Prenota una demo
Login to console
  • RGPD

  • Conformità

  • CMP

  • Cookie Banner

  • Garante

Le linee guida del Garante Privacy sui cookie in Italia: come essere conformi

Pubblicato il luglio 20, 2021 by Angelica Pratolini

Aggiornato il marzo 21, 2022 by Angelica Pratolini

Il 10 luglio 2021 il Garante Privacy ha approvato le nuove Linee Guida sui cookie e altri strumenti di tracciamento. Tali Linee Guida sono state pubblicate con il fine di assicurare la conformità di tutti i siti web con il Regolamento Generale sulla Protezione dei Dati (RGPD) e la direttiva ePrivacy. Le aziende hanno avuto 6 mesi di tempo per rendere i propri banner conformi, fino alla data limite per la messa in conformità, il 10 gennaio 2022: a partire da quel momento tutte le aziende che non si sono conformate alla normativa rischiano delle severe sanzioni da parte del Garante Privacy. Scopri in questo articolo come Didomi può aiutarti a metterti in conformità con le direttive del Garante Privacy sui cookie.

 

Sommario:

 

 


 

CI cookie e gli altri strumenti di tracciamento: definizione

 

Prima di entrare nel merito delle nuove linee guida, è forse doveroso ricordare cosa sono i “cookie e altri strumenti di tracciamento”. I cookie possono essere definiti come file di testo creati da un web server, che vengono memorizzati sui dispositivi di un utente quando questo naviga su un sito attraverso un browser, e contengono dati e informazioni sugli utenti. Occorre inoltre distinguere i cookie di prima parte dai cookie di terza parte: i cookie di prima parte sono creati dal web server del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”), mentre i cookie di terza parte sono cookie impostati da un sito web diverso da quello che si sta attualmente visitando (esempio: l’utente è su un sito e-commerce dove è impostato un cookie di Facebook).

 

I cookie tecnici permettono di identificare gli utenti che hanno già visitato il sito in precedenza, mentre i cookie analitici ed i cookie di profilazione consentono di ottenere informazioni più o meno approfondite sull’utente circa le attività svolte da questo online.

 

Gli strumenti enunciati qui di sopra possono essere gestiti attivamente dall’utente (es. rifiuto del consenso, rimozione dei cookie) e per tale motivo vengono definiti anche “identificatori attivi".

 

Cosa sono dunque “gli altri strumenti di tracciamento” ? Come i primi, anche questi consentono di effettuare trattamenti analoghi ai cookie – il Garante cita per esempio fingerprinting - con la differenza che non possono essere gestiti autonomamente dagli utenti se non tramite l’intervento del titolare del trattamento dei dati (ovvero il sito). Gli altri strumenti di tracciamento sono dunque degli “identificatori passivi”.

 

Il Garante della privacy sottolinea la distinzione tra cookie tecnici, funzionali a rendere il sito web veloce e performante, e i cookie di profilazione, che sono invece utilizzati per raggruppare gli utenti in profili omogenei, impostare messaggi personalizzati e campagne pubblicitarie targhettizzate.

 

Le nuove linee guida sui cookie in Italia: contesto e requisiti

 

Alla luce della proliferazione di cookie e di altri strumenti di tracciamento, i regolamenti europei e il Garante Privacy hanno cercato di implementare regole più severe e precise sulla protezione dei dati personali degli utenti. Cosa si intende per raccolta del consenso? Come sviluppare un cookie banner a norma? E’ necessario raccogliere il consenso degli utenti per i cookie statistici? E qual è la definizione di cookie analytics?

 

La funzione che svolgono le nuove Linee Guida sui cookie e altri strumenti di tracciamento è, infatti, quella di specificare le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli utenti. 

 

Il quadro giuridico all’interno del quale si collocano le nuove linee guida riflette l’evoluzione costante delle normative sulla privacy, sui cookie e sulla protezione dei dati: il GDPR a livello europeo, il Codice Privacy italiano, ma anche la Direttiva ePrivacy, il parere dell’EDPB del 12 marzo 2019 sulle interazioni tra la stessa e il GDPR, le raccomandazioni della CNIL entrate in vigore nel 2021. Il Garante aveva già avviato il 10 dicembre 2020 una consultazione pubblica sulla propria bozza di Linee Guida sui cookie e ad altre tecnologie di tracciamento. In sintesi, Il Garante Privacy ha elaborato una versione "arricchita" del testo del Regolamento europeo 2016/679 sui cookie: l’informativa sui cookie ed altri strumenti di tracciamento non è il punto di partenza, ma il culmine di un lungo processo di analisi. 

 

Checklist: 10 step per essere conformi alle nuove Linee Guida sull'utilizzo dei cookie

Scopri i 10 passi per diventare conforme tramite questa checklist creata da Didomi per te. Con le nuove Linee Guida del Garante, raccogliere i dati dell’utente in modo conforme e consenziente è ormai un obbligo legale, oltre che morale. La scadenza per la messa in conformità è il 10 gennaio 2022. Affrettati!

 

Scarica la checklist 

 

The Garante checklist pdf  - Socials (Rectangle)

 

Le nuove linee guida sui cookie riguardano tutte le aziende che hanno sede in Italia o che offrono i propri servizi ad utenti italiani. In sintesi, il Garante Privacy ha voluto fare chiarezza su alcuni elementi fondamentali della gestione del consenso e della protezione dei dati personali degli utenti, tra cui : 

 

  1. Il cookie banner

  2. La raccolta del consenso

  3. Principi di Privacy by Design e Privacy by Default

  4. La validità delle preferenze dell’utente relative al consenso: 

  5. I cookie statistici (analytics)

  6. La prova del consenso

  7. Le basi giuridiche applicabili all’uso dei cookie oltre al consenso

 

 

I requisiti principali secondo il Garante Privacy: cosa devi fare

 

E’ il momento di entrare nel vivo della questione.  Qui di seguito, le nuove Linee Guida del Garante sull’utilizzo dei cookie e altri strumenti di tracciamento:

 

1. Il Cookie banner

In presenza di cookie di profilazione o altri strumenti di tracciamento su un sito web, il “cookie banner” è un elemento funzionale all’acquisizione del consenso dell’utente. Il Cookie banner deve sempre e soltanto apparire alla prima visita dell’utente e per essere conforme alle linee guida sui cookie deve rispettare alcuni requisiti:

  • Deve permettere all'utente di acconsentire ai cookie o altri strumenti di tracciamento: la raccolta del suo consenso deve essere inequivocabile. In altre parole, il consenso implicito o le caselle preselezionate non sono più ammessi.

  • Deve includere un link alla cookie policy che indichi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione e l’esercizio dei diritti dell’utente.

  • Deve presentare il link ad un’ulteriore area dedicata nella quale sia possibile selezionare soltanto le funzionalità granulari, i fornitori e i cookie al cui utilizzo l’utente scelga di acconsentire.

  • Deve facilitare la revoca del consenso, un link di modifica deve essere a disposizione degli utenti in caso vogliano cambiare i consensi rilasciati. In sintesi, gli utenti devono essere capaci di modificare le proprie preferenze in qualsiasi momento

  • Infine, deve utilizzare un linguaggio semplice ed accessibile. L’utente non deve essere influenzato da grandezze diverse e/o colori diversi utilizzati per i pulsanti ma vi deve essere uniformità.

 

Ed ecco due esempi di cookie banner conformi (e performanti) creati da Didomi, rispettivamente quelli di “Al Femminile” e di “Subito.it”. Questi banner, oltre ad essere perfettamente in applicazione delle linee guida sui cookie, presentano elementi stilistici personalizzati in perfetta linea con la marca. 


 

allfemminile

 

subito

 

Se sei interessato a scoprire altri esempi di banner conformi e non conformi, dai un'occhiata al nostro articolo su come implementare un cookie banner in rispetto delle linee guida sui cookie del Garante Privacy.

 

2. Modalità di raccolta del consenso

  • Lo scrolling o scroll-down non corrisponde ad un’azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento dei dati. Unica eccezione riconosciuta dal Garante Privacy: qualora vengano adottate delle soluzioni sul sito web idonee a manifestare in maniera inequivoca la volontà da parte dell’utente di fornire il proprio consenso al trattamento dei dati (es: pattern, bottoni virtuali, azioni per far cambiare colore, formato o posizione, ecc.), esse si potranno ritenere “in linea con i requisiti di legge”. L’obiettivo è dunque quello di evitare i “falsi positivi”, ovverosia l’errata interpretazione di azioni casuali come appunto l’espressione positiva del consenso tramite lo scrolling.

  • I cookie wall sono illeciti, salva l’ipotesi in cui il sito offra all’utente la possibilità di accedere senza prestare il proprio consenso all’installazione e all’uso dei cookie (eventualità da valutare caso per caso)

3. Rispetto dei principi di privacy by design e by default

  • Il controllo dei dati personali dell’utente deve avvenire tramite un cookie banner che, per impostazioni predefinite, tratti solo i dati personali necessari ad adempiere una specifica finalità. 

  • Inoltre, ai fini dell’acquisizione del consenso, il cookie banner dovrà contenere una “X” in alto a destra che permetta di chiudere tale cookie banner senza dover prestare il consenso all’uso dei cookie o di altre tecniche di profilazione, mantenendo così le impostazioni di default. 

4. La validità delle preferenze dell’utente relative al consenso

I consensi raccolti precedentemente alla pubblicazione delle nuove Linee Guida del Garante sui cookie, se conformi alle caratteristiche richieste dal Regolamento, hanno validità a patto che, al momento della loro acquisizione, siano stati registrati e siano dunque documentabili. In generale il cookie banner non potrà essere mostrato agli utenti prima che siano trascorsi 6 mesi dalla raccolta del consenso.

 

5. I cookie analytics (o cookie statistici)

Nelle nuove linee guida per i cookie, il Garante sottolinea che i cookie analytics (cookie statistici) di prima parte possono essere installati senza raccogliere il consenso dell’utente, qualora equiparabili a cookie tecnici (per esempio, per creare statistiche aggregate con l’anonimizzazione dell’IP e con riferimento a un solo sito internet ).

 

Per quanto riguarda i cookie analytics di terza parte, possono essere installati senza il consenso dell’utente solo se soddisfano le seguenti condizioni:

 

  • I cookie analytics di terza parte hanno unicamente il fine di produrre statistiche aggregate in relazione ad un singolo sito o una sola applicazione mobile

  • Vengono minimizzati (mascherando almeno la quarta componente dell’indirizzo IP)

  • I dati raccolti non sono condivisi o comunicati a terzi

  • I dati raccolti non sono combinati con altri dati

 

Nota bene: in alcuni Paesi (come Belgio, Irlanda e Regno Unito) i cookie analytics richiedono sempre e comunque il consenso.

 

6. La prova del consenso

Qualora l’utente dia il proprio consenso al trattamento dei dati, l’atto deve essere “libero, specifico, informato e inequivocabile”, ai sensi del GDPR.

 

7. Le basi giuridiche applicabili all’uso dei cookie oltre al consenso

In sintesi, il Garante Privacy ha esplicitamente affermato che i cookie e gli altri strumenti di tracciamento non possono essere installati senza aver raccolto il consenso degli utenti (eccetto condizioni eccezionali, ad esempio se i cookie hanno esclusivamente lo scopo di fornire un servizio richiesto dall’utente).

 

Di conseguenza, le nuove linee guida sui cookie chiariscono che non è più consentito ricorrere al legittimo interesse per la profilazione degli utenti. Per maggiori informazioni riguardo questo punto, ti invitiamo a leggere il nostro articolo dedicato.

 

Il tempo di adeguamento a questo nuovo Regolamento è chiaramente passato (ti ricordiamo, infatti, che la deadline per conformarsi alle nuove linee guida sui cookie e altri strumenti di tracciamento era il 10 gennaio 2022), ma siamo sempre disponibili ad aiutarti a raggiungere la conformità da adesso, qualora non avessi già provveduto! 

 

Prenota

 

Come conformarsi alle linee guida sui cookie : l’aiuto di Didomi

 

Da Didomi, ci occupiamo di assicurare che i nostri clienti siano in conformità con le ultime normative sulla privacy esposte dal Garante, trasformando l’obbligo legale in un’opportunità per la marca. In questo modo, puoi dimostrare ai tuoi clienti che ti prendi cura dei loro diritti, e fornire esperienze personalizzate. Didomi ha sviluppato una competenza su tutti gli elementi fondamentali della raccolta e della gestione del consenso, e i nostri prodotti ti risparmiano preoccupazioni e perdite di tempo per la messa in conformità del tuo cookie banner, cookie policy e di tutti gli altri elementi menzionati nelle linee guida sui cookie enunciate dal Garante Privacy!

 

La cookie policy : gli elementi fondamentali

  • le informazioni sul Titolare del trattamento dei dati (fra gli elementi obbligatori : la ragione sociale dell’azienda o il nome e cognome della persona fisica proprietaria del sito, la sede legale, codice fiscale e partita IVA, l’indirizzo e-mail);

  • il nominativo del Data Protection Officer (o Responsabile della Protezione dei Dati) e i suoi contatti;

  • l’elenco dei cookie installati dal sito, raggruppati in categorie (tecnici, di profilazione e l’eventuale distinzione fra prima e terza parte), assieme a una loro breve descrizione e all’indicazione del periodo di raccolta dei dati ed i criteri di conservazione. Consigliamo di adottare un linguaggio semplice e trasparente;

  • l’elenco degli identificatori non tecnicii;

  • l’elenco dei diritti degli interessati così come tassativamente indicati dal GDPR e le modalità per esercitarli.

 

I nostri cookie banner sono 100% conformi alle nuove Linee Guida del Garante senza però sacrificare la performance. In effetti, oltre ad essere un obbligo legale, i cookie banner rappresentano anche un’opportunità per ottimizzare le campagne marketing. In sostanza, da Didomi conformità e protezione dei dati personali vanno a braccetto con personalizzazione e ottimizzazione delle performance!

 

I principali vantaggi della Consent Management Platform di Didomi sono : 

 

  • Gestisce e ottimizza facilmente la raccolta del consenso degli utenti su tutti i tuoi canali (web, mobile, applicazioni, smart tv…)

  • È conforme al GDPR (oltre che alle nuove linee guida del Garante Privacy)

  • Ti permette di raccogliere e archiviare i dati dei tuoi utenti con semplicità

  • È performante - ottimizza i tassi di consenso

  • È personalizzabile - puoi testare diversi formati e stili per ottimizzare il tuo tasso di consenso

  • Ti consente di accrescere la fiducia degli utenti che visitano il tuo sito e, di conseguenza, di migliorare la tua immagine di marca

 

Untitled design (6) (1)-1La CMP di Didomi su telefono - conforme senza compromettere la performance.

 

Inizia il processo di installazione oggi insieme ad uno dei nostri esperti di GDPR o delle linee guida sui cookie del Garante, e beneficia anche tu di una CMP efficace, conforme e performante! 

 

Prenota una demo

 

avatar Angelica Pratolini

Angelica Pratolini

Articolo correlato