Cookie Policy, banner, consensi – Come essere compliant al GDPR?

Per aprire un sito web, anche in modo amatoriale, bisogna considerare la protezione dei dati personali di chi accede al sito fin dalla sua progettazione e per impostazione predefinita, nel rispetto dei principi di Privacy by design e Privacy by default, di cui all’art 25 GDPR.

Sin da subito è necessario effettuare una serie di scelte: se avere o non avere cookie, se averne di propri, o averne di terze parti.

I cookie si istallano sul pc o altro device dell’utente ed hanno finalità diverse. L’utente del sito deve esserne informato e deve poter scegliere se prestare il proprio consenso, laddove la tipologia di cookie richieda questa operazione.

Per creare il sito web spesso verrà utilizzato un sistema già impostato come ad esempio Altervista, Blogger, Wix, WordPress. Con opportuni plug-in sarà possibile generare una cookie policy, ovvero tenere traccia dei consensi prestati; con una richiesta a siti specifici è possibile generare una cookie policy. Ma quanto è compliant una cookie policy?

Gli elementi necessari di una privacy policy, che può contenere ovvero integrare una cookie policy, sono individuabili se la policy risponde alle seguenti domande:

  • Chi è il titolare del trattamento?
  • Quali sono i dati oggetto del trattamento?
  • Di quali tipi di cookie fa uso il sito web?
  • Quali sono le finalità del trattamento?
  • A chi vengono trasmesse le informazioni?
  • C’è trasferimento di dati all’estero?
  • Quali sono i diritti degli interessati?

Prima di realizzare la cookie policy sarà necessario verificare con un report i cookie presenti sul sito web, in modo da definire correttamente le azioni da svolgere.

Le azioni da compiere saranno diverse a seconda dei cookie installati sul sito web. Si distingue tra cookie tecnici, che servono per far funzionare il sito web, cookie analitici e cookie di profilazione.

Nella descrizione dei cookie è corretto indicare il fornitore, la tipologia di cookie, la funzione, le tempistiche di durata.

Le varie Autorità Europee hanno chiarito che soltanto i cookie tecnici non hanno bisogno di consenso, in quanto sono necessari a far funzionare il sito web, e per essi è comunque necessaria un’informativa (cookie policy).

Tutti gli altri cookie necessitano:

  • di una informativa…………………………..per i cookie analitici di terza parte anonimizzati
  • di un banner , del consenso e dell’informativa………………………………..per i cookie analitici di prima e terza parte non anonimizzati
  •  di un banner, del consenso e dell’informativa…………………………………per i cookie di profilazione di prima o di terza parte

Le indicazioni che l’Autorità Garante Italiana ha rilasciato sui cookie sono antecedenti al GDPR: all’epoca venivano considerati unitariamente i cookie tecnici ed analitici di prima parte.

Le indicazioni che l’ICO (Information Commissioner’s Office) ha rilasciato prima della Brexit sono più stringenti: per l’Autorità Inglese il consenso è necessario anche per i cookie analitici, in quanto non sono strettamente necessari per il funzionamento del sito web.

Le linee guida adottate dall’EDPB (European Data Protection Board) il 04.05.2020 stabiliscono che affinché il consenso possa essere dato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso di un utente alla memorizzazione delle informazioni o all’ottenimento dell’accesso alle informazioni già memorizzate, nell’apparecchiatura terminale di un utente (i cosiddetti cookie wall) …. Ciò non costituisce un consenso valido, in quanto la fornitura del servizio dipende dall’interessato facendo clic sul pulsante “Accetta i cookie”…. In base al considerando 32, azioni come lo scorrimento di una pagina Web o attività dell’utente simili non rientrano in alcuna delle circostanze che soddisfano il requisito di un’azione chiara e affermativa: tali azioni possono essere difficili da distinguere da altre attività o interazioni da parte di un utente e pertanto non sarà possibile determinare che sia stato ottenuto un consenso inequivocabile. Inoltre, in tal caso, sarà difficile fornire all’utente la possibilità di revocare il consenso in modo semplice come concederlo.

Quando è necessario, il consenso, pertanto, come va prestato? Con un’azione inequivocabile, in ossequio al considerando 32 GDPR, ad esempio con l’apposizione di un flag o cliccando un tasto all’interno del banner. Del consenso prestato bisogna tenerne traccia. La precedente indicazione che veniva utilizzata nei banner, prevedeva come forma implicita di accettazione dei cookies lo scroll della pagina, oppure la chiusura del banner.

Oggi, laddove sia necessario il consenso, in base alla tipologia dei cookies inseriti, è necessaria l’azione inequivocabile (click, flag) da parte dell’utente, che egualmente, deve poter altrettanto agevolmente, revocare il consenso. Questo implica che laddove ci siano più consensi sul banner da poter spuntare essi siano impostati di default sul rifiuto (no, non acconsento, flag non spuntato). L’utente potrà in tal modo liberamente scegliere se consentire oppure no che il suo comportamento sia profilato.

Posted in Protezione DatiTags:
Write a comment