Il consenso allo scorrimento è considerato valido?
NO
NO
È valido solo se l’azione di scorrimento fa parte di una procedura più complessa che permette di concludere che un utente ha deliberatamente e inequivocabilmente prestato il consenso all’installazione dei cookie.
Il semplice scorrimento non è sufficiente.
NO
NO
NO
NO
NO
NO
NO
Il cookie banner deve restare visualizzato finché l’utente non esprime una scelta con un’azione affermativa.
NO
NO
NO
Non specificato
NO
Il consenso tramite proseguimento della navigazione è considerato valido?
NO
Probabilmente no, ma non è specificato
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
Non specificato
NO
È richiesta la presenza dei pulsanti “Accetta” e “Rifiuta” sul cookie banner?
SÌ
L’Autorità inglese (ICO) predilige un approccio che offra agli utenti opzioni chiare per accettare e rifiutare tutti i cookie, insieme alla possibilità di personalizzare le loro scelte.
Tuttavia, non richiede esplicitamente la presenza di un pulsante “Rifiuta tutto”. Pertanto, finché le opzioni disponibili hanno tutte uguale rilievo, è possibile scegliere tra “Accetta tutto” e “Personalizza”, purché quest’ultima opzione non implichi alcun consenso.
SÌ
Secondo il Garante italiano il banner deve contenere:
un comando “Accetta”;
una “X” o un comando altrettanto inequivocabile (es. “Rifiuta”) su cui gli utenti possono cliccare per chiudere il banner e continuare la navigazione senza accettare alcun cookie.
SÌ
SÌ
I pulsanti “Accetta” e “Rifiuta” devono avere uguale rilievo. In alternativa, deve esserci un metodo altrettanto facile per rifiutare tutti i cookie (ad esempio continuando la navigazione) e l’utente ne deve essere chiaramente informato.
SÌ
La guida dell’Autorità spagnola (AEPD), a pagina 20 , prevede esplicitamente due modalità per accettare e rifiutare i cookie, ovvero:
Un pulsante o comando equivalente ben visibile che riporta le parole “Accetta cookie”, “Accetta”, “Consenti” o un’indicazione analoga per consentire l’uso di tutti i cookie .
Un pulsante o comando equivalente, simile a quello per accettare i cookie appena descritto, che riporta le parole “Rifiuta cookie”, “Rifiuta” o un’indicazione analoga per negare il consenso (fatta eccezione per i cookie esenti dall’obbligo di ottenere un consenso informato).
SÌ
Le due opzioni devono avere la stessa rilevanza.
SÌ
Secondo le raccomandazioni per la compliance dell’Autorità greca, l’utente deve essere in grado di accettare o rifiutare l’uso degli strumenti di tracciamento per i quali è richiesto il consenso, per tutte o per le singole categorie, con lo stesso numero di azioni (“clic”) e dallo stesso livello.
SÌ
SÌ
In caso di presenza di un pulsante “Accetta tutto”, dev’esserci anche un pulsante “Rifiuta tutto” altrettanto visibile.
Non specificato
SÌ
Il consenso fornito con altre modalità non è considerato libero.
NO
La presenza dei due pulsanti è indicata come una prassi diffusa.
SÌ
I pulsanti “Accetta” e “Rifiuta” devono avere uguale rilevanza?
SÌ
SÌ
SÌ
SÌ
SÌ
SÌ
SÌ
Non specificato
SÌ
Non specificato
Non specificato
SÌ
SÌ
SÌ
È obbligatorio bloccare preventivamente i cookie che richiedono il consenso?
SÌ
SÌ
SÌ
SÌ
Quando è richiesto il consenso, i cookie devono essere bloccati finché l’utente non si esprime a riguardo.
SÌ
Il proprietario di più siti web SIMILI può informare gli utenti sull’uso dei cookie e raccogliere il relativo consenso in una sola volta (p. 29) , sia per i propri siti che per quelli di terze parti collegate. Questo vale però solo per gli utenti spagnoli.
SÌ
Ad eccezione dei cookie strettamente necessari per il funzionamento dei siti web, come quelli relativi al carrello degli acquisti, nessun cookie può essere installato prima che l’utente abbia fornito il consenso.
SÌ
Secondo le raccomandazioni per la compliance, sezione C3, in assenza di un evento di selezione per accettare o rifiutare i cookie, non devono essere utilizzati strumenti di tracciamento inutili.
SÌ
SÌ
SÌ
SÌ
SÌ
SÌ
SÌ
Sono ammessi i cookie wall?
Improbabile
Nessuna dichiarazione esplicita, ma stando alle linee guida dell’ICO è poco probabile che i cookie wall siano ritenuti validi.
NO
A meno che il proprietario del sito non fornisca un’alternativa per accedere al servizio senza accettare i cookie che richiedono il consenso (eventualmente anche a pagamento, non è specificato).
NO
Possibile
In linea di principio sì, ma va deciso caso per caso. Gli utenti vanno comunque informati sulle conseguenze della mancata accettazione dei cookie.
NO
Ammessi solo se gli utenti hanno un’alternativa per accedere al servizio senza dover accettare i cookie.
Possibile
I cookie wall sono permessi, purché vengano rispettati alcuni criteri precisi:
gli utenti devono avere un’alternativa ragionevole al trattamento dei loro dati personali (ad esempio, un corrispettivo in denaro ragionevole); qualsiasi dato elaborato dopo aver ottenuto il consenso dell’utente, in alternativa al pagamento, deve necessariamente rientrare nel trattamento non monetario, altrimenti servirà un ulteriore consenso; se l’utente sceglie il trattamento dietro pagamento, non sarà possibile elaborare dati personali diversi da quelli necessari per erogare il servizio richiesto, a meno che non si ottenga un altro consenso.
NO
NO
Probabilmente no
NO
Non sono consentiti secondo le linee guida, tuttavia sono molto diffusi nei siti web svedesi.
NO
A quanto pare, è possibile usare un servizio senza installare i cookie ma a pagamento (vedi le FAQ ).
NO
SÌ
Stando all’ultima decisione (marzo 2023) dell’Autorità per la protezione dei dati austriaca (DSB), nonostante il riferimento alla decisione del 2018 in cui i cookie wall erano ammessi, si afferma l’obbligo di dare agli interessati la possibilità di concedere un consenso granulare; se non è granulare, il consenso non sarà considerato valido.
NO
I cookie vanno elencati singolarmente?
NO
L’ICO sostiene che il mero elenco dei singoli cookie potrebbe essere fonte di confusione per l’utente, e che la prassi migliore sia quella di fornire invece una descrizione. Secondo il Regolamento inglese sulla privacy e le comunicazioni elettroniche (PECR) , sezione 6, paragrafo 2, chiarezza e completezza sono fondamentali.
Non specificato
Sembra improbabile.
NO
NO
NO
È sufficiente un elenco per categoria di finalità.
NO
Non è chiaro
Sono state fatte dichiarazioni contraddittorie. Un recente comunicato stampa afferma che vanno specificate le finalità di ogni singolo strumento di tracciamento (punto 3), mentre al punto successivo (4) afferma che vanno specificate le informazioni su durata, titolare del trattamento e destinatari di ogni strumento di tracciamento o categoria con la stessa finalità.
Non è chiaro
Sono state fatte dichiarazioni contraddittorie. L’Autorità belga (DPA) afferma espressamente che il GDPR non richiede il consenso per singolo cookie ma anche che, mentre al primo livello il consenso va raccolto per categoria, al secondo gli utenti devono avere la possibilità di prestare il consenso per cookie.
Probabilmente no
Secondo le linee guida, i titolari del trattamento devono garantire che il consenso sia ottenuto per tutte le finalità per cui sono stati impostati i cookie. Ciò non significa che il consenso vada ottenuto per ogni singolo cookie, ma solo per le finalità per cui viene usato.
SÌ
Prima di dare il consenso, l’utente deve essere informato su ogni tipo di cookie (ad eccezione dei cookie necessari), pertanto è logico che debbano essere elencati singolarmente.
SÌ
Stando alle linee guida, i cookie devono essere indicati “per nome”, vale a dire che vanno elencati singolarmente.
Probabilmente no
Probabilmente no
Lo standard dell’Autorità DSB austriaca afferma come la mancanza del principio di granularità del consenso nel cookie banner renderebbe il consenso non valido, perciò i cookie dovrebbero essere elencati in modo che gli utenti abbiano un’idea più chiara di ciò a cui stanno prestando il consenso.
Le finalità del trattamento devono essere elencate nel primo livello del banner?
Non specificato, ma improbabile.
Miglior prassi
SÌ
SÌ
SÌ
SÌ
Di recente, l’Autorità danese richiede non solo di elencare le finalità, ma anche di permettere agli utenti di dare il proprio consenso a ciascuna finalità già nel primo livello.
SÌ
Possono essere elencate, ma non è un requisito esplicito (www.dpa.gr ).
SÌ
In una recente decisione, l’Autorità belga afferma esplicitamente che
devono essere messe a disposizione degli utenti prima di aver dato il consenso (ovvero devono essere fornite nel primo livello) le seguenti informazioni:
identità del titolare o dei titolari del trattamento
finalità come accettare/rifiutare gli strumenti di tracciamento
conseguenze del consenso o del rifiuto degli strumenti di tracciamento
l’esistenza di un diritto di revocare il consenso.
Non specificato
Non specificato
Poiché la legge svedese non prevede esplicitamente la presenza del banner, non specifica nemmeno gli elementi del primo livello. La legge afferma comunque che l’utente deve essere informato preventivamente in modo chiaro sulla raccolta e sul trattamento dei cookie.
Non specificato
SÌ
Non specificato
Non specificato
Il consenso dev’essere granulare (espresso cioè per categoria)?
Per servizio ma non necessariamente per categoria
Deve coprire tutte le finalità del trattamento, tramite un consenso globale o specifico del servizio.
L’ICO afferma che:
Tutti i cookie operanti su un sito possono essere raccolti in lunghe tabelle o elenchi dettagliati per fornire agli utenti le informazioni da considerare. Poiché alcuni siti potrebbero utilizzare decine se non centinaia di cookie, sarebbe utile anche fornire una spiegazione più ampia del loro funzionamento e delle categorie in cui rientrano. Ad esempio, la descrizione dei casi d’uso tipici dei cookie statistici di un sito potrebbe soddisfare meglio i requisiti utente rispetto a un semplice elenco di tutti i cookie in uso con riferimenti di base alla loro funzione.
SÌ
Il consenso dev’essere granulare, ma l’implementazione dei criteri di granularità è lasciata al fornitore del servizio. Il Garante parla di “funzionalità”, “terze parti” e “categorie di cookie” quando si riferisce ai criteri di raggruppamento.
SÌ
Sono due gli aspetti di questo requisito da tenere presenti:
È necessario separare chiaramente i cookie che richiedono il consenso da quelli che non lo richiedono (non raccogliere il consenso per i cookie che non ne hanno bisogno).
Il consenso dev’essere granulare, ma non è chiaro quanto. L’Autorità si è limitata a dire che si devono poter selezionare le singole attività di trattamento.
Al momento però non ci sono stati casi pratici o precedenti giuridici di selezione cookie per cookie. Dato che un livello eccessivo di granularità può confondere e ridurre la trasparenza per gli utenti, è probabile che basti un raggruppamento per categorie.
SÌ
Il consenso agli strumenti di tracciamento cross-site/app va rinnovato su ogni singolo sito/app interessato.
SÌ
La guida dell’AEPD, a pagina 22 , fa riferimento al grado di granularità quando si visualizzano le opzioni per i cookie e afferma che:
I cookie dovrebbero essere raggruppati almeno per finalità , in modo che l’utente possa accettarli per una o più finalità e non per altre (ovvero l’utente dovrebbe poter scegliere di accettare solo i cookie analitici e non quelli di pubblicità comportamentale).
Per ciascuna finalità , e a scelta dell’editore del sito web, i cookie potrebbero essere raggruppati anche in base ai terzi responsabili (ovvero l’utente dovrebbe poter scegliere di accettare i cookie analitici da una determinata terza parte e non da un’altra).In relazione ai cookie di terza parte, è sufficiente identificarli con il loro nome o con il marchio con cui sono noti al pubblico, senza includere la denominazione sociale completa.
Il massimo grado di granularità (selezione cookie per cookie, anche nell’ambito della stessa finalità) dovrebbe essere evitato , poiché troppe informazioni complicano il processo decisionale.
SÌ
Gli utenti devono avere la possibilità di accettare i cookie finalità per finalità (o meglio, per categorie di finalità). Non è esplicitamente richiesto un approccio cookie per cookie.
SÌ
Secondo le raccomandazioni per la compliance:
B2. È legittimo fornire le informazioni a più livelli, purché sia fatto salvo l’obbligo di richiedere il consenso dell’utente una volta informato opportunamente, almeno per le categorie di strumenti di tracciamento in uso.
B3. L’utente deve ricevere, tramite un messaggio di notifica pop-up o altra modalità, informazioni specifiche sulla finalità di ciascuno strumento di tracciamento, e non informazioni generali sull’uso di tali strumenti.
SÌ
Nel primo livello, un approccio per finalità è sufficiente e ragionevole. Nel secondo livello, la possibilità di selezionare i singoli cookie è indicata come soluzione valida, ma non è espressamente raccomandata, né considerata obbligatoria.
SÌ
SÌ
Secondo la legge svedese sulle comunicazioni elettroniche, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico deve informare la persona sulle modalità di trattamento dei dati prima di ottenere il suo consenso. Inoltre, secondo le linee guida, le informazioni fornite all’utente devono descrivere le singole finalità per la raccolta dei cookie (es. statistiche, marketing, tecniche, ecc.), il consenso dell’utente deve essere specifico per ciascuna finalità e l’utente deve prestare il consenso a ciascun utilizzo specifico. Pertanto si può dedurre che è necessario un consenso granulare.
Non specificato (ma implicito)
Non specificato (ma implicito)
SÌ
L’ultima decisione (marzo 2023) emessa dall’Autorità per la protezione dei dati austriaca (DSB) evidenzia che l’assenza del principio di granularità del consenso nel cookie banner comporterebbe un consenso non valido. In più afferma che il consenso generale in un sistema “pay or okay” potrebbe causare una grave violazione del diritto fondamentale alla protezione dei dati. Da ciò si evince la necessità di un consenso granulare.
SÌ
È richiesta una prova del consenso in maniera analoga al GDPR ?
SÌ
SÌ
SÌ
SÌ
Secondo il punto n. 29 delle linee guida della CNIL, anno 2020 , è richiesta una prova del consenso in conformità alle disposizioni del GDPR. Inoltre, chi raccoglie il consenso deve essere in grado di trasmettere la prova alle terze parti che fanno affidamento su tale consenso per trattare i dati dell’utente.
Non specificato (ma implicito)
SÌ
SÌ
SÌ
SÌ
SÌ
SÌ
SÌ
SÌ
Probabilmente sì
Non indicato espressamente.
Revocare il consenso dovrebbe essere semplice tanto quanto prestarlo?
SÌ
Secondo l’ICO , prestare e revocare il consenso devono essere fattibili in egual maniera. Ciò significa che il processo di revoca del consenso si deve poter concludere in un solo passaggio. Se possibile, gli utenti dovrebbero essere in grado di revocare il proprio consenso con lo stesso metodo usato per prestarlo.
SÌ
Idealmente tramite un link nel footer del sito.
Il Garante suggerisce inoltre di prevedere un’icona sempre visibile che riassuma le scelte dell’utente.
SÌ
SÌ
Gli utenti devono essere informati su come possono revocare il consenso prima di prestarlo. Sul sito web/app dovrebbe essere sempre chiaramente visibile e accessibile un link/pulsante o altro elemento statico che permetta agli utenti di revocare il consenso in un secondo momento.
SÌ
Nelle linee guida dell’AEPD, a pagina 19, si consiglia che le informazioni su come gestire i cookie (incluse le modalità di revoca del consenso e cancellazione dei cookie) siano accessibili e disponibili sempre e comunque nel sito web, applicazione o servizio online in questione. Questo requisito si applica anche alla cookie policy tramite un sistema di gestione dei cookie.
SÌ
SÌ
Secondo le raccomandazioni per la compliance, sezione C5, l’utente deve poter ritirare il proprio consenso con le stesse modalità e la stessa facilità con cui lo ha espresso.
SÌ
SÌ
SÌ
Non specificato
SÌ
SÌ
SÌ
È consigliato l’uso di un banner di consenso?
SÌ
SÌ
SÌ
Si tratta della modalità più diffusa per raccogliere il consenso per i cookie che lo richiedono. I cookie che non richiedono il consenso non vanno elencati nel banner.
Non specificato
Il cookie banner non è esplicitamente indicato come obbligatorio. Sono tuttavia consigliati un’icona o un link ben visibili che rimandano alle informazioni complete sui cookie.
SÌ
È menzionato come uno dei modi per raccogliere il consenso.
Non specificato
È indicato come soluzione standard, ma non è esplicitamente consigliato.
SÌ
Non specificato
Le linee guida affermano semplicemente che il cookie banner non può scomparire finché l’utente non ha effettuato una scelta attiva.
Non specificato
Menzionato come la soluzione più comune.
Non specificato
Il banner non è esplicitamente menzionato. La legge svedese indica comunque la necessità di informare l’utente prima di installare cookie sul suo dispositivo.
Non specificato
Miglior prassi
Miglior prassi
I cookie strettamente necessari sono esenti dall’obbligo di consenso?
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
Esempi di cookie esenti dal consenso:
cookie relativi al carrello degli acquisti;
cookie di sessione che sono essenziali per rispettare i requisiti di sicurezza per la protezione dei dati (es. servizi bancari online);
cookie di bilanciamento del carico.
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
– per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
– per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
Secondo le linee guida aggiornate della CNIL (settembre 2020), alcuni esempi di cookie strettamente necessari sono:
strumenti di tracciamento per ricordare le scelte dell’utente (ad esempio, cookie di consenso);
strumenti di tracciamento utilizzati per identificare gli utenti al momento dell’accesso (ad esempio, per evitare l’accesso di bot);
strumenti di tracciamento relativi al carrello degli acquisti o alle preferenze utente (lingua, valuta, ecc.);
strumenti di tracciamento di bilanciamento del carico;
strumenti di tracciamento che consentono un trattamento differenziato degli utenti paganti e non paganti (“paywall”).
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
Esempi di cookie esenti dal consenso:
cookie tecnici;
cookie per le preferenze e la personalizzazione.
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
SÌ
Secondo le raccomandazioni per la compliance, sezione A2:
Sono strumenti di tracciamento esenti dall’obbligo di acquisizione del consenso quelli ritenuti tecnicamente necessari per collegarsi al sito o per fornire il servizio internet richiesto dall’utente stesso.
Le categorie indicative di strumenti di tracciamento (cookie e tecnologie correlate) che rientrano nella suddetta eccezione sono quelle necessarie:
a identificare e/o conservare i contenuti inseriti dalla persona abbonata o utente durante una connessione (sessione) in un sito web tramite un link specifico, come quello del carrello degli acquisti;
a collegare la persona abbonata o utente a servizi che richiedono l’autenticazione;
per la sicurezza dell’utente;
a eseguire il bilanciamento del carico da un link a un sito Internet;
a conservare le preferenze utente del sito web, ad esempio la scelta della lingua, o salvare la cronologia delle ricerche.
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
Esempi di cookie esenti dal consenso:
cookie utilizzati per un periodo di tempo limitato (di solito una sessione) per ricordare l’input dell’utente (ad esempio, i cookie relativi al carrello degli acquisti); cookie di autenticazione e login (cookie di sessione); sicurezza; bilanciamento del carico; preferenze (ad esempio, lingua, visualizzazione dei risultati di ricerca). Gli utenti devono in ogni caso essere informati di tali cookie .
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
Esempi di cookie esenti dal consenso:
cookie la cui unica finalità è quella di effettuare la trasmissione di una comunicazione su una rete; cookie di autenticazione e login (cookie di sessione); bilanciamento del carico; carrello degli acquisti; preferenze relative alla lingua o al Paese.
SÌ
I cookie strettamente necessari possono essere installati senza il consenso degli utenti.
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
SÌ
I cookie e gli strumenti di tracciamento strettamente necessari:
per effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica
per fornire un servizio esplicitamente richiesto dall’utente
non richiedono il consenso dell’utente.
SÌ
SÌ
Ci sono altre basi giuridiche del GDPR applicabili all’uso dei cookie (ad esempio, il legittimo interesse) oltre al consenso?
NO
Secondo l’ICO, ad eccezione dei cookie che rientrano tra quelli strettamente necessari, il consenso è l’unica soluzione possibile. Per maggiori informazioni leggi la dichiarazione ufficiale dell’ICO .
NO
Il Garante italiano dichiara esplicitamente che non sono applicabili altre basi giuridiche ai sensi dell’art. 6 del GDPR.
SÌ
Il legittimo interesse è una base giuridica accettabile per le attività di trattamento strettamente necessarie al funzionamento del sito web/app e alla fornitura del servizio. Esempi: cookie relativi al carrello degli acquisti.
NO
Ad eccezione dei cookie strettamente necessari, il consenso è menzionato come base giuridica per gli altri cookie. Nessun riferimento ad altre basi giuridiche.
NO
Ad eccezione dei cookie strettamente necessari, il consenso è menzionato come base giuridica per gli altri cookie. Nessun riferimento ad altre basi giuridiche.
SÌ
In ogni caso, il consenso è di solito l’opzione più sicura.
NO
Ad eccezione dei cookie strettamente necessari, il consenso è menzionato come base giuridica per gli altri cookie. Nessun riferimento ad altre basi giuridiche.
NO
Ad eccezione dei cookie strettamente necessari, tutti gli altri possono essere installati solo sulla base del consenso.
NO
Ad eccezione dei cookie strettamente necessari, il consenso è menzionato come base giuridica per gli altri cookie. Nessun riferimento ad altre basi giuridiche.
NO
Ad eccezione dei cookie strettamente necessari, il consenso è menzionato come base giuridica per gli altri cookie.
NO
Ad eccezione dei cookie strettamente necessari, il consenso è menzionato come l’unica base giuridica per gli altri cookie. L’unica base possibile per l’uso dei cookie di tracciamento è il consenso inequivocabile del visitatore del sito web (art. 6.1(a) dei Termini e condizioni generali). FAQ
NO
Non è espressamente indicato, ma la risposta più sicura è NO.
NO
Ad eccezione dei cookie strettamente necessari, il consenso è menzionato come base giuridica per gli altri cookie. Nessun riferimento ad altre basi giuridiche.
Le terze parti vanno elencate e identificate?
SÌ
Le linee guida dell’ICO affermano che se si usano cookie di terza parte, bisogna indicare chiaramente chi sono queste terze parti e spiegare cosa faranno con quelle informazioni.
SÌ
SÌ
Dipende dalla base giuridica del trattamento. Se la base è il consenso, allora le terze parti vanno menzionate affinché il consenso sia considerato informato. In altri casi, la miglior prassi resta identificare le terze parti.
SÌ
Tutte le terze parti che installano cookie soggetti a consenso vanno elencate una ad una. Inoltre, va fornito un link alle loro rispettive informative sulla privacy e ai dati aziendali.
SÌ
Le terze parti vanno nominate utilizzando il nome del brand, ma non è richiesta l’identificazione della specifica entità giuridica.
SÌ
SÌ
Sembra sia richiesto indipendentemente dal fatto che le terze parti siano o meno corresponsabili o co-titolari del trattamento dei dati . È possibile utilizzare strumenti di tracciamento di terza parte, come il servizio Google Analytics per analisi a fini statistici (analisi web), solo con il consenso dell’utente.
Non specificato
Le FAQ dell’Autorità belga non prevedono la nomina delle terze parti nella lista dei requisiti minimi per le cookie policy.
Non completamente chiaro
Le linee guida affermano l’obbligo di fornire i link alla privacy policy di ogni terza parte e, contemporaneamente, le informazioni richieste ai sensi del GDPR (che però non prevede di elencare necessariamente tutte le terze parti). Sembra tuttavia probabile.
SÌ
L’Autorità svedese per le poste e le telecomunicazioni prevede che, in caso di trasmissione delle informazioni ad altre parti (terze parti), tali informazioni devono essere comunicate all’utente prima di dare il consenso.
SÌ
Non una ad una; è sufficiente elencarle per categoria.
SÌ
SÌ finché i cookie comportano il trattamento di dati personali.
Non specificato
È specificato per quanto tempo deve durare il consenso a un cookie?
NO
Dev’essere tuttavia motivato dalla finalità del cookie stesso. È inoltre necessario informare gli utenti della durata dei cookie utilizzati.
SÌ
È possibile chiedere nuovamente il consenso agli utenti solo se:
le condizioni del consenso sono cambiate (ad esempio, sono stati aggiunti nuovi servizi di terze parti o sono stati eliminati quelli vecchi); o
il proprietario del sito non ha i mezzi tecnici per tenere traccia del consenso precedente (ad esempio, l’utente ha cancellato il cookie di consenso memorizzato sul suo dispositivo); o
sono passati almeno 6 mesi dall’ultimo consenso.
SÌ
SÌ
La scelta degli utenti di prestare o rifiutare il consenso va conservata per un periodo di tempo ragionevole (es. 6 mesi ) per evitare di mettere gli utenti sotto pressione con continue richieste del consenso.
Lo stesso vale per il rifiuto: il titolare del trattamento può richiedere di nuovo il consenso solo dopo 6 mesi.
I cookie statistici possono avere una durata massima di 13 mesi. Le informazioni raccolte dai cookie possono essere conservate per un massimo di 25 mesi.
Prassi consigliate specificate
Facendo riferimento al gruppo di lavoro dell’articolo 29, si consiglia di chiedere nuovamente il consenso entro 24 mesi dalla raccolta.
NO
Le linee guida suggeriscono che, tecnicamente parlando, il consenso non scade. Tieni presente però che queste linee guida riguardano qualunque trattamento basato sul consenso, e non sono mirate specificamente ai cookie o agli strumenti di tracciamento.
SÌ
Secondo le raccomandazioni per la compliance, sezione B4, per ogni strumento di tracciamento o categoria di strumenti aventi la stessa finalità, la durata dell’operazione, l’identità del titolare del trattamento, i destinatari o le categorie di destinatari dei dati.
Inoltre, secondo la sezione C8, a prescindere se l’utente abbia accettato o rifiutato gli strumenti di tracciamento, la finestra pop-up per richiedere di nuovo il consenso all’utente dovrà ricomparire trascorso un certo periodo di tempo. In altre parole, la scelta dell’utente verrà memorizzata per una durata uguale sia in caso di accettazione che di rifiuto.
NO
Al momento si afferma che i cookie non possono essere conservati più a lungo di quanto necessario per raggiungere la finalità dichiarata.
SÌ
L’Autorità irlandese afferma che, come miglior prassi, il consenso non dovrebbe mai essere valido per più di 6 mesi, trascorsi i quali va chiesto nuovamente.
SÌ
Varia a seconda del tipo di cookie. Cfr. il Capitolo 9, sezione 19 della legge svedese sulle comunicazioni elettroniche.
NO
In linea generale, una durata superiore ai 6 mesi è considerata un periodo di conservazione dei cookie eccessivo. Sulla base di ciò, anche il consenso dovrebbe essere limitato a 6 mesi.
SÌ
12 mesi è la durata suggerita, applicabile anche in caso di rifiuto. Gli utenti possono essere invitati a esprimere nuovamente la loro scelta prima dei 12 mesi solo se:
sono stati apportati cambiamenti significativi alle modalità di trattamento dei dati personali;
l’utente accede al servizio con un dispositivo diverso;
l’utente ha cancellato il cookie relativo alle preferenze.
Non specificato
Nessuna durata esplicita indicata
L’EDPB afferma che, in linea di principio, può essere sufficiente chiedere il consenso dell’interessato una sola volta. Tuttavia, i titolari del trattamento devono ottenere un nuovo consenso se le finalità cambiano dopo l’ottenimento dello stesso o se è prevista una finalità aggiuntiva.
Sono ammesse le checkbox pre-selezionate?
NO
NO
NO
Non per i cookie che necessitano del consenso.
NO
Anche i pulsanti a interruttore, se utilizzati, devono essere sempre disattivati per impostazione predefinita.
NO
NO
NO
NO
NO
NO
Le linee guida indicano chiaramente su come non dovrebbe essere il banner di consenso e sul fatto che le checkbox pre-selezionate non implicano un consenso.
NO
NO
NO
NO
