Iubenda logo
Start generating

Documentation

Table of Contents

Domande frequenti sulla cookie law e su Privacy Controls and Cookie Solution di iubenda

Dove trovo informazioni sulla Cookie Law e su come funziona?

Consulta la nostra guida Cookie Law e normativa europea sulla privacy: cos’è davvero necessario? e l’infografica sugli adempimenti richiesti.

Quali sono le caratteristiche della soluzione cookie di iubenda?

  • Permettiamo di generare la cookie policy in pochi click e di tenerla aggiornata (non serve indicare la lista nome per nome dei cookie utilizzati dal sito)
  • Forniamo uno script che, una volta inserito nelle pagine, è già collegato con la cookie policy generata, mostra il banner, gestisce la preferenza ed il consenso (anche condividendolo fra più domini), funziona in contesti mobile e si adatta alle varie risoluzioni. Consulta la guida introduttiva a Privacy Controls and Cookie Solution di iubenda per ulteriori informazioni
  • Il codice di cui sopra include una libreria completa che permette di gestire il blocco dei codici di tracciamento prima del consenso tramite vari metodi (ad esempio tagging, callback, Google Tag Manager ecc.) e la loro riattivazione asincrona
  • Abbiamo sviluppato un modulo Apache/Nginx/IIS che automatizza tutte le operazioni di tagging ed evita dunque di agire manualmente sul codice del sito

Dietro tutto questo c’è un’azienda intera che investe le proprie risorse perché quanto sopra funzioni e sia costantemente aggiornato, sia a livello di testi legali che di funzionamento tecnico.

È necessario bloccare prima del consenso tutti gli script che potrebbero installare cookie?

Cerchiamo di fare chiarezza facendo anche riferimento al provvedimento rilasciato in Gazzetta Ufficiale l’8 maggio 2014, disponibile qui.

Esaminiamo dunque insieme il testo, come fatto negli ultimi 10 mesi prima dell’entrata in vigore della cookie law dal tavolo interassociativo, che in più ha avuto l’occasione di chiarire i propri dubbi direttamente con il Garante.

In breve: sebbene il Garante abbia riconosciuto la responsabilità del terzo sui cookie da questo installati, questa responsabilità è limitata all’obbligo di informativa. In virtù del suo ruolo di – citando il testo – “intermediario tecnico”, tuttavia, sul titolare del sito permane l’obbligo di raccolta del consenso.

Esaminiamo insieme il testo.

Il primo paragrafo rilevante è questo:

«Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”»

-> Qui sembra esserci un’apertura nei confronti del titolare che sarebbe dunque non solo sgravato dell’obbligo di informativa, ma anche di quello di raccogliere il consenso. Se per l’informativa, tuttavia, l’esenzione pare legittima, il resto del documento prende poi una strada diversa.

Sul tema dell’informativa, a questo punto il provvedimento chiarisce ogni dubbio:

«Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti»

-> Da questo si evince come in nessun caso il titolare debba farsi carico di vigilare sui cookie installati dalle terze parti e fare unicamente riferimento alle informative che questi mettono a disposizione, all’interno delle quali la terza parte dovrà informare gli utenti.

A questo punto il provvedimento torna a parlare di consenso:

«Analogamente, per quanto concerne l’acquisizione del consenso per i cookie di profilazione, dovendo necessariamente – per le ragioni suesposte – tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste»

-> E qui sorgono i problemi: di che duplice veste parliamo?

Il provvedimento chiarisce subito:

«Per i cookie che le stesse [terze parti] installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti»

-> Abbiamo dunque capito che il titolare, per quanto riguarda i cookie installati dalle terze parti, è un intermediario tecnico, ma cosa implica questo di preciso? Proseguiamo.

«Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti»

-> Ed ecco il problema, una volta chiarito che il titolare è un intermediario tecnico, a tale proposito il provvedimento torna a chiarire che il titolare ha in ogni caso degli obblighi in termini di raccolta del consenso, ma lascia tutto indeterminato e fa riferimento a un non ben precisato “come si vedrà più avanti”.

Ma fino ad ora eravamo solamente alle premesse, veniamo alle disposizioni vere e proprie. Qui il provvedimento si tiene molto vago e recita:

«2. Ai sensi dell’art. 154, comma 1, lettera c), del Codice – ai fini di mantenere distinta la responsabilità dei gestori di siti web, come meglio specificati in motivazione, da quella delle terze parti – prescrive ai medesimi gestori di acquisire già in fase contrattuale i collegamenti (link) alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari)»

-> Qui in sostanza si capisce questo: l’idea del provvedimento è che, per quanto il titolare non sia responsabile dei cookie terzi, in quanto intermediario tecnico deve comunque stabilire in base ad accordi contrattuali con gli erogatori terzi le modalità di acquisizione del consenso, chiamate vagamente “moduli”, che poi dovrebbe comunque presentare all’utente al momento dell’informativa. Nella vita reale tali “moduli” sono costituiti dalle pagine di opt out fornite – per esempio – dai vari network di advertising e rimane il titolare colui che deve presentare all’utente tali moduli.

Visto poi che il provvedimento rimanda agli obblighi contrattuali con i fornitori di servizi terzi, proviamo a vedere cosa dicono i Termini di Servizio di AdSense. Citando:

«Il Publisher metterà in atto sforzi commerciali ragionevoli per assicurare che un utente finale acconsenta all’archiviazione e all’accesso ai cookie, informazioni specifiche sul dispositivo, informazioni sulla località o altre informazioni sul dispositivo dell’utente finale in connessione al Servizio laddove tale consenso sia richiesto dalla legge.»

-> Il Publisher è ovviamente il titolare del sito, il che significa che nei famosi accordi contrattuali con la terza parte, la terza parte stessa scarica sul titolare (ricordiamocelo, “intermediario tecnico”) l’obbligo di mettere in atto quanto necessario a richiedere il consenso.

A questo punto, la sensazione certa è che il provvedimento sia tutt’altro che chiaro e che il titolare paia avere una responsabilità come intermediario che lo pone dunque – de facto – nell’obbligo di raccogliere il consenso. Cerchiamo dunque di fare un passo indietro e chiarire quali sono i principi generali della normativa privacy, al di là del tema cookie. Cercando di semplificare, il titolare deve sempre:

  • Informare l’interessato (in questo caso l’utente)
  • Richiedere il consenso preventivo al trattamento dei dati personali

Questo significa che il titolare, in mancanza di alcun modo attualmente esistente da parte del terzo di richiedere il consenso e considerando il suo ruolo di intermediario tecnico che imporrebbe alla terza parte di passare comunque per il tramite del titolare per richiedere questo consenso, così stando le cose il titolare si renderebbe responsabile di una violazione palese del Codice Privacy, permettendo che il trattamento abbia luogo prima che l’utente sia stato informato ed abbia potuto esercitare il consenso.

A questo, e vogliamo aggiungere un tassello, si somma il fatto che la legislazione europea è molto chiara nello stabilire che l’installazione dei cookie non debba avere luogo, indipendentemente dal ruolo della terza parte, prima che l’utente sia stato informato, e che la responsabilità di questo verta sul titolare del sito. A prova di questo ci sono vari interventi non solo da parte del legislatore europeo, ma anche del WP29 (Il Gruppo Articolo 29, ossia una specie di gruppo di lavoro composto da tutte le autorità garanti europee) che ha pubblicato documenti di chiarimento molto espliciti su questo.

Vista la situazione non chiara, dunque, nel 2014 il Garante stesso ha richiesto la creazione di un tavolo interassociativo composto da tutte le associazioni di categoria di riferimento nel mondo online (Iab, Fedoweb, UPA, Netcomm, DMA) che chiarisse l’applicazione pratica del provvedimento. Il risultato è il Kit disponibile a questo link.

A questo punto la domanda ricorrente: possiamo fidarci del Kit?

A questo proposito possiamo fornire queste motivazioni:

  • Al Kit, al di là di iubenda, hanno lavorato numerosi Avvocati e tutti gli esponenti più importanti del mondo online italiano. Fra questi, iubenda è stata partner tecnico
  • Il tavolo interassociativo ha avuto modo di confrontarsi circa il Kit con l’autorità per dirimere tutte le ambiguità della normativa, a cominciare dal fatto che in nessun caso la profilazione tramite cookie debba avvenire prima di aver richiesto il consenso
  • Il Kit è stato presentato alla presenza del Garante in una conferenza stampa da lui presieduta il giorno martedì 5 maggio 2015

Il blocco dei cookie prima del consenso è quindi obbligatorio. Non basta solamente il banner?

Nel rispetto dei principi generali della legislazione privacy, che impediscono il trattamento prima del consenso, la cookie law non consente l’installazione di cookie prima di aver ottenuto il consenso, fatta eccezione per le categorie esenti.

È normale e consentito che con una semplice azione di scorrimento l’utente presti il consenso al trattamento tramite cookie?

ll proseguimento della navigazione costituisce metodo valido per la raccolta del consenso, e l’azione di scorrimento può essere fatta rientrare in questa categoria. Il Garante ha chiarito esplicitamente questo aspetto specificando che le “soluzioni per l’acquisizione del consenso basate su scroll, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”.

In un’intervista il Dott. Montuori dell’Autorità Garante ha affermato che nel raccogliere il consenso dell’utente è necessario “generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte)”. iubenda rispetta questo vincolo?

Lo stesso Dott. Montuori ha poi precisato che la generazione di tale evento può risultare nella creazione di un cookie tecnico, ch’è esattamente ciò che fa il servizio di iubenda.

Quale durata deve avere il cookie di preferenza?

12 mesi. In più è stata opinione diffusa dei membri del tavolo interassociativo che si è occupato dell’approfondimento della legge di ritenere accettabile l’estensione di altri 12 mesi ad ogni futura visita dell’utente. Privacy Controls and Cookie Solution di iubenda gestisce tutti questi aspetti in modo automatico.

Come posso verificare se il consenso è stato acquisito o meno? È possibile consultare la lista degli utenti che hanno prestato il consenso?

Al momento non è possibile fare questa verifica.

L’utente può negare il consenso all’installazione di determinati cookie? In che modo?

Proseguendo con la navigazione, l’utente non può negare il consenso all’installazione dei cookie se non visitando i siti delle terze parti (es. Google Analytics) ed utilizzando le apposite funzioni fornite dalla terza parte per prevenire il tracciamento. Il titolare del sito è tenuto a segnalare nella sua cookie policy le terze parti che installano cookie (o che potrebbero installarne), con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso di modo che l’utente sia in grado di rivolgersi alla terza parte per richiedere l’opt out. L’unica eccezione si ha quando il titolare del sito installa e gestisce direttamente dei cookie non esenti dall’obbligo di consenso (come i cookie di profilazione). In questo caso è necessario che all’interno della cookie policy sia possibile esercitare tale consenso.

In quali casi è obbligatorio che sia il titolare del sito a fornire all’utente gli strumenti per opporsi al trattamento tramite specifici cookie?

Solo per i cookie di profilazione di prima parte, ovvero quelli che il titolare usa in maniera autonoma ed indipendente per profilare l’utente. Negli altri casi (ossia nella stragrande maggioranza dei casi), l’utente può opporsi al tracciamento tramite cookie direttamente visitando il sito della terza parte, linkato all’interno della cookie policy.

Il codice di monitoraggio di Google Ads (così come quello di altri strumenti affini come quelli dei Facebook Ads) installa cookie. È considerato un cookie di profilazione?

Il codice di monitoraggio di Google Ads (così come gli altri) installa cookie di profilazione. Questo significa che è necessario mostrare banner e cookie policy, nonché bloccare i codici prima di aver raccolto il consenso dell’utente.

Tuttavia, nella gran parte dei casi, la titolarità dei dati (ossia dei cookie utilizzati) è del servizio terzo (in tal caso Google).

Se per bloccare preventivamente AdSense sono costretto a modificare i codici, non vado incontro al rischio di ban?

La modalità suggerita da Google per gestire la cookie law senza essere costretti a modificare il codice di AdSense è tramite l’utilizzo di Google Ad Manager (prima DFP, DoubleClick for Publishers), uno strumento messo a disposizione da Google per centralizzare la gestione degli annunci presenti sul proprio sito. Consulta la nostra guida che ti spiega come utilizzare iubenda con Google Ad Manager.

Ogni altra soluzione di cui siamo a conoscenza che permetta di adempiere alla cookie law senza la modifica del codice di AdSense stesso necessita di ricaricare la pagina dopo il consenso. Se non suggeriamo questa soluzione è perché, dai nostri test, determina una diminuzione dei rendimenti pubblicitari.

Circa il fatto che Google possa agire contro chi sceglie di modificare il codice di AdSense per adeguarsi alla cookie law, possiamo aggiungere che iubenda è utilizzato da alcuni fra i più grandi editori italiani e nessuno fra di essi ha ricevuto richiami da parte del team di AdSense. Inoltre, lo stesso team di AdSense, da noi contattato, ci ha rassicurato segnalando che – al di là del suggerimento ad utilizzare Ad Manager quale soluzione ufficiale – le modifiche al codice richieste dalla cookie law non dovrebbero da sole essere considerate sospette in assenza di altre pratiche fraudolente.

Segnaliamo anche che, qualora usiate il plugin WordPress di iubenda, questo possiede una configurazione (attiva di default) che modifica i codici della pagina solo quando il consenso non viene trovato ed escludendo tutti i bot/spider più comuni.

Per i pulsanti social (come il Like di Facebook o i widget sociali di Twitter) come ci si deve comportare?

I widget sociali installano (o potrebbero installare) cookie di profilazione di terza parte. È quindi necessario bloccarli prima di aver raccolto il consenso, nonché predisporre e mostrare banner e cookie policy.

No, il semplice link non può installare cookie.

Come vanno trattati i cookie generati dal vostro sistema?

I cookie installati da iubenda sono tecnici.

È necessario informare l’utente anche del tipo di cookie tecnici utilizzati, descrivendone utilizzo e durata?

Bisogna informare l’utente circa le finalità di utilizzo dei cookie, come previsto da iubenda, ma non è necessario indicare i cookie nome per nome.

Ho compreso che la cookie law prevede adempimenti diversi a seconda della tipologia di cookie. Come faccio a ricordarli facilmente, completando in modo opportuno l’adeguamento del sito?

Abbiamo preparato un’infografica sugli adempimenti richiesti dalla Cookie Law per facilitare l’analisi dei cookie ed in particolare per capire quando siano richiesti banner, consenso preventivo ecc. a seconda del tipo di cookie utilizzato.

Come faccio a sapere quali cookie vengono installati dal mio sito?

Ti suggeriamo di consultare quest’articolo dedicato a come individuare i cookie installati dal proprio sito. Esistono inoltre estensioni gratuite per i vari browser che consentono una rapida ispezione del sito in tempo reale, come per esempio Ghostery o BuiltWith.

Come faccio a bloccare i codici che installano cookie prima di aver raccolto il consenso? Esistono degli strumenti utili a limitare la necessità di interventi diretti sul codice del sito?

Abbiamo preparato una guida introduttiva al blocco dei codici che illustra tutte le opzioni offerte da Privacy Controls and Cookie Solution di iubenda per prevenire l’installazione dei cookie prima di aver raccolto il consenso dell’utente. Tra le altre, abbiamo anche dei plugin dedicati per WordPress, MagentoJoomla! e PrestaShop.

Avete in programma lo sviluppo di altri plugin, oltre a quelli già disponibili per WordPress, Magento, Joomla! e PrestaShop, utili a semplificare il blocco dei codici prima del consenso anche su altri CMS?

Arriveranno in futuro soluzioni ad hoc anche per altri CMS, oltre ai plugin già disponibili. La priorità viene data alle soluzioni più richieste sul nostro forum. Pubblica la tua richiesta sul forum oppure vota per la richiesta già pubblicata da un altro utente.

Anche nelle app mobile sono necessari banner, cookie policy e blocco codici?

Nelle applicazioni mobili native, l’utilizzo di tecnologie di tracciamento come il cookie è meno diffuso che in ambito web, il che è corrisposto con un minore interesse da parte del legislatore che si è fino ad ora espresso in modo meno specifico a questo merito. Tuttavia dal punto di vista pratico anche nel contesto di un’applicazione mobile nativa è necessario chiedere il consenso qualora si utilizzino strumenti di tracciamento che non rientrano fra le categorie esenti. Ulteriori informazioni sono disponibili nell’articolo dedicato alla cookie law ed alle app mobile.

È possibile utilizzare gli stessi documenti legali (per esempio stessa privacy policy e cookie policy) su più siti?

Quando più siti sono gestiti dallo stesso titolare del trattamento, riguardano la stessa attività e sono identici sotto il profilo del trattamento dati o possono comunque essere descritti da un’unica privacy/cookie policy, è possibile avvalersi anche di una sola privacy/cookie policy comune a tutti i siti. In questo caso consigliamo di generare la privacy policy per il “sito principale”, di fare click su aggiungi servizio e poi su crea servizio manualmente e di scrivere una clausola aggiuntiva per chiarire che “La privacy policy di Sito Principale vale anche per Sito Secondario 1, Sito Secondario 2 ecc.”. Consulta quest’articolo per ulteriori informazioni al riguardo.

A questo merito è consigliabile seguire i suggerimenti forniti nella risposta alla domanda precedente.

Come faccio a configurare il banner in più lingue?

Per configurare Privacy Controls and Cookie Solution di iubenda in tutte le lingue disponibili nel generatore basta seguire le indicazioni contenute in questa guida.

Ho un sito attivo non solo in Italia ma anche in altri paesi UE. Come devo comportarmi lato cookie?

La normativa italiana – su cui la soluzione alla cookie law fornita da iubenda è fondata – ricomprende con un’ottima approssimazione le legislazioni vigenti in altri paesi UE. Se si vuole essere certi della conformità del proprio sito ad una specifica normativa nazionale, tuttavia, è consigliabile richiedere l’intervento diretto di un consulente legale. Se vuoi assistenza al riguardo, scrivici ad info@iubenda.com per un preventivo.

Se il mio sito è in un server negli Stati Uniti, devo essere comunque conforme alla cookie law?

La normativa applicabile in genere dipende dalla sede legale della società, non dal server in cui è ospitato il sito. In particolare in riferimento alla cookie law il Garante ha addirittura chiarito che “gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia”. Nota bene: al di là del discorso circa la normativa applicabile, non sempre il trasferimento dati all’estero è consentito. Ti suggeriamo la lettura di questo articolo per ulteriori informazioni al riguardo.

In quali casi bisogna fare la notifica al Garante? Come funziona?

Come indicato nella nostra infografica sugli adempimenti richiesti dalla Cookie Law, la notifica ai sensi dell’articolo 37 del Codice di Protezione dei Dati è stata abrogata dal Regolamento 679/2016, pertanto non è più necessaria una
notifica preventiva al Garante.

Per saperne di più: garanteprivacy.it/home/doveri

Una volta anonimizzato l’IP di un servizio di analytics di terza parte, come faccio ad essere certo che non vengano incrociati dati con altri servizi?

Bisogna chiedere alla terza parte, o consultare i suoi termini di servizio.

Sono un professionista web, come mi comporto in termini di responsabilità verso i miei clienti?

Alcuni suggerimenti:

  1. Indicare nei contratti con il cliente che non si è responsabili per eventuali danni o sanzioni
  2. Valutare l’opportunità di essere nominati responsabili del trattamento, ove pertinente
  3. Stipulare un’assicurazione che copra i rischi economici della propria attività
  4. Chiarire molto bene al cliente che iubenda, qualora si scelga di utilizzarlo, è uno strumento che ad un corrispettivo ridotto permette di avere un risultato altamente professionale ed è molto più sicuro del fai da te. Se invece si vogliono le garanzie classiche di una consulenza legale, è possibile rivolgersi ad un Avvocato (iubenda metterà presto a disposizione una rete di partner legali a cui sottoporre la richiesta) per un esame ad hoc, ma i corrispettivi sono molto superiori