Documentazione

Cookie Law e normativa europea sulla privacy: cos’è davvero necessario?

Quando si parla di normativa sulla protezione dei dati, si pensa ad un facile collegamento con le disposizioni in materia di cookie in quanto i due argomenti sono tra loro strettamente correlati. Ciò porta spesso al comune malinteso che l’uso dei cookie sia disciplinato dal Regolamento generale sulla protezione dei dati personali (GDPR), il che in realtà non è vero: l’uso dei cookie e l’acquisizione del relativo consenso non sono regolati dal GDPR, ma dalla Direttiva ePrivacy.

In breve

  • l’uso dei cookie è regolato dalla Direttiva ePrivacy (Cookie Law) e non dal GDPR;
  • la Cookie Law pone in capo al titolare l’obbligo di raccogliere un consenso informato da parte degli utenti prima di installare cookie sui loro dispositivi e di avviare il tracciamento;
  • il consenso ai cookie deve essere informato e basato su un’esplicita azione positiva; tali azioni possono includere, in base alle disposizioni previste dalle singole autorità locali, il proseguimento della navigazione, come un click su un link o lo scorrimento della pagina, o altre modalità che richiedano all’utente di procedere attivamente;
  • la Cookie Law non richiede che tu fornisca agli utenti la possibilità di gestire le preferenze di ogni singolo cookie direttamente dal tuo sito/app, ma solo che tu preveda un sistema chiaro per ottenere un consenso informato, un mezzo per la revoca del consenso e che garantisca, attraverso un blocco preventivo, che non venga effettuato alcun trattamento mediante cookie prima che il consenso sia stato effettivamente acquisito;
  • la Cookie Law non richiede di elencare nome per nome i cookie di terza parte utilizzati, ma solo di indicarne la categoria di appartenenza e la finalità di trattamento;
  • sebbene la Cookie Law non imponga al gestore del sito di offrire all’utente la possibilità di gestire il consenso per i cookie di terza parte direttamente dal proprio sito/app, come anticipato è necessario informare gli utenti dell’utilizzo di tali cookie e delle finalità di trattamento, insieme con un riferimento alle relative privacy/cookie policy ed agli eventuali moduli di opt-out.

La Direttiva ePrivacy (o Cookie Law) è stata pensata per mettere in atto linee guida precise in materia di trattamento dati con mezzi elettronici, compreso l’email marketing e l’utilizzo dei cookie, e si applica ancora oggi. In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora insieme” con il GDPR, invece di essere abrogata da quest’ultimo.

In generale, le direttive fissano determinati obiettivi e orientamenti concordati, e gli Stati membri sono liberi di decidere come recepirli nella legislazione nazionale. Per contro, i regolamenti sono giuridicamente vincolanti in tutti gli Stati membri dal momento della loro entrata in vigore, e sono applicati secondo norme stabilite a livello comunitario.

Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy. Il Regolamento ePrivacy dovrebbe essere messo a punto nel prossimo futuro ed opererà di concerto con il GDPR per regolamentare i requisiti per l’uso dei cookie e le comunicazioni elettroniche. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.

Che cosa richiede esattamente la Cookie Law?

La Cookie Law pone in capo al gestore del sito l’obbligo di raccogliere il consenso informato dell’utente prima di installare cookie sul suo dispositivo e di iniziare il tracciamento.

Ciò significa che se il tuo sito/app (o qualsiasi altro servizio di terza parte utilizzato dal tuo sito/app) installa dei cookie, devi informare gli utenti sulle attività di raccolta dei dati effettuate e dar loro la possibilità di scegliere se acconsentire o meno; devi dunque ottenere il consenso informato prima di avviare l’installazione di tali cookie.

In pratica, è necessario mostrare un cookie banner alla prima visita dell’utente, predisporre e mostrare all’utente stesso una cookie policy e permettergli di prestare il proprio consenso. Non è possibile installare cookie prima di aver raccolto il consenso, ad eccezione dei cookie esenti.

Devi mostrare un cookie banner alla prima visita dell’utente, predisporre e mostrargli una cookie policy e permettergli di prestare il proprio consenso. Non puoi installare cookie prima di aver raccolto il consenso, ad eccezione dei cookie esenti.

Cookie banner

Il cookie banner deve:

  • contenere una breve spiegazione delle finalità di installazione dei cookie utilizzati dal sito;
  • descrivere chiaramente le azioni che saranno considerate come una dichiarazione di consenso;
  • essere sufficientemente discontinuo nella navigazione del sito da essere ben evidente;
  • contenere un link ad una cookie policy che illustri in dettaglio le finalità, l’utilizzo e le attività delle terze parti correlate ai cookie.

Cookie policy

La cookie policy deve:

  • descrivere in dettaglio le finalità di installazione dei cookie;
  • indicare tutti i soggetti terzi che installano o che potrebbero installare cookie tramite il sito, con anche un link alla rispettiva privacy policy, alla cookie policy ed agli eventuali moduli di consenso (opt-out).

Il blocco preventivo dei cookie

In ottemperanza ai principi generali della legislazione sulla privacy, che impediscono il trattamento prima del consenso, la Cookie Law non consente l’installazione di cookie prima di aver acquisito il consenso dell’utente. Ciò implica la necessità di bloccare i codici che installano cookie prima di aver raccolto il consenso dell’utente.

Il consenso all’installazione dei cookie

Il consenso all’installazione dei cookie deve essere informato ed esplicito, e può essere espresso con una chiara azione positiva (opt-in).

Il documento sulla Cookie Law del Gruppo di Lavoro 29 stabilisce che per garantire che le metodologie di raccolta del consenso all’installazione dei cookie soddisfino le condizioni di ciascuno Stato membro, tali meccanismi dovrebbero includere ciascuno degli elementi principali richiesti:

  • informazioni chiare e dettagliate;
  • consenso preventivo;
  • indicazione delle preferenze espresse dall’utente mediante un comportamento attivo;
  • possibilità di scegliere liberamente.

A seconda delle autorità locali, questi comportamenti attivi possono includere il proseguimento della navigazione, il click, lo scorrimento della pagina, o un qualsiasi altro metodo che richieda all’utente di procedere attivamente nella navigazione. Il metodo da utilizzare è in qualche modo lasciato alla tua discrezione. Alcuni proprietari di siti/app possono preferire un metodo basato sul consenso tramite click rispetto ai metodi di raccolta del consenso mediante proseguimento della navigazione, in quanto è meno probabile che il primo venga eseguito per errore dall’utente.

I comportamenti attivi includono il proseguimento della navigazione, il click, lo scorrimento della pagina, o un qualsiasi altro metodo che richieda all’utente di procedere attivamente nella navigazione.

Per quanto riguarda il rifiuto di esprimere il consenso o la revoca dello stesso dopo averlo prestato (opt-out), la legge stabilisce che all’utente debba essere data la possibilità di negare o revocare il consenso. Il documento del Gruppo di Lavoro 29 approfondisce questo punto precisando che, per quanto riguarda la revoca o il rifiuto di esprimere il consenso, è necessario fornire le seguenti informazioni:

  • come gli utenti possono revocare il consenso e le azioni necessarie a tal scopo;
  • come l’utente può scegliere di accettare o negare l’installazione di cookie.

Questo significa che non è necessario che tali metodi siano erogati direttamente dal gestore del sito. Nella maggior parte dei casi, secondo il diritto degli Stati membri, le sole impostazioni del browser sono già considerate un mezzo accettabile per revocare il consenso.

La nostra Cookie Solution va oltre, indicando non solo le opzioni del browser attraverso cui l’utente può impedire il tracciamento, ma anche gli strumenti messi a disposizione direttamente dalle terze parti, che sono in ultima analisi i responsabili della gestione dell’opt-out per i propri strumenti di tracciamento.

Vale inoltre la pena di chiarire che la Cookie Law non richiede che tu fornisca agli utenti i mezzi per selezionare le singole preferenze relative all’installazione dei cookie direttamente dal tuo sito/app, ma solo che tu chiarisca in modo ben visibile la modalità attraverso cui il consenso può essere prestato, fornisca un mezzo per la negazione del consenso e garantisca, attraverso un blocco preventivo, che non venga effettuato alcun trattamento prima che l’utente abbia fornito il proprio consenso.

La Cookie Law non richiede che tu fornisca agli utenti i mezzi per selezionare le singole preferenze relative all’installazione dei cookie.

Inoltre, non è necessario gestire il consenso per i cookie di terza parte direttamente dal tuo sito/app, in quanto tale responsabilità ricade sulle singole terze parti. Il gestore del sito, tuttavia, è tenuto a facilitare il processo, inserendo nella propria cookie policy dei riferimenti alle informative di tali soggetti terzi. Questi link dovrebbero essere accompagnati da informazioni relative all’uso, alle finalità e alla tipologia dei cookie.

L’elenco dei cookie di terza parte

In generale, la direttiva non richiede specificamente che il gestore del sito elenchi nome per nome i singoli cookie di terza parte adoperati. Tuttavia, è necessario indicarne chiaramente categorie e finalità. È probabile che questa decisione dell’autorità sia stata dettata dall’esigenza di non porre in capo ai singoli gestori di siti/app l’onere di controllare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al loro controllo. Ciò sarebbe infatti irragionevole, inefficiente e probabilmente inutile per gli utenti.

Per approfondire ulteriormente questo punto, la guida sui cookie dell’ICO stabilisce che, sebbene sia possibile fornire lunghi elenchi di tutti i cookie installati, per la maggior parte degli utenti una spiegazione più ampia del modo in cui funzionano i cookie e delle categorie di cookie utilizzati è più che sufficiente. Una descrizione dei tipi di cookie utilizzati sul sito avrà maggiori probabilità di soddisfare i requisiti di informazione, piuttosto che limitarsi ad elencare tutti i cookie utilizzati nome per nome, con riferimenti di base alla loro funzione.

Questo orientamento è ulteriormente sviluppato dall’Autorità Italiana per la Protezione dei Dati (il “Garante Privacy”) che sancisce espressamente quanto segue:

Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.

In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.

I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti.

Il libero consenso

La legge prevede che il consenso acquisito debba essere prestato liberamente affinché possa essere considerato valido. L’uso di metodi coercitivi per ottenere il consenso può, pertanto, rendere invalido il consenso raccolto con tali meccanismi.

La legge fa alcune concessioni quando il funzionamento del sito è influenzato dal consenso o dalla mancanza dello stesso. Il documento del Gruppo di Lavoro 29 afferma che i siti web non devono subordinare l’accesso generale al sito all’accettazione di tutti i cookie, ma possono solo limitare determinati contenuti se l’utente non acconsente ai cookie.

Pertanto, mentre alcuni contenuti (per motivi legittimi) possono essere limitati in base alle preferenze dell’utente sui cookie, la capacità di accedere al tuo sito non deve essere forzata o condizionata al loro consenso.

Esenzioni dal requisito del consenso

Alcuni cookie sono esenti dal requisito del consenso e quindi non sono soggetti a blocco preventivo (anche se è comunque necessario predisporre cookie banner e cookie policy). Le categorie di cookie esenti sono:

  • cookie tecnici strettamente necessari per la fornitura del servizio (ad esempio cookie di preferenza, cookie di sessione, load balancing etc.);
  • cookie statistici gestiti direttamente da te (non da una terza parte), a condizione che i dati non vengano utilizzati per fare profilazione;
  • cookie statistici di terza parte (anonimi), come Google Analytics*.

* Questa esenzione potrebbe non essere applicabile in tutti i Paesi in quanto dipende dalla specifica normativa locale.

Prova del consenso e registrazione del consenso

La Cookie Law non richiede la tenuta di un registro dei consensi, ma indica che si dovrebbe essere in grado di dimostrare che il consenso è stato fornito (anche se è stato poi revocato). Il modo più semplice per soddisfare questo requisito consiste nell’adozione di una soluzione per l’adeguamento alla Cookie Law che utilizzi un meccanismo di blocco preventivo in quanto, in tali circostanze, i codici di installazione dei cookie possono essere eseguiti solo dopo aver ottenuto il consenso. In questo modo, il fatto stesso che tali codici siano stati eseguiti può essere usato come prova sufficiente del consenso.

La Cookie Law non richiede la tenuta di un registro dei consensi, ma indica che si dovrebbe essere in grado di dimostrare che il consenso è stato fornito.

Per illustrare ulteriormente questo punto, immagina che la possibilità di eseguire i cookie sia una stanza, la soluzione è la porta e il consenso è l’atto di ruotare la maniglia della porta. Si può entrare attraverso la porta nella stanza solo se la maniglia della porta è stata ruotata (l’atto di dare il consenso). In questo esempio, se siete entrati nell’ambiente, può essere solo perché la maniglia della porta è stata ruotata e, quindi, la vostra presenza nell’ambiente è una prova sufficiente di questo fatto.

Sebbene la direttiva non menzioni specificamente la possibilità di tenere effettivamente traccia del consenso acquisito, alcuni orientamenti degli Stati membri potrebbero richiederlo. L’Italia, ad esempio, lo richiede:

In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE).

La presenza di tale “documentazione” delle scelte dell’utente consente poi all’editore di non riproporre l’informativa breve alla seconda visita del medesimo utente sullo stesso sito, ferma restando naturalmente la possibilità per l’utente di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni relative all’uso dei cookie da parte del sito, ad esempio tramite accesso all’informativa estesa, che deve essere linkabile da ogni pagina del sito.

Ciò significa che l’uso di un cookie tecnico nelle modalità sopra illustrate è sufficiente e può essere utilizzato per soddisfare il requisito di “tenere traccia” del consenso acquisito. L’autorità prescrive una validità massima (la possibilità di “ricordare” o “tenere traccia” del consenso) di 12 mesi dall’ultima visita al sito. La iubenda Cookie Solution utilizza questo metodo di “tracciamento del consenso”.

In che modo può aiutarti iubenda

La nostra Cookie Solution semplifica il rispetto delle disposizioni della legge europea sui cookie perché:

  • consente di informare facilmente gli utenti tramite un cookie banner e una pagina dedicata alla cookie policy (che è automaticamente collegata alla privacy policy e integra quanto necessario per la piena conformità alla Cookie Law);
  • raccoglie e salva il consenso;
  • blocca preventivamente i codici prima del consenso.

La nostra soluzione informa l’utente circa:

  • i cookie installati, le loro finalità e come vengono utilizzati;
  • le terze parti che installano cookie attraverso il sito, la loro tipologia e le rispettive finalità, con anche un link diretto alle informative privacy e cookie di tali terze parti;
  • le diverse opzioni a disposizione dell’utente per fare opt-in (prestare il consenso) e opt-out (revocare il consenso);
  • quali azioni sono da intendersi come dichiarazione di consenso;
  • in che modo l’utente può gestire le sue preferenze sull’installazione dei cookie.

La nostra soluzione consente la raccolta dell’esplicito consenso dell’utente mediante:

  • proseguimento della navigazione;
  • scorrimento della pagina;
  • click su specifici link.

La iubenda Cookie Solution ti dà inoltre una serie di funzionalità addizionali per:

  • scegliere tra l’opzione “con consenso preventivo” (ovvero blocco dei codici prima di aver ottenuto il consenso dell’utente e riattivazione solo dopo aver registrato il consenso) o “senza consenso preventivo” (ovvero senza nessun blocco preventivo dei cookie). Utilizzare l’opzione “con previo consenso” assicura che prima di fornire il consenso, l’utente possa aprire la cookie policy e fare opt-out da uno qualsiasi dei codici di monitoraggio adoperati utilizzando gli strumenti di revoca del consenso forniti dalle terze parti. Ricorda che il blocco dei codici prima del consenso è richiesto da alcune normative, tra cui la normativa europea.

  • tenere traccia del consenso e salvare le impostazioni di consenso per ogni utente per un massimo di 12 mesi dall’ultima visita al sito, come richiesto dalla legge.

  • personalizzare la posizione e l’aspetto del cookie banner. Ad esempio, puoi cambiare i colori del banner per adattarli al tuo sito web o aggiungere un pulsante “Accetto”.

  • può essere integrata facilmente nel tuo sito (in particolare, puoi incollare direttamente il codice di integrazione nella sezione HEAD di tutte le pagine pagine del sito, o utilizzare uno dei nostri plugin).

È facile da configurare, veloce e completamente personalizzabile.

Leggi anche