Nuove linee guida del Garante Privacy sui cookie: cosa cambia e come adeguarsi

Negli ultimi anni la Comunità Europea ha regolamentato in maniera sempre più precisa le modalità con cui le società raccolgono e conservano i dati personali dei clienti. Dal GDPR alla Cookie Law, sono state molte le nuove regole che abbiamo dovuto imparare a conoscere per rendere i nostri siti web e le nostre app conformi alle normative.

A gennaio terminerà il periodo di adattamento previsto dal Garante della Privacy italiano ed entreranno in vigore il nuovo provvedimento “Linee Guida cookie e altri strumenti di tracciamento” (provvedimento n.231 del 10 giugno 2021).

ATTENZIONE: HAI TEMPO FINO A GENNAIO 2022 PER ADEGUARTI!
Per non rischiare spiacevoli sanzioni, è necessario aggiornare il tuo sito/app entro fine anno.
Ci si aspetta che il Garante intensifichi i controlli a partire da gennaio.

Le linee guida vanno a definire con estrema precisione le modalità di erogazione dei cookie in base alla loro funzionalità, alcune caratteristiche del banner e le modalità corrette per l’acquisizione del consenso.

Cosa cambia?

Le novità riguardano diversi aspetti legati sia alle modalità di erogazione dei cookie che alle tempistiche; ridefiniscono alcune caratteristiche dei banner e perfezionano il modo in cui acquisiamo il consenso all’utilizzo da parte dei nostri utenti.

Nello specifico, il banner dei cookie dovrà comparire alla prima visita dell’utente, a meno che non vengano installati solo cookie “strettamente necessari”. All’interno del banner dovrà essere presente il link alla Cookie Policy, in modo che l’utente possa trovare facilmente il modo di approfondire le tue politiche sull’uso dei cookie. Inoltre, sempre all’interno del banner dovranno essere inseriti dei comandi per accettare o rifiutare tutti i cookie.

L’utente dovrà, poi, avere la possibilità di acconsentire esplicitamente all’utilizzo dei singoli cookie, o al massimo dare il consenso a gruppi di cookie organizzati in categorie in base alla funzione che svolgono (Consenso Granulare).

I cookie non tecnici dovranno essere installati solo dopo aver ottenuto il consenso dell’utente e sarà necessario salvare nel “Registro dei Consensi” tutti i consensi ottenuti.

In ultimo, il Garante ha esplicitamente vietato due modalità di raccolta del consenso molto diffuse: il Cookie Wall, e lo Scrolling. La prima consiste nel limitare l’accesso ai contenuti fino all’accettazione della Cookie Policy; la seconda nel considerare lo scrolling come accettazione esplicita della Cookie Policy.

Il Garante ha ribadito, infatti, che l’accettazione o il rifiuto dei cookie non deve in alcun modo precludere all’utente la navigazione del sito e che l’accettazione, o il rifiuto, devono avvenire in maniera esplicita, attraverso il click su un pulsante.

Ne ho davvero bisogno?

Potresti non averne bisogno se il tuo sito utilizza solo cookie tecnici ma, in generale è molto difficile che un sito non utilizzi cookie di altro tipo.

Facciamo un po’ di chiarezza: un cookie è un piccolo file di testo che ogni sito web invia al browser. All’interno di questo file ogni sito web inserisce le informazioni di suo interesse sulla sessione di navigazione che stiamo effettuando. Terminata la navigazione, questi file restano all’interno del browser; ad ogni nuova sessione i siti web richiedono il loro cookie al browser e lo aggiornano con le informazioni sulla nuova sessione.

I cookie possono essere catalogati in diversi modi: in base alla durata, alla funzione o in base alla provenienza. La catalogazione più diffusa è quella in base alla funzione che svolgono: i più utilizzati sono i cookie tecnici o funzionali, i cookie di profilazione ed i cookie statistici.

Nel dettaglio, i cookie tecnici sono tutti quelli strettamente necessari al funzionamento del sito web come quelli di sessione, di lingua, o quelli in cui vengono salvati i contenuti dei carrelli negli e-commerce. Se si utilizzano solo cookie tecnici è necessario dotarsi di una Cookie Policy ma non di un banner dei cookie.

I cookie di profilazione, invece, servono a creare profili personalizzati in cui catalogare le attività degli utenti per finalità pubblicitarie e di marketing. Si tratta dei cookie utilizzati da tutte le tecnologie di terze parti che siamo soliti integrare sui nostri siti e sulle nostre app: dai pulsanti di Facebook ai video di YouTube. La presenza di questi cookie, oltre a rendere ugualmente necessaria la Cookie Policy, introduce l’obbligo di mostrare un Cookie Banner alla prima visita dell’utente. Secondo la nuova normativa, infatti, questi cookie NON devono essere installati sul client dell’utente finché quest’ultimo non abbia fornito un esplicito consenso al loro utilizzo. Il banner, infatti, serve proprio a raccogliere questo consenso.

Per quanto riguarda i cookie statistici bisogna distinguere se sono di prima parte oppure di terza parte.

I cookie statistici di prima parte possono essere installati senza il consenso dell’utente.

I cookie statistici di terza parte (es. Google Analytics) possono essere installati senza il consenso dell’utente a patto che:

  • non permettano l’identificazione di un utente preciso;
  • il loro uso sia limitato a un singolo sito/app;
  • non siano condivisi o comunicati a terzi;
  • i dati raccolti non siano combinati con altri dati.

Come avrai ormai capito, tutti i siti web usano cookie per funzionare. Anche i servizi di terza parte come Google Analytics, i pulsanti di Facebook o i video di YouTube, che integriamo sui nostri siti web. Per questo, è davvero molto difficile che il tuo sito non utilizzi cookie.

In conclusione, sì è molto probabile che tu abbia bisogno di adeguare il tuo sito alle nuove linee guida cookie.

Contattaci se hai dubbi o domande!

Cosa fare per adeguarsi?

Per adeguarsi alle nuove linee guida cookie è necessario modificare il banner dei cookie, la modalità con cui questi vengono installati nel browser e le modalità di conservazione dei consensi. Vediamo ora come rendere il tuo sito coerente con tutte le normative vigenti.

Cookie banner

Se il tuo sito web usa cookie di profilazione, ad esempio attraverso un servizio di terza parte che hai integrato, devi mostrare il cookie banner al primo accesso dell’utente, così da acquisirne un consenso valido ed esplicito.

Ricorda: prima di aver ottenuto il consenso tutti i cookie non tecnici devono essere bloccati.

Il banner deve includere:

  1. un’informativa breve che faccia subito chiarezza sull’uso dei cookie e sulle relative finalità;
  2. un link alla Cookie Policy per ulteriori approfondimenti;
  3. un link ad un pannello delle preferenze dove l’utente può scegliere a quali cookie acconsentire, possibilmente raggruppati per categorie;
  4. un comando per accettare tutti i cookie;
  5. un comando per rifiutare tutti i cookie;
  6. un comando per chiudere il banner senza prestare il consenso.

Banner dei Cookie
Inoltre, Cookie Policy e pannello delle preferenze devono essere accessibili da ogni pagina del sito, non solo dal banner. Il nostro consiglio è di mettere un link nel footer.

Accessibilità banner dei cookie

Cookie Policy

Nella Cookie Policy dovrai spiegare in dettaglio ai tuoi utenti:

  • quali sono le tipologie di cookie installate dal tuo sito;
  • chi sono i soggetti terzi che gestiscono cookie tramite il tuo sito;
  • le finalità di utilizzo dei cookie.

La Cookie Policy deve essere predisposta in tutte le lingue in cui il tuo sito web è disponibile.

Raccolta del consenso

L’utente deve prestare il consenso alla profilazione mediante un’azione positiva ed esplicita, come il click su un pulsante di accettazione nel Cookie Banner.

Lo scorrimento della pagina (scrolling) non è più valido e non sono più ammesse neanche barriere che precludano l’accesso al sito se non si accetta l’uso dei cookie (Cookie Wall). Infine, non è possibile richiedere più volte il consenso allo stesso utente.

Puoi chiedere nuovamente di prestare il consenso esclusivamente se:

  • le condizioni del consenso sono cambiate (ad es. hai aggiunto dei nuovi servizi di terza parte);
  • non possiedi gli strumenti per tenere traccia del consenso precedente;
  • sono passati almeno 6 mesi dall’ultima acquisizione.

Consenso granulare

Devi offrire agli utenti una scelta granulare. Ad esempio, l’utente deve poter scegliere di acconsentire all’installazione dei cookie statistici, ma non di quelli pubblicitari.

Consenso granulare

Il pannello delle preferenze di tracciamento da cui l’utente effettua questa scelta deve essere accessibile dal cookie banner e da ogni pagina del sito.

Importante: il consenso granulare è una delle principali novità introdotte dalle nuove linee guida, nonché uno dei requisiti con i maggiori risvolti tecnici. Pertanto, ti consigliamo di dare priorità a questo aggiornamento.

Se ha bisogno di aiuto, contattaci!

Prova del consenso

Il titolare del sito web deve poter dimostrare di aver ottenuto un consenso valido. È necessario quindi raccogliere una prova del consenso e tenerne traccia in un apposito registro dei consensi.

Il registro dei consensi deve includere almeno i seguenti dettagli:

  • chi ha fornito il consenso;
  • quando e come è stato acquisito il consenso;
  • le preferenze espresse;
  • un riferimento ai documenti legali ed alle condizioni in essere nel momento in cui il consenso è stato ottenuto.

Quando adeguarsi

Le nuove linee guida per l’uso dei cookie sono state pubblicate dal Garante Privacy italiano in gazzetta il 9 luglio 2021. Sono stati concessi 6 mesi per adeguarsi, per cui hai tempo fino a fine anno per allinearti alle nuove disposizioni.

Come possiamo aiutarti?

Contattaci al numero 06 896 723 74, valuteremo insieme se il tuo sito necessita di adeguamenti o meno!

Ricorda che se il tuo sito web ha dei moduli come la form di contatto, o quella di registrazione alla newsletter o di creazione account (ad esempio i siti di e-commerce), avrai sicuramente necessità di fare qualche modifica.