Cookie Policy: aggiornamento obbligatorio dal 10 Gennaio 2022

Dal 10 Gennaio 2022 sono entrate pienamente in vigore le nuove regole riguardanti la Cookie Policy.

Abbiamo, quindi, aggiornato tutti le Cookie Policy dei nostri clienti, vediamo di seguito nel dettaglio cosa bisogna fare per avere un sito a norma.

Il 10 luglio 2021, il “Garante Privacy” ha approvato le nuove linee guida per l’uso dei cookie. Senza l’adeguamento, il consenso ai cookie aquisito dal sito sarà considerato non valido agli occhi della legge. Questo porta a violazioni del GDPR con rischio di sanzioni e multe fino a 20.000.000€.

La nuova normativa in breve

La nuova normativa deve essere applicata al tuo sito/e-commerce se tu o i tuoi utenti avete sede in Italia e i requisiti obbligatori sono:

  1. Cookie banner:
    • I pulsanti “Accetta” e “Rifiuta” (o un comando “X” con funzione di rifiuto) sono obbligatori.
    • Gli utenti devono poter fare scegliere quali funzionalità, cookie di terze parti e categorie installare.
    • Gli utenti devono poter aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
  1. Raccolta del consenso:
    • Il consenso via semplice scorrimento non è più valido, quindi deve essere fatto tramite inequivocabile click su un bottone.
    • I cookie wall non sono ammessi, ovvero non può essere bloccato l’accesso al sito web se l’utente non acconsente all’uso di cookie o di altre tecnologie di tracciamento.
  1. Validità delle preferenze dell’utente relative al consenso: dopo aver chiesto il consenso la prima volta, devono passare almeno 6 mesi prima di poterlo chiedere nuovamente.
  1. Cookie statistici come ad esempio Analytics:
    • I cookie statistici di prima parte, cioè i cookie generati direttamente dal sito, possono essere installati senza il consenso dell’utente e senza blocco preventivo.
    • I cookie statistici di terza parte, cioè i cookie creati da domini diversi da quelli del sito, possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni.
  1. Prova del consenso: è necessario un Registro delle Preferenze Cookie per poter dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR.

Come adeguarsi

È necessario installare il banner quando il sito fa uso di cookie di profilazione o altri strumenti di tracciamento. Se un sito web installa solo cookie tecnici, il banner non è necessario. Ad esempio: un sito che utilizza solamente un cookie per memorizzare le preferenze di lingua non deve avere il banner, mentre se in aggiunta ha anche Analytics allora il banner sarà necessario.

II banner, mostrato al primo accesso dell’utente, deve includere le seguenti informazioni:

cookie banner
  • un’ informativa breve per segnalare che il sito utilizza cookie tecnici ed eventuali cookie di profilazione o altri strumenti di tracciamento, con le relative finalità;
  • il link alla cookie policy all’interno della quale sono indicati eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione e l’esercizio dei diritti dell’utente;
  • un’indicazione chiara che mediante un’azione positiva ed esplicita l’utente presta il proprio consenso alla profilazione. Attenzione: il semplice scorrimento non è considerato un metodo valido per la raccolta del consenso;
  • un link a un’area dedicata (bottone “Scopri di più e personalizza”) dove l’utente può selezionare in maniera granulare le funzionalità, le terze parti e le categorie di cookie da installare;
  • un comando per accettare (bottone “Accetta”) tutti i cookie o altri strumenti di tracciamento;
  • un comando per rifiutare (bottone “Rifiuta” o “X” in alto a destra) tutti i cookie o altri strumenti di tracciamento.

Dopo la prima visita al sito, il banner non deve più essere visualizzato, ma l’utente deve poter accedere alla privacy/cookie policy (consigliamo un link sempre presente nel footer) e ad un’area dover poter modificare le preferenze di tracciamento espresse in precedenza.

ll Garante precisa che il titolare di un sito web è tenuto a dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR. Il Garante specifica che a un consenso valido deve corrispondere un “evento informatico inequivoco, documentabile” e “riconoscibile e registrabile da parte del titolare“.

Agli utenti può essere chiesto nuovamente di prestare il consenso solo se:

  • sono stati aggiunti dei nuovi servizi o ne sono stati rimossi di vecchi, quindi le condizioni sono cambiate;
  • l’utente ha cancellato il cookie di consenso installato sul suo dispositivo;
  • sono passati almeno 6 mesi dall’ultima richiesta di consenso.

Per tenere traccia dei consensi utilizziamo il Registro Preferenze Cookie di iubenda che permette di conservare e documentare la prova del consenso e di collegarlo ad un unico utente per future verifiche.


I cookie sono definiti sulla base di due macro categorie: cookie tecnici e cookie di profilazione.

Inoltre, il Garante precisa che, in linea di principio, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente.

Per quanto riguarda i cookie statistici di terza parte, possono essere installati senza il consenso dell’utente solo se:

  • non permettono l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
  • il loro uso è limitato a un singolo sito/app;
  • non sono condivisi o comunicati a terzi;
  • i dati raccolti non sono combinati con altri dati.

Quindi se usi Google Analytics, la cosa migliore da fare è anonimizzare gli IP.

Questa funzione è stata progettata da Google per aiutare i proprietari dei siti a rispettare normative come il GDPR, che impediscono la memorizzazione di indirizzi IP completi. Ad ogni modo, tieni presente che in certi paesi (ad esempio Belgio, Irlanda e Regno Unito) i cookie statistici richiedono sempre e comunque il consenso. Di conseguenza, il blocco preventivo resta l’opzione più prudente.

Conclusione

In sintesi queste sono le operazioni da fare:

  1. Mostrare un cookie banner alla prima visita dell’utente;
  2. predisporre i pulsanti: Accetta, Rifiuta (o “X”) e Personalizza nel cookie banner;
  3. disabilitare il consenso al proseguimento della navigazione;
  4. elencare le finalità di trattamento nel banner;
  5. bloccare tutti i cookie non strettamente necessari fino a quando non si riceve il consenso;
  6. attivare un “Registro Preferenze Cookie” per raccogliere il consenso tramite una chiara azione;
  7. consentire un controllo specifico sui cookie con il consenso per categoria;
  8. menzionare esplicitamente il diritto di revocare il consenso;
  9. predisporre dei link alla Privacy Policy e alla Cookie Policy in modo che siano sempre presenti in ogni pagina del sito e l’utente possa aggiornare in qualsiasi momento le proprie preferenze;

Fonte iubenda

Foto di Gabrielle Henderson da Unsplash

Articoli correlati

backup cosa sono e come li gestiamo

Backup: cosa sono e come li gestiamo

11 Marzo 2022

Per migliorare il livello di sicurezza sui nostri hosting e essere GDPR compliance, abbiamo da sempre attivato i backup. Inoltre, dato il periodo storico, si sono intensificati ulteriormente gli attacchi […]

Leggi tutto
cookie policy aggiornamento

Cookie Policy: piccolo aggiornamento

20 Settembre 2021

Il 10 luglio 2021 il Garante Privacy ha approvato le nuove linee guida per l’uso dei cookie. Ve lo avevamo anticipato qui. In questo breve articolo, vi vogliamo riassumere che […]

Leggi tutto

Cookie in Italia: cosa c’è di nuovo

19 Luglio 2021

Il 10 luglio 2021 il Garante Privacy ha approvato le nuove linee guida per l’uso dei cookie. Siamo partner iubenda e soprattutto abbiamo un consulente privacy che ci segue, quindi […]

Leggi tutto