Cookie e GDPR: cosa c’è da sapere per impostare il proprio sito
Le disposizioni in materia di cookie(Cookie Law) e la normativa sulla protezione dei dati(GDPR) sono tra loro strettamente correlate, lavorano insieme e si completano a vicenda.
Se si fa uso di cookie bisogna adeguarsi alla Cookie Law prima del GDPR, in quanto la Cookie Law è quello che in termini legali si chiama “lex specialis”, quindi ha la precedenza sul GDPR.
Cookie Law
La normativa in merito alla gestione dei cookies, strumenti di tracciamento, non si applica solo a questi ultimi.
Le disposizioni riguardano più in generale ogni tipo di tecnologia che memorizza o ha accesso alle informazioni sul dispositivo dell’utente (come pixel tag, impronta digitale del dispositivo, identificatori univoci, ecc.).
Secondo tale legge:
- Il detentore delle diverse tipologie di tecnologia ha l’obbligo di raccogliere un consenso informato da parte degli utenti prima di memorizzare o accedere alle informazioni sui loro dispositivi;
- Il consenso ai cookie deve essere rilasciato liberamente.
Deve dare tutte le specifiche e informazioni e basarsi su un’azione positiva.
Per quanto riguarda il rifiuto di esprimere il consenso o la revoca dello stesso dopo averlo prestato (opt-out), la legge stabilisce che all’utente debba essere data la possibilità di negare o revocare il consenso;
- La maggiorparte delle autorità nazionali preposte alla protezione dei dati ha allineato le proprie disposizioni sui cookie ai requisiti del GDPR.
Quindi a seconda del Paese di pertinenza, ci può essere l’obbligo a tenere un registro dei consensi ai cookie come richiesto dal GDPR.
- Richiede di indicare la categoria di appartenenza, l’uso e la finalità di trattamento;
- Qualora si utilizzino cookie di terze parti, bisogna assicurarsi di fornire informazioni su questa terza parte e un link alla sua privacy e/o cookie policy.
In termini pratici bisogna mostrare un cookie banner alla prima visita dell’utente, predisporre e mostrare all’utente una cookie policy e dargli la possibilità di prestare il consenso.
Prima di aver ottenuto il consenso, nessun tipo di cookie – tranne quelli esenti – dev’essere installato o risultare attivo.
Nello specifico il banner deve:
- dare informazione agli utenti che il proprio sito/app (o qualsiasi servizio di terza parte usato dal tuo sito/app) sta usando cookie;
- precisare in modo chiaro quali saranno le azioni considerate come dichiarazione di consenso;
- risultare discontinuo nella navigazione in modo da essere ben evidente;
- avere un link della cookie policy che spieghi bene le finalità, l’uso e le attività di terze parti disponibili all’utente;
Cosa deve contenere una cookie policy?
La cookie policy deve:
- riportare la descrizione accurata di tutte le tipologie di cookie installate sia che si trattino di prima parte o di terza parte.
I cookie di prima parte sono quelli gestiti direttamente dal titolare del sito/app, mentre quelli di terza parte vengono appunto gestiti da terzi.
- dare informazioni inerenti tutti i soggetti terzi che gestiscono, installano cookie tramite il tuo sito/app, prevedendo inoltre un link alle rispettive policy e a eventuali moduli di opt-out;
- specificare in dettaglio le finalità dei cookie installati;
- dare la disponibilità di tutte le lingue in cui viene elargito il servizio;
Cookie esenti dal consenso
Ci sono due esenzioni per quanto riguarda il consenso sui cookie:
- l’esenzione per i cookie e i tracker di comunicazione:che hanno come obiettivo la trasmissione di una comunicazione su una rete e il cui fine ultimo è quello identificare uno dei server (cioè, un endpoint di comunicazione) e, come tale, ricade nell’esenzione indicata.
- L’esenzione degli strumenti di tracciamento necessari a fornire un “servizio della società dell’informazione”:un servizio fornito attraverso internet, come un sito o un’app.
Frequenza di visualizzazione del banner e raccolta consensi
Il Banner, per raccogliere i consensi, va mostrato ad intervalli regolari, in modo da fornire la possibilità agli utenti di mostrare di nuovo il banner nel caso in cui abbiano bisogno di cambiare le preferenze.
Qualora un utente non abbia prestato il consenso o lo abbia dato solo per alcuni cookie gli si può nuovamente mostrare il banner:
- quando per il titolare è impossibile stabilire se un cookie tecnico è già stato installato sul dispositivo dell’utente;
- quando una o più condizioni del trattamento dei dati cambiano in modo significativo, come ad esempio le terze parti;
- quando sono passati almeno sei mesi dall’ultima volta in cui è stato mostrato il banner;
