La raccolta e la profilazione dei dati personali raccolti sul web attraverso i siti internet aziendali e istituzionali sono tra i temi centrali del nuovo regolamento sulla protezione dei dati. Con oltre 43 milioni di utenti internet attivi*, è facile intuire come la mole di dati recuperabili dalle attività online sia elevatissima e, pertanto, che richieda una qualche forma di controllo per garantire la tutela degli individui.
Prima ancora dell’entrata in vigore del GDPR, la normativa che ha dato un giro di vite alla raccolta dei dati personali sul web è stata la Cookie Law del 2015, che ha imposto determinati limiti nell’utilizzo dei cookie all’interno dei siti e nuovi standard di rispetto della privacy e della libertà di scelta dell’utente.
Ma come si integra la Cookie Law con il nuovo regolamento generale sulla protezione dei dati?
Innanzitutto partiamo con il dire che le due normative sono due cose distinte ma che viaggiano di pari passo; infatti, se il GDPR tratta di sicurezza dei dati in senso ampio, la cookie law è funzionale all’adeguamento al Regolamento perché affronta la questione sul versante web, dal punto di vista della raccolta di tutti quei dati che possono contribuire all’identificazione di una persona fisica.
All’interno del GDPR troviamo i cookie citati una sola volta, nello specifico all’articolo 30 del regolamento:
“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.”
In altre parole, possiamo dedurre che i cookie possono contribuire all’identificazione di una persona, pertanto vanno trattati come dati personali.
Ma facciamo chiarezza su cosa sono e a cosa servono i cookie: i cookie sono dei file di testo che vengono immessi nel browser di chi naviga in un determinato sito e che raccolgono dati relativi alla visita dell’utente. Generalmente vengono classificati in tre tipologie:
- tecnici
- analitici
- di profilazione
Nel caso dei cookie tecnici, questi dati servono a dare all’utente le informazioni richieste e migliorare l’esperienza di navigazione, memorizzare le interazioni e utilizzarle per personalizzare la navigazione nelle visite successive.
Questi cookie sono particolarmente utili all’interno di quei siti che richiedono una qualche forma di autenticazione o negli ecommerce, per memorizzare i prodotti messi nel carrello per un determinato lasso di tempo.
I cookie statistici e di profilazione sono invece utilizzati ai fini di advertising, poiché servono a monitorare le nostre visite all’interno di siti che vendono prodotti o servizi, raccogliere e profilare dati relativi alle modalità di fruizione e consultazione dei contenuti web in modo da poter inviare pubblicità mirate. Ti sarà capitato di visitare un sito che vendeva qualcosa e di essere poi “inseguito” in altri siti da annunci di questi prodotti, vero? Ecco, questo è merito dei cookie di profilazione.
Queste tipologie di cookie possono essere pertinenti al sito stesso, e quindi si definiscono cookie di prima parte, oppure relativi ad altri siti e applicazioni web come ad esempio social e Google Analytics, e allora in questo caso ci riferiamo ad essi come cookie di terze parti.
Da leggere: Come essere in regola con il GDPR: perché la firma non basta
I cookie analitici di terze parti che adottano misure che limitano il potere identificativo (ad esempio nascondendo l’indirizzo IP) ed in cui la terza parte si impegna a non incrociare i dati raccolti con altri in suo possesso, non sono soggetti all’obbligo richiesta di consenso, in quanto vengono assimilati ai cookie tecnici.
La Cookie Law del 2015
Per dare agli utenti la possibilità di scegliere se essere tracciati da questi cookie oppure no, nel 2015 il legislatore ha imposto la Cookie Law, che impone l’informativa e la richiesta del consenso ai visitatori di un sito web per poter utilizzare i cookie a scopi commerciali. Quello che vediamo all’interno dei siti sotto forma di banner non è altro che la versione breve dell’informativa, che deve rinviare all’informativa estesa all’interno della quale vengono elencati finalità e utilizzo dei cookie, sia quelli implementati dal sito stesso che da terze parti.
Da leggere: La differenza tra informativa Privacy e consenso informato
Secondo la normativa, i cookie di profilazione non potrebbero essere attivati fino a quando non viene data l’autorizzazione dall’utente. E nella pratica?
Nella realtà dei fatti la legge è stata percepita in modo non uniforme: molti siti hanno ovviato al problema apponendo un semplice banner all’interno del sito che però, in realtà, non blocca effettivamente i cookie. Per bloccare i cookie ci vogliono infatti competenze tecniche specifiche in materia di sviluppo web e un banner non è sufficiente per farlo.
Il banner di per sé è necessario poiché deve contenere:
- informativa breve con link all’informativa estesa
- Tasto per acconsentire
Cookie: cosa cambia con il GDPR?
Il cambiamento portato dal GDPR in relazione all’informativa dei cookie risiede principalmente nel consenso rilasciato dall’utente, che deve essere:
- informato: deve essere spiegato in modo chiaro e semplice quali cookie sono utilizzati all’interno del sito e come e perché vengono utilizzati i dati raccolti grazie a essi. Il contenuto dell’informativa deve essere dettagliato ma comprensibile, senza ambiguità;
- esplicito: il consenso deve essere dato attraverso un’azione affermativa e positiva da parte dell’utente, che non lasci spazio a interpretazioni. Inoltre, l’utente deve avere la possibilità di scelta in merito a quali cookie accettare;
- modificabile: l’utente deve avere la possibilità di cambiare il suo consenso in modo semplice qualora cambiasse idea.
Per quanto riguarda i cookie analitici di terze parti e i cookie di profilazione di prime e terze parti, se questi hanno potere identificativo nei confronti dell’utente, devono essere inseriti all’interno di apposito banner con richiesta del consenso.
L’accettazione dei cookie (analitici di terze parti con potere identificativo e di profilazione di prima parte e terze parti) diventa una possibilità di scegliere in modo consapevole quanti e quali dati vogliamo rilasciare.
A ciò si aggiunge il diritto all’oblio, cioè all’eliminazione totale dei dati raccolti con i cookie se l’utente ne fa richiesta.
Da leggere: GDPR e posta elettronica: le cose da sapere
Questo significa che l’unico consenso a norma di legge è quello dato da una azione di opt-in positiva, cioè un’azione concreta da parte dell’utente con cui viene accettata l’installazione dei cookie. Si tratta quindi di un consenso preventivo, senza il quale i cookie non possono essere installati.
Inoltre, l’informativa relativa ai cookie deve essere inclusa all’interno del sito così come la Privacy Policy e deve illustrare chiaramente modi e finalità dell’utilizzo dei cookie, oltre alla presenza dei cookie di terze parti.
Un sito non in regola con la cookie law non è un sito GDPR compliant.
Non hai la certezza di aver adeguato correttamente il tuo sito e non vuoi rischiare sanzioni? Un nostro specialista è a disposizione per parlare con te del tuo progetto e capire come possiamo aiutarti. Contattaci!
"*" indica i campi obbligatori
