Iubenda logo

Documentazione

Indice dei contenuti

Cookie e GDPR: cos’è davvero necessario?

Aggiornamento di maggio 2020: il Comitato europeo per la Protezione dei Dati (EDPB) ha rivisto le proprie linee guida sui meccanismi di raccolta del consenso. Maggiori informazioni qui.

Quando si parla di normativa sulla protezione dei dati, si pensa ad un facile collegamento con le disposizioni in materia di cookie in quanto i due argomenti sono tra loro strettamente correlati. Ciò può portare erroneamente a pensare che la Direttiva ePrivacy (o Cookie Law) sia stata abrogata dal Regolamento generale sulla protezione dei dati personali (o GDPR), cosa assolutamente non vera. Al contrario, GDPR e Direttiva ePrivacy lavorano assieme e si completano a vicenda.

In breve
  • la Cookie Law non è stata sostituita dal GDPR ed è ancora applicabile;
  • la Cookie Law pone in capo al titolare l’obbligo di raccogliere un consenso informato da parte degli utenti prima di installare cookie sui loro dispositivi e di avviare il tracciamento;
  • il consenso ai cookie deve essere informato e basato su un’esplicita azione positiva; tali azioni possono includere, in base alle disposizioni previste dalle singole autorità locali, il proseguimento della navigazione, come un click su un link o lo scorrimento della pagina, o altre modalità che richiedano all’utente di procedere attivamente;
  • anche se la Cookie Law non richiede esplicitamente di tenere un registro dei consensi (bensì solo la prova che il consenso è stato prestato), molte autorità nazionali preposte alla protezione dei dati hanno allineato le loro disposizioni sui cookie ai requisiti del GDPR. Ciò significa che, a seconda del Paese di pertinenza, potresti essere obbligato a tenere un registro dei consensi ai cookie come richiesto dal GDPR.
  • la Cookie Law non richiede di elencare nome per nome i cookie di terza parte utilizzati, ma solo di indicarne la categoria di appartenenza e la finalità di trattamento;
  • sebbene la Cookie Law non imponga al gestore del sito di offrire all’utente la possibilità di gestire il consenso per i cookie di terza parte direttamente dal proprio sito/app, devi informare gli utenti sull’utilizzo di tali cookie e sulle finalità del trattamento, oltre a fornire un riferimento alle relative privacy/cookie policy e eventuali moduli di opt-out.

La Direttiva ePrivacy è stata pensata per mettere in atto linee guida precise in materia di trattamento dati con mezzi elettronici, compreso l’email marketing e l’utilizzo dei cookie, e si applica ancora oggi. In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora insieme” con il GDPR, invece di essere abrogata da quest’ultimo.

In generale, le direttive fissano determinati obiettivi e orientamenti concordati, e gli Stati membri sono liberi di decidere come recepirli nella legislazione nazionale. Per contro, i regolamenti sono giuridicamente vincolanti in tutti gli Stati membri dal momento della loro entrata in vigore, e sono applicati secondo norme stabilite a livello comunitario.

Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy. Il Regolamento ePrivacy dovrebbe essere messo a punto nel prossimo futuro ed opererà di concerto con il GDPR per regolamentare i requisiti per l’uso dei cookie e le comunicazioni elettroniche.

Essendo il regolamento ancora in fase di discussione, al momento non è chiaro se manterrà o meno disposizioni simili a quelli della direttiva.

La Cookie Law pone in capo al gestore del sito l’obbligo di raccogliere il consenso informato dell’utente prima di installare cookie sul suo dispositivo e di iniziare il tracciamento.

Ciò significa che se il tuo sito/app (o qualsiasi altro servizio di terza parte utilizzato dal tuo sito/app) installa dei cookie, devi informare gli utenti sulle attività di raccolta dei dati effettuate e dar loro la possibilità di scegliere se acconsentire o meno; devi dunque ottenere il consenso informato prima di avviare l’installazione di tali cookie.

In pratica, è necessario mostrare un cookie banner alla prima visita dell’utente, predisporre e mostrare all’utente stesso una cookie policy e permettergli di prestare il proprio consenso. Non è possibile installare cookie prima di aver raccolto il consenso, ad eccezione dei cookie esenti.

Devi mostrare un avviso sui cookie alla prima visita dell’utente, predisporre e mostrargli una cookie policy e permettergli di prestare il consenso – a meno che il tuo sito non usi esclusivamente cookie esenti, cosa molto improbabile. Non puoi installare cookie prima di aver raccolto il consenso dell’utente (cookie esenti esclusi).

Mostrare un cookie banner alla prima visita dell’utente

L’avviso sui cookie deve:

  • contenere una breve spiegazione delle finalità di installazione dei cookie utilizzati dal sito;
  • descrivere chiaramente le azioni che saranno considerate come una dichiarazione di consenso;
  • essere sufficientemente discontinuo nella navigazione del sito da essere ben evidente;
  • contenere un link ad una cookie policy che illustri in dettaglio le finalità, l’utilizzo e le attività delle terze parti correlate ai cookie.
Cookie banner in funzione sul sito di iubenda

Predisporre una cookie policy

La cookie policy deve:

  • indicare le tipologie di cookie – ad esempio tecnici, statistici e/o di profilazione
  • descrivere in dettaglio le finalità di installazione dei cookie;
  • indicare i soggetti terzi che installano o che potrebbero installare cookie tramite il sito, prevedendo inoltre un link alle rispettive policy e a eventuali moduli di opt-out;
  • essere disponibile in tutte le lingue in cui viene fornito il servizio.

Blocco preventivo dei cookie prima del consenso

In ottemperanza ai principi generali della legislazione sulla privacy, che impediscono il trattamento prima del consenso, la Cookie Law non consente l’installazione di cookie prima di aver acquisito il consenso dell’utente. Ciò implica la necessità di bloccare i codici che installano cookie prima di aver raccolto il consenso dell’utente.

Il consenso all’installazione dei cookie

Il consenso all’installazione dei cookie deve essere informato ed esplicito, e può essere espresso con una chiara azione positiva (opt-in).

Il documento sulla Cookie Law del Gruppo di Lavoro 29 stabilisce che per garantire che le metodologie di raccolta del consenso all’installazione dei cookie soddisfino le condizioni di ciascuno Stato membro, tali meccanismi dovrebbero includere ciascuno degli elementi principali richiesti:

  • informazioni chiare e dettagliate;
  • consenso preventivo;
  • indicazione delle preferenze espresse dall’utente mediante un comportamento attivo;
  • possibilità di scegliere liberamente.

A seconda delle autorità locali, questi comportamenti attivi possono includere il proseguimento della navigazione, il click, lo scorrimento della pagina, o un qualsiasi altro metodo che richieda all’utente di procedere attivamente nella navigazione. Il metodo da utilizzare è in qualche modo lasciato alla tua discrezione. Alcuni proprietari di siti/app possono preferire un metodo basato sul consenso tramite click rispetto ai metodi di raccolta del consenso mediante proseguimento della navigazione, in quanto è meno probabile che il primo venga eseguito per errore dall’utente.

I comportamenti attivi includono il proseguimento della navigazione, il click, lo scorrimento della pagina, o un qualsiasi altro metodo che richieda all’utente di procedere attivamente nella navigazione

Vale la pena di notare che il Garante per la protezione dei dati personali (Garante Privacy) riconosce specificamente il “compiere un’azione di scorrimento (c.d. scroll down)” e il “fare click su uno dei link interni della pagina” come indicazioni valide di consenso mediante comportamento attivo.

Essendo però l’ePrivacy una direttiva, le specifiche di come i requisiti vanno soddisfatti dipendono in larga misura dalla legislazione dei singoli Stati membri.

Il Garante italiano sottolinea che queste raccomandazioni sono state definite prima dell’entrata in vigore del GDPR, e invita a tenerne conto quando si prendono delle decisioni a riguardo. Al momento anche l’Autorità spagnola riconosce il semplice scorrimento di pagina come un comportamento attivo.

Attenzione

Il Comitato europeo per la Protezione dei Dati (EDPB) ha aggiornato le sue linee guida sul consenso. Questo aggiornamento è importante in quanto mira a eliminare qualsiasi ambiguità sull’argomento cookie. Le novità più importanti probabilmente sono il divieto di utilizzare i cosiddetti “cookie wall” e il fatto che scorrimento e proseguimento della navigazione non siano più considerati meccanismi validi di raccolta del consenso.

Detto ciò, queste ultime linee guida contrastano con la normativa locale di alcuni Stati membri, in particolare Italia e Spagna. In questi casi risulta quindi difficile dire con certezza fino a che punto queste nuove indicazioni saranno applicate o fatte rispettare: la decisione ultima spetterà infatti alle rispettive autorità preposte alla protezione dei dati.

Per quanto riguarda il rifiuto di esprimere il consenso o la revoca dello stesso dopo averlo prestato (opt-out), la legge stabilisce che all’utente debba essere data la possibilità di negare o revocare il consenso. Il documento del Gruppo di Lavoro 29 approfondisce questo punto precisando che, per quanto riguarda la revoca o il rifiuto di esprimere il consenso, è necessario fornire le seguenti informazioni:

  • come gli utenti possono revocare il consenso e le azioni necessarie a tal scopo;
  • come l’utente può scegliere di accettare o negare l’installazione di cookie.

Questo significa che tali metodi possono non essere erogati direttamente dal gestore del sito. In alcuni casi, secondo il diritto degli Stati membri, le sole impostazioni del browser sono già considerate un mezzo accettabile per revocare il consenso.

I meccanismi di raccolta del consenso considerati validi possono variare da uno Stato membro all’altro

L’elenco dei cookie di terza parte

In generale, la direttiva non richiede specificamente che il gestore del sito elenchi nome per nome i singoli cookie di terza parte adoperati. Tuttavia, è necessario indicarne chiaramente categorie e finalità.

È probabile che questa decisione dell’autorità sia stata dettata dall’esigenza di non porre in capo ai singoli gestori di siti/app l’onere di controllare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al loro controllo. Ciò sarebbe infatti irragionevole, inefficiente e probabilmente inutile per gli utenti.

Per approfondire ulteriormente questo punto, la guida sui cookie dell’ICO stabilisce che, sebbene sia possibile fornire lunghi elenchi di tutti i cookie installati, per la maggior parte degli utenti una spiegazione più ampia del modo in cui funzionano i cookie e delle categorie di cookie utilizzati è più che sufficiente. Una descrizione dei tipi di cookie utilizzati sul sito avrà maggiori probabilità di soddisfare i requisiti di informazione, piuttosto che limitarsi ad elencare tutti i cookie utilizzati nome per nome, con riferimenti di base alla loro funzione.

Questo orientamento è ulteriormente sviluppato dall’Autorità Italiana per la Protezione dei Dati (il “Garante Privacy”) che sancisce espressamente quanto segue:

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.

In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti.

Il libero consenso

La legge prevede che il consenso acquisito debba essere prestato liberamente affinché possa essere considerato valido. L’uso di metodi coercitivi per ottenere il consenso può, pertanto, rendere invalido il consenso raccolto con tali meccanismi.

La legge fa alcune concessioni quando il funzionamento del sito è influenzato dal consenso o dalla mancanza dello stesso. Il documento del Gruppo di Lavoro 29 afferma che i siti web non devono subordinare l’accesso generale al sito all’accettazione di tutti i cookie, ma possono solo limitare determinati contenuti se l’utente non acconsente ai cookie.

Pertanto, mentre alcuni contenuti (per motivi legittimi) possono essere limitati in base alle preferenze dell’utente sui cookie, la capacità di accedere al tuo sito non deve essere forzata o condizionata al loro consenso.

Esenzioni dal requisito del consenso

Alcuni cookie sono esenti dal requisito del consenso e quindi non sono soggetti a blocco preventivo (anche se hai comunque l’obbligo di informare gli utenti sull’uso dei cookie, vedi riquadro sottostante).

Le categorie di cookie esenti sono:

  • cookie tecnici strettamente necessari per la fornitura del servizio (ad esempio cookie di preferenza, cookie di sessione, load balancing etc.)
  • cookie statistici gestiti direttamente da te (non da una terza parte), a condizione che i dati non vengano utilizzati per fare profilazione *
  • cookie statistici di terza parte (anonimi), come Google Analytics **

* Questa esenzione potrebbe non essere applicabile in tutti i Paesi in quanto dipende dalla specifica normativa locale. Ad esempio, non è prevista dalle linee guida dell’ICO (autorità del Regno Unito) e l’autorità francese richiede che il fornitore del servizio di statistica venga nominato responsabile del trattamento.

** Questa esenzione vale soprattutto per l’Italia, ma potrebbe non essere applicabile in tutti i Paesi in quanto dipende dalla specifica normativa locale.

Attenzione

L’esenzione dal requisito del consenso si applica con chiarezza solo ai cookie tecnici che non effettuano tracciamento e che sono strettamente necessari al funzionamento dei servizi richiesti dall’utente.

È il caso ad esempio di un sito e-commerce che consente agli utenti di tenere gli articoli nel carrello per tutta la durata della loro visita. In questo caso i cookie tecnici, necessari per la procedura di acquisto, sono richiesti dall’utente quando quest’ultimo aggiunge un articolo al carrello. È comunque importante notare che si tratta di cookie di sessione, e non di cookie di tracciamento.

Altri esempi di cookie tecnici sono i cookie di sessione utilizzati per rilevare violazioni alle procedure di autenticazione, cookie di load balancing e cookie per player multimediali, e – più in generale – cookie necessari per la fornitura di servizi richiesti dall’utente.

Questo significa che in questi casi non è obbligatorio mostrare un cookie banner?

Fermo restando che dovrai comunque informare l’utente sull’uso dei cookie tramite una cookie policy, il cookie banner non è strettamente necessario se la cookie policy è facilmente raggiungibile da ogni pagina del sito.

Prova del consenso e registro dei consensi

Anche se la Cookie Law richiede una prova del consenso più che la tenuta di un registro dei consensi, molti stati membri dell’UE ora richiedono la presenza di quest’ultimo, in linea con quanto richiesto dal GDPR. A seguire un esempio che chiarisce l’idea alla base della prova del consenso.

Immagina che la possibilità di eseguire i cookie sia una stanza, la soluzione per la gestione del consenso ai cookie è la porta e il consenso è l’atto di ruotare la maniglia della porta. Si può entrare attraverso la porta nella stanza solo se la maniglia della porta è stata ruotata (l’atto di dare il consenso). In questo esempio, se siete entrati nell’ambiente, può essere solo perché la maniglia della porta è stata ruotata e, quindi, la vostra presenza nell’ambiente è una prova sufficiente di questo fatto.

Sebbene la direttiva non menzioni specificamente la possibilità di tenere effettivamente traccia del consenso acquisito, alcuni orientamenti degli Stati membri potrebbero richiederlo. L’Italia, ad esempio, lo richiede:

In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

La presenza di tale “documentazione” delle scelte dell’utente consente poi all’editore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito, ad esempio tramite accesso all’informativa estesa, che deve essere linkabile da ogni pagina del sito.

Ciò significa che l’uso di un cookie tecnico nelle modalità sopra illustrate è sufficiente e può essere utilizzato per soddisfare il requisito di “tenere traccia” del consenso acquisito.

È importante notare che alcune autorità di protezione dei dati dell’UE ora richiedono la presenza di un registro dei consensi, anziché una semplice prova. Se rientri in questa casistica, dovrai tenere un registro valido dei consensi ottenuti.

Come iubenda può aiutarti a gestire il consenso ai cookie

iubenda Cookie Solution - Cookie banner

La nostra Cookie Solution semplifica il rispetto delle disposizioni della legge europea sui cookie. In qualità di Consent Management Platform (CMP) certificata, la Cookie Solution ti aiuta a rispettare gli standard richiesti dai network pubblicitari e a condividere con essi le preferenze di consenso in maniera conforme.

Infatti:

  • consente di informare facilmente gli utenti tramite un cookie banner e una pagina dedicata alla cookie policy (che è automaticamente collegata alla privacy policy e integra quanto necessario per la piena conformità alla Cookie Law);
  • ti permette di salvare le preferenze di consenso;
  • raccoglie il consenso granulare (per categoria);
  • blocca preventivamente i codici prima del consenso;
  • ti permette di abilitare il supporto al Transparency and Consent Framework di IAB con un click;
  • si integra (su richiesta) con la nostra Consent Solution, così da permetterti di disporre di un registro dei consensi

La nostra soluzione informa l’utente circa:

  • i cookie installati, le loro finalità e come vengono utilizzati;
  • le terze parti che installano cookie attraverso il sito, la loro tipologia e le rispettive finalità, con anche un link diretto alle informative privacy e cookie di tali terze parti;
  • le diverse opzioni a disposizione dell’utente per fare opt-in (prestare il consenso) e opt-out (revocare il consenso);
  • quali azioni sono da intendersi come dichiarazione di consenso;
  • in che modo l’utente può gestire le sue preferenze sull’installazione dei cookie.

La nostra soluzione consente la raccolta del consenso esplicito dell’utente mediante:

  • proseguimento della navigazione;
  • scorrimento della pagina;
  • click su specifici link.

La iubenda Cookie Solution ti dà inoltre una serie di funzionalità addizionali per:

  • scegliere tra l’opzione “con consenso preventivo” (ovvero blocco dei codici prima di aver ottenuto il consenso dell’utente e riattivazione solo dopo aver registrato il consenso) o “senza consenso preventivo” (ovvero senza nessun blocco preventivo dei cookie). Utilizzare l’opzione “con previo consenso” assicura che prima di fornire il consenso, l’utente possa aprire la cookie policy e fare opt-out da uno qualsiasi dei codici di monitoraggio adoperati utilizzando gli strumenti di revoca del consenso forniti dalle terze parti. Ricorda che il blocco dei cookie prima del consenso è richiesto da alcune normative, tra cui la normativa europea.
  • aggiungere i pulsanti “Accetta” e “Rifiuta”, così come richiesto dalle normative di alcuni stati.
  • personalizzare la posizione e l’aspetto del cookie banner. Ad esempio, puoi cambiare i colori del banner per adattarli al tuo sito web o personalizzare la testata con il tuo logo e i colori aziendali.
  • tenere traccia del consenso e salvare le impostazioni di consenso per ogni utente per un massimo di 12 mesi dall’ultima visita al sito, come richiesto dalla legge.
  • può essere integrata facilmente nel tuo sito (in particolare, puoi incollare direttamente il codice di integrazione nella sezione HEAD di tutte le pagine pagine del sito, o utilizzare uno dei nostri plugin).

Gestisci il consenso ai cookie con la Cookie Solution

Facile da configurare, veloce e completamente personalizzabile

Genera il tuo cookie banner

Leggi anche