Quando si parla di normativa sulla protezione dei dati, si pensa spesso al GDPR e lo si collega anche alle disposizioni in materia di cookie (mostrare un cookie banner, predisporre una cookie policy, ecc.).
Ciò può portare erroneamente a pensare che la Direttiva ePrivacy (o Cookie Law), che ha sempre regolamentato l’uso dei cookie, sia stata abrogata dal GDPR, cosa assolutamente non vera.
Al contrario, GDPR e Direttiva ePrivacy lavorano assieme e si completano a vicenda.
In questa guida, spieghiamo che cosa sono i cookie e come vengono regolamentati da GDPR e Cookie Law.
Per capire meglio qual è il campo di applicazione della Cookie Law dobbiamo prima spiegare che cosa sono i cookie. I cookie sono piccoli file di testo che i siti installano sul dispositivo o il browser dell’utente e possono svolgere diverse funzioni, come ricordare le preferenze dell’utente, aiutare a navigare efficacemente tra le pagine, e in generale migliorare l’esperienza di navigazione. Si distinguono principalmente in due tipi: i cookie tecnici e i cookie di profilazione.
Qui di seguito trovi tutte le principali definizioni di cookie, in base alle categorie, e le risposte alle domande più frequenti:
I cookie tecnici sono quelli utilizzati per la navigazione o per fornire un servizio richiesto dall’utente. Sono essenziali per il corretto funzionamento di alcuni elementi del sito, come l’accesso alle aree protette o il mantenimento della sessione utente durante la navigazione, e di solito sono installati direttamente dal proprietario del sito web. Dal momento che garantiscono il corretto funzionamento del sito, i cookie tecnici possono essere installati anche senza consenso preventivo dell’utente. È comunque necessaria una cookie policy.
Possono essere assimilati ai cookie tecnici, solo se utilizzati per scopi di ottimizzazione e direttamente dal proprietario del sito. Quest’ultimo potrà raccogliere informazioni sul numero e il tipo di visite al sito in forma aggregata (quindi con indirizzo IP non visibile). Stando a queste condizioni, per i cookie analitici si applicano gli stessi requisiti di informazione e consenso dei cookie tecnici.
Secondo la definizione di cookie, i cookie di profilazione permettono di tracciare la navigazione dell’utente e di creare profili personalizzati con le sue abitudini, scelte, gusti, ecc. In base alle informazioni raccolte, all’utente potranno essere mostrati annunci pubblicitari personalizzati in base al profilo. Questi cookie sono spesso oggetto di particolare attenzione per le implicazioni relative alla privacy dell’utente e non possono essere installati senza il consenso esplicito e preventivo dell’utente.
Stando al significato di cookies, i cookie di prima parte sono gestiti direttamente da te, proprietario del sito/app, mentre quelli di terza parte sono gestiti da terze parti e attivano servizi forniti da loro. Di solito, i cookie di terza parte sono presenti quando il tuo sito/app utilizza servizi di terza parte per incorporare, ad esempio, le immagini, i plugin dei social media, o gli annunci pubblicitari.
Quando si accettano i cookie, permetti ai siti web di installare gli script sul tuo dispositivo. Questi script vengono salvati sul tuo browser e, ogni volta che tornerai sullo stesso sito web, ricorderanno le tue preferenze.
Per il principio del consenso del GDPR (che approfondiamo in un paragrafo più giù), il consenso deve essere sempre prestato liberamente. Quindi rifiutare i cookie non dovrebbe incidere sull’esperienza generale di un sito.
Tuttavia, potrebbero esserci alcune conseguenze, come:
La Direttiva ePrivacy è stata pensata per mettere in atto linee guida precise in materia di protezione dei dati con mezzi elettronici, compreso l’email marketing e l’utilizzo dei cookie, e si applica ancora oggi. In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora assieme” al GDPR, invece di essere abrogata da quest’ultimo.
Più precisamente, se fai uso di cookie, devi adeguarti alla Cookie Law prima del GDPR. Questo perché la Cookie Law è quello che in termini legali si chiama “lex specialis”, quindi ha la precedenza sul GDPR.
In generale, le direttive fissano determinati obiettivi e orientamenti concordati, e gli Stati Membri sono obbligati a implementarle nella legislazione nazionale. Per contro, i regolamenti sono giuridicamente vincolanti in tutti gli Stati membri dal momento della loro entrata in vigore, e sono applicati secondo norme stabilite a livello comunitario.
Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy. Il Regolamento ePrivacy dovrebbe essere messo a punto nel prossimo futuro ed opererà di concerto con il GDPR per regolamentare i requisiti per l’uso dei cookie e le comunicazioni elettroniche.
💡 Dai un’occhiata alla nostra tabella che confronta i paesi dell’UE sulle regole di raccolta del consenso ai cookie.
La Cookie Law non si applica solo ai cookie, ma più in generale a ogni tipo di tecnologia che memorizza o ha accesso alle informazioni sul dispositivo dell’utente (ad esempio, pixel tag, impronta digitale del dispositivo, identificatori univoci, ecc.). Per semplicità, tutte queste tecnologie, inclusi i cookie, sono più comunemente definiti strumenti di tracciamento (o tracker).
Inoltre, la Cookie Law è neutrale dal punto di vista della tecnologia: non disciplina cioè solo siti e browser web, ma anche altri tipi di tecnologie, come app, smartphone, tablet, smart TV, o altri dispositivi.
Tuttavia, in questa guida i termini “cookie” e “strumenti di tracciamento” (o tracker) verranno usati con lo stesso significato.
La Cookie Law pone in capo al gestore del sito l’obbligo di raccogliere il consenso informato dell’utente prima di memorizzare o accedere alle informazioni sul dispositivo dell’utente.
Ciò significa che se fai uso di cookie devi:
In pratica, devi mostrare un cookie banner alla prima visita dell’utente, predisporre e mostrare all’utente una cookie policy e permettergli di prestare il consenso – a meno che (eventualità molto improbabile) il tuo sito non usi solo cookie esenti dall’obbligo di consenso preventivo. Prima di aver ottenuto il consenso, nessun tipo di cookie – tranne quelli esenti – dev’essere installato o risultare attivo.
L’avviso sui cookie deve:
Tieni a mente che quelli appena menzionati sono i requisiti minimi. I requisiti per il contenuto del cookie banner possono cambiare da paese a paese, in base alle indicazioni dell’autorità competente.
💡 Per saperne di più sui requisiti in vigore in ogni paese, dai un’occhiata alla nostra tabella che confronta i paesi dell’UE sulle regole di raccolta del consenso ai cookie.
La cookie policy è un’informativa che descrive l’uso e la gestione dei cookie da parte di un sito web e contiene informazioni come le categorie di cookie utilizzate, le terze parte coinvolte e le finalità di utilizzo. Deve essere aggiunta al sito web e accessibile da ogni pagina. Se il sito fa uso di cookie analitici con IP identificabili o di cookie di profilazione, l’informativa deve anche essere preceduta dal cookie banner, l’avviso sui cookie.
Stando alla legge, la cookie policy deve:
La cookie policy serve quando un sito fa uso di cookie, anche solo semplici cookie tecnici. Quindi possiamo affermare che la quasi totalità dei siti web ha bisogno di una cookie policy.
Qui di seguito puoi trovare un esempio di cookie policy, quella di iubenda, che può aiutarti a capire come tutti gli elementi richiesti vengono combinati in un unico documento. Fai click sul pulsante per aprirlo:
In ottemperanza ai principi generali della legislazione sulla privacy, che impediscono il trattamento prima del consenso, la Cookie Law non consente di memorizzare o accedere alle informazioni sul dispositivo dell’utente prima di aver acquisito il suo consenso. In pratica, ciò implica la necessità di bloccare i codici che installano cookie prima di aver raccolto il consenso dell’utente.
Il consenso all’installazione dei cookie dev’essere libero, specifico, informato ed esplicito, e dev’essere espresso con una chiara azione positiva (opt-in). Quindi, se usi delle checkbox, le caselle non devono essere pre-selezionate.
Il documento sulla Cookie Law del Gruppo di Lavoro 29 stabilisce che per garantire che le metodologie di raccolta del consenso all’installazione dei cookie soddisfino le condizioni di ciascuno Stato membro, tali meccanismi dovrebbero includere ciascuno degli elementi principali richiesti:
Diverse autorità europee per la protezione dei dati hanno pubblicato delle guide ai cookie e tecnologie simili, includendo consigli e raccomandazioni sui metodi validi per ottenere il consenso. Anche il Garante Privacy italiano lo ha fatto. Le linee guida sono state adottate a luglio 2021 e sono pienamente in vigore da gennaio 2022: qui puoi trovare un breve riassunto.
Il Comitato europeo per la Protezione dei Dati (EDPB) ha aggiornato le sue linee guida sul consenso. Questo aggiornamento è importante in quanto mira a eliminare qualsiasi ambiguità sull’argomento cookie. Le novità più importanti sono il divieto di usare i cosiddetti “cookie wall” e il fatto che scorrimento e proseguimento della navigazione non siano più considerati meccanismi validi di raccolta del consenso.
📌 Per saperne di più, consulta la nostra tabella comparativa.
Per quanto riguarda il rifiuto di esprimere il consenso o revocarlo dopo averlo prestato (opt-out), la legge stabilisce che all’utente debba essere data la possibilità di negare o revocare il consenso. Il documento del Gruppo di Lavoro 29 approfondisce questo punto precisando che, per quanto riguarda la revoca o il rifiuto di esprimere il consenso, è necessario fornire le seguenti informazioni:
Questo significa che tali metodi possono non essere erogati direttamente dal gestore del sito. In alcuni casi, secondo il diritto degli Stati membri, le sole impostazioni del browser sono già considerate un mezzo accettabile per revocare il consenso.
I meccanismi di raccolta del consenso considerati validi possono variare da uno Stato membro all’altro.
La Cookie Law prevede due esenzioni al requisito del consenso, ossia:
È importante notare che, sebbene si applichino queste esenzioni al requisito del consenso, devi comunque informare gli utenti che stai usando cookie e tecnologie simili attraverso una cookie policy. In questi casi specifici, il cookie banner non è necessario se la cookie policy è visibile e facilmente accessibile da ogni pagina del tuo sito.
Non c’è una risposta univoca. Le autorità europee per la protezione dei dati hanno dato interpretazioni diverse. Ad esempio, secondo le linee guida dell’ICO del Regno Unito, i cookie statistici non rientrano nei cookie strettamente necessari e quindi richiedono il consenso. Anche le autorità del Belgio e dell’Irlanda hanno un’opinione simile.
Al contrario, secondo le autorità di Francia, Germania, Paesi Bassi e Italia, i cookie analitici possono essere considerati come strettamente necessari se sussistono delle circostanze particolari (ad esempio, sono cookie di prima parte, l’opt-out è anonimo, il tracciamento incrociato non è attivo). Quindi, dovresti consultare attentamente quali regole si applicano ai cookie statistici nel tuo paese di riferimento.
In generale, la direttiva non richiede specificamente che il gestore del sito elenchi nome per nome i singoli cookie. Tuttavia, è esplicitamente richiesto di indicare in modo chiaro le categorie, le finalità e, se si tratta di cookie di terza parte, anche la terza parte che li gestisce e un link alla rispettiva privacy e cookie policy.
È probabile che questa decisione dell’autorità sia stata dettata dall’esigenza di non porre in capo ai singoli gestori di siti/app l’onere di elencare ogni singolo cookie, alla ricerca di modifiche che sfuggono al loro controllo. Ciò sarebbe infatti irragionevole, inefficiente e probabilmente inutile per gli utenti.
Per approfondire ulteriormente questo punto, la guida sui cookie dell’ICO stabilisce che, sebbene sia possibile fornire lunghi elenchi di tutti i cookie installati, per la maggior parte degli utenti una spiegazione più ampia del modo in cui funzionano i cookie e delle categorie di cookie utilizzati è più che sufficiente. Una descrizione dei tipi di cookie utilizzati sul sito avrà maggiori probabilità di soddisfare i requisiti di informazione, piuttosto che limitarsi ad elencare tutti i cookie utilizzati nome per nome, con riferimenti di base alla loro funzione.
Questo orientamento è ulteriormente sviluppato dall’autorità italiana per la protezione dei dati (il “Garante Privacy”) che sancisce espressamente quanto segue:
Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”.
In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti.
I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.
Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.
Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti.
Maggiori dettagli qui.
La legge prevede che il consenso acquisito debba essere prestato liberamente affinché possa essere considerato valido. A questo proposito, bisogna ricordare che, nelle loro linee guida e raccomandazioni, l’EDPB e alcune autorità europee per la protezione dei dati hanno esplicitamente vietato l’uso dei cosiddetti “cookie wall”, basati su un approccio “prendere o lasciare”, che obbliga gli utenti a prestare il loro consenso per usufruire del servizio.
I cookie wall non sono considerati validi perché l’utente non ha una vera e propria scelta.
AGGIORNAMENTO Il Garante Privacy italiano nelle sue Linee guida cookie e altri strumenti di tracciamento ha stabilito che i cookie wall sono illeciti, a meno che il sito non offra all’interessato la possibilità di accedere a un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento. Quest’ipotesi è da verificare caso per caso.
Stiamo seguendo lo svolgimento di questa questione visto che il Garante ha pubblicato un comunicato stampa in cui afferma di star analizzando la soluzione adottata da alcuni editori italiani.
Come sempre, iubenda ti aggiornerà di ogni nuova decisione.
Dopo aver mostrato il cookie banner alla prima visita dell’utente, non devi continuare a mostrarlo a ogni sua visita. Tuttavia, dovresti valutare di mostrare il banner a intervalli regolari e dare la possibilità agli utenti di mostrare di nuovo il banner nel caso in cui abbiano bisogno di cambiare le preferenze.
Se l’utente non ha prestato il consenso, o l’ha prestato solo per alcune categorie di cookie, si può riproporre il banner solo in questi casi specifici:
Ci sono molte ragioni per cui potrebbe essere necessario fornire agli utenti la possibilità di revocare il consenso. Alcune autorità per la protezione dei dati richiedono che gli utenti possano aggiornare con facilità le loro preferenze. Ad esempio, il Garante italiano raccomanda di fornire un’icona sempre visibile durante la navigazione che riassuma le scelte dell’utente. Per ulteriori informazioni e per sapere cosa richiedono le altre APD, consulta la nostra tabella riassuntiva sul consenso ai cookie. Inoltre, si tratta di una questione affrontata anche da alcune ONG che si occupano di privacy, come Nyob, che richiede che gli utenti abbiano la possibilità di revocare il consenso.
Assicurati che i tuoi utenti abbiano la possibilità di riaprire il cookie banner abilitando il widget privacy in Privacy Controls and Cookie Solution.
Tieni presente che ci sono una serie di motivi e circostanze che possono portare a richiedere nuovamente il consenso dell’utente e quindi mostrare il cookie banner.
Un esempio pratico è l’utilizzo di cookie di terza parte non esenti. In questo caso dovrai ottenere un nuovo consenso dall’utente, dal momento che quello ottenuto in precedenza si applica solo a quelle terze parti che hai reso note al momento della raccolta.
Per aiutarti a rispettare questo requisito, ti permettiamo di richiedere un nuovo consenso ad ogni aggiornamento della cookie policy.
Tieni presente che alcune autorità europee per la protezione dei dati hanno fissato un periodo di tempo per la validità del consenso (ad esempio, secondo l’autorità francese, 6 mesi sono un periodo di tempo ragionevole). La nostra soluzione Privacy Controls and Cookie Solution ti permette di impostare la durata del consenso. Per saperne di più, consulta la nostra tabella sulle regole di raccolta del consenso.
Sebbene la Cookie Law non richieda esplicitamente di tenere un registro dei consensi (solo una prova), in molti casi i cookie trattano dati personali ed è per questo che può applicarsi il requisito del registro dei consensi derivante dal GDPR. Molte autorità per la protezione dei dati in Europa hanno dunque allineato le proprie indicazioni sui cookie ai requisiti del GDPR.
Il Registro Preferenze Cookie e Consensi è ora disponibile nella nostra soluzione Privacy Controls and Cookie Solution. Integra questa soluzione con un click, e inizia a memorizzare e gestire facilmente la prova delle preferenze di consenso dei tuoi utenti, come richiesto dal GDPR.
La nostra Privacy Controls and Cookie Solution semplifica il rispetto delle disposizioni della legge europea sui cookie. In qualità di Consent Management Platform (CMP) certificata, Privacy Controls and Cookie Solution ti aiuta a rispettare gli standard richiesti dai network pubblicitari e a condividere con essi le preferenze di consenso in maniera conforme.
Infatti:
La nostra soluzione informa l’utente circa:
Privacy Controls and Cookie Solution di iubenda ti dà inoltre una serie di funzionalità aggiuntive per:
HEAD
di tutte le pagine pagine del sito, o utilizzare uno dei nostri plugin).