Documentazione

Come devo gestire il consenso ai cookie per essere conforme?

L’utilizzo dei cookie e l’acquisizione del relativo consenso sono regolati dalla Direttiva ePrivacy 2002/58/EC (o Cookie Law), pensata per mettere in atto linee guida precise in materia di trattamento dati con mezzi elettronici come l’email marketing e l’utilizzo dei cookie, valida ancora oggi. In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora insieme” con il GDPR.

La legge sui cookie richiede il consenso informato degli utenti prima di memorizzare i cookie sul loro dispositivo e/o di tracciarli. Ciò significa che se il tuo sito/app (o qualsiasi servizio di terze parti utilizzato dal tuo sito/app) utilizza i cookie, devi informare gli utenti sulle tue attività di raccolta dati e dare loro la possibilità di consentire o meno. È infatti necessario ottenere il consenso informato prima dell’installazione di tali cookie.

Ecco le risposte ad alcune delle domande più comuni riguardanti la gestione dei cookie.

Devo elencare il nome di ciascun cookie (compresi quelli di terze parti) utilizzato sul mio sito web?

No, la Cookie Law non richiede di elencare e nominare i singoli cookie. È tuttavia necessario indicare chiaramente le loro categorie e finalità. È probabile che questa decisione dell’autorità sia stata dettata dall’esigenza di non porre in capo ai singoli gestori di siti/app l’onere di controllare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al loro controllo. Ciò sarebbe irragionevole e probabilmente di scarsa utilità per gli utenti.

Maggiori dettagli qui e qui (per informazioni ancora più approfondite e fonti legali).

Devo fornire il meccanismo per consentire agli utenti di gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente sul mio sito web?

No, la Cookie Law non richiede che tu fornisca agli utenti i mezzi per gestire le preferenze dei cookie direttamente sul tuo sito/app, ma che tu fornisca chiaramente l’opzione per ottenere un consenso informato tramite un comportamento attivo, dia la possibilità di revocare il consenso e che tu garantisca tramite il blocco preventivo che non viene eseguito nessun tracciamento prima del consenso. Ciò significa che tu non devi ospitare direttamente tale meccanismo.

In genere secondo il diritto degli Stati membri, le sole impostazioni del browser sono già considerate un mezzo accettabile per gestire e revocare il consenso (la nostra soluzione va oltre, indicando le opzioni del browser e gli strumenti di terze parti, e collegandosi ai provider di terze parti, che sono in definitiva responsabili della gestione dell’opt-out per i propri strumenti di tracciamento).

Puoi leggere di più sui requisiti qui.

Cosa costituisce un “comportamento attivo” valido?

Il consenso mediante comportamento attivo è quello dato da utente chiaramente e sufficientemente informato sullo scopo, le categorie e l’uso dei cookie utilizzati dal sito web, ed è espresso da una chiara azione positiva.

A seconda delle autorità locali, questi comportamenti attivi possono includere il proseguimento della navigazione, il clic, lo scorrimento della pagina, o un qualsiasi altro metodo che richieda all’utente di procedere attivamente nella navigazione. Il metodo da utilizzare è in qualche modo lasciato alla tua discrezione, non essendo obbligatorio nessun meccanismo particolare (ad esempio le checkbox), purché faciliti un comportamento attivo.

Vale tuttavia la pena notare che, essendo l’ePrivacy una direttiva, le specifiche di come i requisiti vanno soddisfatti dipendono in larga misura dalla legislazione dei singoli Stati membri. Per questo motivo, qualora la legislazione di un particolare Stato membro lo richieda, ti diamo la possibilità di disattivare facilmente la funzione “Consenso tramite scroll e proseguimento della navigazione” della Cookie Solution.

Puoi leggere ulteriori informazioni sui comportamenti attivi qui.

Devo conservare un registro dei consensi per ogni utente?

La Cookie Law non richiede la tenuta di un registro dei consensi, ma indica che si dovrebbe essere in grado di dimostrare che il consenso è stato fornito (anche se è stato poi revocato).

Il modo più semplice per farlo consiste nell’adottare un meccanismo di blocco preventivo in quanto, in tali circostanze, i codici di installazione dei cookie possono essere eseguiti solo dopo aver ottenuto il consenso. In questo modo, il fatto stesso che gli script siano stati eseguiti può essere usato come una prova sufficiente del consenso.

Maggiori informazioni qui.

Leggi anche