Cookie policy e GDPR: come mettere in regola il proprio sito web aziendale
Il Regolamento UE ha imposto più rigore nel modo in cui i siti web possono usare i cookie e il monitoraggio online. Ecco come.
Il Regolamento Generale sulla protezione dei dati personali n. 679/2016(conosciuto anche come GDPR),che disciplina la raccolta e il trattamento dei dati personali delle persone fisiche all’interno dell’UE,ha dato particolare rilievo alla tematica dei cookie per il tracciamento e il monitoraggio degli utenti on line.
In base al GDPR, è responsabilità legale dei proprietari e degli operatori dei siti web assicurarsi che i dati personali vengano raccolti e trattati in modo legale e quindi, nonostante i cookie siano menzionati una sola volta nel testo del GDPR, la loro regolamentazione è comunque un pilastro della conformità per i siti web con utenti situati nell’Unione Europea.
Ciò è dovuto al fatto che i cookie dei siti internet sono uno dei modi più comuni per raccogliere e condividere i dati personali online.
I siti web aziendali rappresentano una grande opportunità di visibilità sia per le piccole che per le grandi imprese in quanto si svincolano dai limiti di spazio e di tempo proprie degli uffici e dei negozi fisici. Inoltre, i motori di ricerca, con Google in testa, rappresentano il primo canale digitale utilizzato per la ricerca di nuovi brand, di servizi o di informazioni. Per questo, avere un sito web a prova di GDPR per il marketing di un’azienda è una prerogativa imprescindibile.
Cosa sono i Cookie?
I cookie sono dei brevi file di testo inviati sul dispositivo dell’utente nel corso della navigazione su un sito web. Sono nati come strumenti per migliorare la navigazione, permettendo di leggere e memorizzare delle informazioni che, al successivo accesso, venivano riproposte all’utente (come, ad esempio le credenziali d’accesso o il contenuto del carrello su un e-commerce), migliorando l’esperienza di navigazione.
Ora i cookie consentono anche di identificare e classificare il visitatore del sito.
Tipologie di Cookie
Per entrare più nel dettaglio, è bene sapere che diverse sono le tipologie di cookie che si possono utilizzare nella creazione di un sito web e che occorre valutare per essere in linea con la normativa privacy:
- Cookie tecnici: necessari per migliorare l’esperienza di navigazione. Come anticipato, questi memorizzano determinate informazioni fornite dall’interessato per non costringerlo ad inserirle nuovamente nel momento in cui dovesse ritornare a visitare il sito web.
- Cookie di profilazione:in grado di “raccogliere” dati sugli interessi e preferenze dell’utente (come tipologia di acquisti effettuati, applicazioni utilizzate, destinazioni di viaggio ricercate, etc.). I dati così raccolti vengono usati per attività mirate a fini commerciali, facendo apparire all’utente web annunci pubblicitari selezionati in base alle preferenze individuate.
- Cookie di sessione o di durata: a seconda che vengano o meno memorizzati sul dispositivo dell’utente anche dopo la chiusura del browser web.
- Cookie di prima parte, cioè inviato al browser direttamente dal titolare del sito che si sta visitando, o di terza parte, inviato al browser da terze parti che si innestano all’interno del sito che si sta visitando in qualità, ad esempio, di responsabili del trattamento fornitori di analytics.
I cookie tecnici non necessitano del preventivo consenso dell’utente prima di essere utilizzati mentre i cookie di profilazione, al contrario, possono essere usati solo dopo che l’utente abbia espresso il proprio consenso, previo rilascio dell’informativa affinché tale consenso possa dirsi effettivamente informato.
Le novità del GDPR in materia di Cookie
I cookie utilizzati sui siti internet sono, dunque, uno dei modi più comuni per raccogliere (e condividere) i dati personali online. Per questa ragione, i cookie rappresentano uno degli aspetti centrali del GDPR che stabilisce regole specifiche per il loro utilizzo.
ll GDPR prescrive che un sito web sia autorizzato a raccogliere i dati personali degli utenti solo dopo che questi abbiano espresso il loro consenso esplicito alle relative specifiche finalità di utilizzo.
Secondo il GDPR, il consenso ai cookie dei siti web deve soddisfare i seguenti requisiti:
- il consenso preventivo ed esplicito deve essere ottenuto prima di qualsiasi attivazione dei cookie (ad eccezione dei cookie necessari, ovviamente);
- il consenso deve essere specifico e cioè l’utente deve poter individuare esattamente il tipo di cookie per il quale sta dando il consenso e deve poterne attivare alcuni, lasciandone eventualmente disattivati altri – quindi è escluso che l’utente sia costretto a scegliere se dare il consenso a tutti o a nessuno;
- il consenso deve essere prestato liberamente, senza cioè forzature;
- i consensi devono poter essere revocati in maniera semplice e agevole;
- i consensi devono essere registrati e conservati per il tempo strettamente necessario;
- il consenso deve essere rinnovato almeno una volta all’anno.
Per rendere il proprio sito web compliant al GDPR è necessario sapere che, secondo il testo della norma, le caselle pre-selezionate non sono conformi al GDPR. Queste non sono infatti sufficienti a rappresentare una manifestazione volontaria ed esplicita che possa essere considerata equivalente al consenso. L’utente deve manifestare il proprio consenso con un comportamento positivo, apponendo una spunta su un campo oppure selezionando una specifica impostazione per accettare o negare i cookie.
Addio consenso implicito
È escluso quindi che si possa ricorrere al consenso implicito: gli utenti, con riferimento ai cookie non essenziali (i cookie analitici,quelli utilizzati a fini di marketing e pubblicità), devono per forza dare un consenso. Per chiarezza, non sarà quindi possibile ricorrere al pre-flag: gli utenti devono poter avere il controllo sui cookie che vengono serviti al momento della loro visita sulla pagina web.
Banner Cookie
L’utente all’ingresso sul sito web deve avere accesso a un banner cookie, ben visibile al momento dell’accesso, contenente una informativa chiara che prenda in considerazione:
- tipologia di cookie utilizzati in caso di consenso;
- se il sito utilizza cookie di profilazione, che, come abbiamo visto, sono quei cookie necessari per inviare messaggi pubblicitari mirati;
- se il sito consente l’invio di cookie di terze parti;
- come revocare il consenso;
- link alla Privacy Policy e alla Cookie Policy redatte per esteso e rese accessibili sia dal banner che da ogni pagina del sito durante la navigazione;
- flag per poter accordare i corretti consensi
Avere un Cookie Banner a norma permette di essere tutelati legalmente ma offre anche notevoli vantaggi dal punto di vista del business. La questione privacy è un’esigenza ormai molto diffusa lato utenti e consumatori, rispettare queste norme dimostra di essere interessati in modo attivo ai diritti dei visitatori del proprio sito portando, di conseguenza, gli utenti stessi ad avere fiducia nell’azienda.
In questo breve articolo si è cercato di offrire una panoramica riassuntiva delle informazioni salienti da avere per adeguare il proprio sito web al GDPR.
Ma attenzione:l’adeguamento della gestione dei cookie al GDPR è un aspetto estremamente delicato che necessita di una specifica valutazione dei cookie utilizzati, soprattutto quando il sito è collegato a campagne di digital advertising oppure si tratta di sito e-commerce. Ricordiamo che è in fase di approvazione definitiva dell’e-privacy la regolamentazione delle comunicazioni elettroniche.
Diversi sono gli aspetti da considerare, ad esempio la contitolarità del trattamento di cookie di terze parti quando vi sia la possibilità di accedere ai dati in forma disaggregata, come nel caso di particolari accordi commerciali. La violazione della normativa potrebbe comportare l’applicazione di gravose sanzioni.
Per adeguarsi correttamente al GDPR anche in materia di cookie è necessario affidarsi a professionisti affidabili, in grado di svolgere una corretta analisi del sito e dei cookie utilizzati, redigere una adeguata cookie policy e far fronte agli adempimenti richiesti dalla normativa.
Contattaci per un primo colloquio dove esporci le tue necessità e capiremo insieme quali interventi mettere in atto per adeguare il sito web aziendale alla normativa vigente.