che si salvano all’interno del tuo dispositivo quando navighi in qualsiasi sito web, allo scopo di identificarti e, nel migliore dei casi, poterti fornire dei vantaggi.
Ricapitolando, i cookie permettono di ottenere informazioni più o meno approfondite sull’utente, sulle attività svolte quando naviga in un sito web, ad esempio da dove arriva, cosa fa, quante volte ritorna, da dove si collega, ecc.
È chiaro che questo potenziale Grande Fratello non va proprio a braccetto con il concetto di privacy e il Legislatore ha dovuto cercare necessariamente una regolamentazione.
La natura dei Cookie
Cookie tecnici, analitici, profilanti
In filosofia potremmo chiederci quale sia l’ontologia e la fenomenologia di questi cookie, oppure più semplicemente domandarci: ora che ho capito cosa sono, stringhe che salvano mie informazioni, è opportuno chiedermi quale utilizzo ne facciano. In altre parole, sono tutti uguali questi cookie?
La risposta è: no, i cookie non sono tutti uguali, a seconda della tipologia possono svolgere diverse funzioni, e per tale motivo possiamo suddividerli in due macro-categorie: i cookie tecnici e i cookie di profilazione.
Cookie tecnici
I cookie tecnici sono necessari e non richiedono l’acquisizione del consenso, ma vanno indicati nell’informativa. Sono i cookie che non vengono memorizzati in modo persistente sul computer dell’utente e si cancellano con la chiusura del browser. Esempio di cookie tecnici? Quelli che permettono di fare il login su un sito, di trasmettere i dati da una pagina all’altra, ad esempio in un e-commerce.
Cookie di profilazione
I cookie di profilazione, invece, sono utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte.
Praticamente, i cookie di profilazione consentono a chi gestisce il sito web di fornire servizi sempre più personalizzati, nonché inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.
Un chiaro esempio di cosa significa profilare lo abbiamo quando, dopo aver navigato in un sito di magliette o scarpe, cominciamo a vedere sui social o in altri siti, le pubblicità di prodotti simili.
Cookie analitici
Per avere un quadro completo, non vanno dimenticati i cosiddetti cookie analitici (tra cui rientra, per esempio, il famoso Google Analytics). Si tratta di cookie utilizzati al fine di valutare l’efficacia di un servizio contribuendo a misurare il “traffico” che riceve un sito web, ovvero il numero di visitatori ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche. Questi cookie dovrebbero essere anonimizzati, cioè avere un’impostazione che limiti alcune funzioni. Dunque non sono visti come cookie troppo problematici, ma vanno comunque dichiarati perché queste informazioni, seppure generiche, non rimangono a chi gestisce il sito web, ma sono inviati ai server di Google (per questo sono chiamati cookie di terza parte).
Conclusioni
Ora dovrebbe essere chiaro quanto possono essere problematici i cookie di profilazione. Questi possono essere nel migliore dei casi utili e vantaggiosi, perché aiutano a mostrare offerte e prodotti che effettivamente un utente stava cercando, ma di fatto identificano un utente.
E come dicevano gli antichi: ” e qui casca l’asino”, poiché tra vantaggio e abuso la linea è sottile e rossa.
Le linee guida
Cosa cambia con le nuove Linee Guida?
Riassumento: i cookie permettono di far salvare ai siti web delle informazioni sul nostro conto; esistono diversi tipi di cookie ciascuno con funzioni differenti; il Garante della Privacy ha riordinato tutto questo scenario con delle norme stringenti che hanno subito una decisa virata da Gennaio 2022.
Per essere a norma un sito web deve avere questi requisiti:
-
Registro Preferenze Cookie:
Fra le varie novità della nuova versione del 2022, il Garante ha introdotto la necessità di documentare quelle che sono le preferenze degli utenti sull’utilizzo dei cookie. Quindi tutti i proprietari di siti internet e/o app devono tenere traccia delle preferenze sui cookie espresse dagli utenti che visitano un sito internet, attivando un Registro Preferenze Cookie Obbligatorio. In altre parole, le informazioni del consenso degli utenti devono essere salvate su un registro, in cui sia presente la data (il timestamp) di quando l’utente ha dato il suo consenso, il suo indirizzo IP e le varie tipologie di cookie che ha selezionato, con alcuni dettagli del browser.
-
Blocco preventivo:
Diventa obbligatorio un sistema che permette di richiedere il consenso preventivo per il salvataggio dei cookie. In altre parole, i cookie non possono essere installati sul dispositivo dell’utente fin quando quest’ultimo non li accetta espressamente e in modo granulare (ovvero possa scegliere se accettare solo i cookie tecnici, o quelli statistici, o quelli di profilazione).
-
Consenso inequivocabile:
Il consenso deve essere espresso mediante un atto positivo ed inequivocabile, l’azione dell’utente deve essere attiva: la preselezione di caselle non può mai essere idonea, neppure l’accettazione tramite scrolling è conforme a configurare una valida espressione di consenso.
-
Banner ben delineato di avviso:
Il famoso “Cookie wall” non è più a norma, ovvero non è più consentito adoperare un banner che invada tutto lo schermo impedendo la navigazione del sito. Con questa tecnica, l’utente era obbligato a scegliere un’opzione del banner, altrimenti non era libero di navigare nel sito web.
Inoltre il banner deve avere un’implementazione particolare: deve avere un tasto X o “chiudi” in alto a destra che equivale alla chiusura, e che consiste nel rifiutare tutte le tipologie di cookie.
-
Reiterazione del banner:
All’utente che ha già effettuato la sua scelta, non dovrà essere più mostrato nessun banner per sei mesi. Quindi l’utente non va disturbato con la visualizzazione del banner ogni volta che tenta di accedere al sito, a meno che non abbia cancellato i suoi cookie o che ne siano stati aggiunti di nuovi.
-
Adeguata informativa:
Per consentire all’utente di decidere se accettare o meno l’installazione dei cookie, è necessario che il titolare del sito fornisca un’adeguata informativa che permetta all’interessato di scegliere in modo libero e consapevole se prestare o meno il proprio consenso. Deve essere presente un collegamento (link) che porti alla pagina con l’informativa completa.
Per approfondire qui consultare le linee ufficiali:
La soluzione
Adeguarsi al GDPR: la proposta di Seocrate
Seocrate.it ha contattato tutti gli esperti che si occupano di diritto digitale e privacy.
Nel settore ci sono due grandi società internazionali che da anni si occupano di queste tematiche: Cookiebot e Iubenda.
Nel dettaglio entrambi questi servizi necessitano di una configurazione iniziale e hanno un canone mensile, Cookiebot a partire da 9€/mese, Iubenda da 22€/mese. La principale problematica che abbiamo riscontrato è che il customer care non sempre è molto veloce a risponderti e soprattutto che, essendo soggetti internazionali, si adattano alle normative italiane (che sono tra le più stringenti tra i Paesi europei), e infine non sono proprio chiari.
Iubenda: i particolari inquietanti
Prova ne è la dicitura che chiude tutte le pagine di Iubenda che recita così:
“Il contenuto di iubenda.com ed i documenti generati utilizzando il Servizio sono forniti a scopo informativo. Malgrado le clausole e disposizioni selezionabili nel generatore siano state redatte da una squadra di consulenti legali altamente qualificati e vengano sottoposte a costante revisione ed aggiornamento, la generazione dei documenti avviene in modo interamente automatizzato. Pertanto, il Servizio non costituisce o sostituisce una consulenza legale, né dà luogo ad un rapporto di mandato tra assistito e avvocato. Nonostante il massimo sforzo volto ad offrire il miglior servizio possibile, iubenda non può garantire che i documenti generati siano perfettamente conformi alla legge applicabile. Gli Utenti sono quindi invitati a non fare affidamento sui documenti generati con iubenda senza farsi assistere da un avvocato abilitato nell’ordinamento/negli ordinamenti di riferimento.“.
Rassicurante vero? Tradotto: pagateci ma se succede qualcosa sono problemi (oggettivi) vostri!
Il tribunale amministrativo di Wiesbaden (Germania) ha dichiarato illegale Cookiebot
In una sentenza innovativa, il tribunale amministrativo di Wiesbaden ha dichiarato illegale Cookiebot. Nel processo, alla RheinMain University of Applied Sciences è stato vietato l’utilizzo del provider sul proprio sito web.
Nel dettaglio: il procedimento dinanzi al tribunale amministrativo di Wiesbaden (Az.: 6 L 738/21.WI) riguardava sostanzialmente se la RheinMain University of Applied Sciences utilizzasse o meno un cookie banner conforme al GDPR sul proprio sito web www.hs-rm.de. In definitiva, si tratta in particolare della questione se un sito Web possa persino diventare conforme al GDPR se si utilizza lo strumento “Cookiebot”.
Il tribunale ha ora negato la risposta a questa domanda: il sito Web della RheinMain University non è autorizzato a utilizzare il banner dei cookie Cookiebot – il tribunale dichiara illegale il fornitore di Cookiebot. L’università è obbligata a terminare l’integrazione del servizio “Cookiebot” sul proprio sito web, in quanto ciò comporta la trasmissione illecita di dati personali degli utenti del sito web e quindi in particolare del ricorrente.
Fonte: Dichiarazione di Cookiebot CMP sulla pronuncia pregiudiziale di Wiesbaden
La proposta di Seocrate
Noi di Seocrate.it potevamo proporre ai nostri clienti qualcosa di simile?
Domanda retorica, risposta sincera: no.
Dunque ci siamo accordati con un importante studio legale italiano che si occupa di diritto digitale e privacy dal 2011, il cui titolare è docente presso “Euroconference per le tematiche connesse al diritto dell’e-commerce” ed è promotore di numerosi workshop sul diritto digitale e sulla privacy.
Il nostro compito sarà quello di
- farti creare un account presso il loro portale,
- accertarci che la configurazione sul vostro sito sia corretta.
In più
- non avrai nessun vincolo: in futuro voi pagherete direttamente questo studio, senza che Seocrate.it faccia da intermediario,
- se sei già clienti di Seocrate.it questo setup iniziale ti costerà solo 25€ anziché 50€,
- il canone annuale sarà invece quello riportato qui sotto.
Estremamente facile ed economico, no?
