UX & Coding
-50% su Hosting WordPress con Serverplan (codice promo NM50)

Cookie banner e privacy policy: come adeguarsi alla GDPR

"Il cookie banner è indispensabile per il controllo dei consensi, la gestione delle preferenze e per rispettare le direttive sulla protezione dei dati"

Dall’entrata in vigore del GDPR il mondo online ha dovuto preoccuparsi ed adattarsi alle normative e le linee guida che tutelano gli utenti online.

Per la maggioranza dei siti è necessario mostrare un cookie banner alla prima visita dell’utente per permettergli di prestare (o meno) il consenso e predisporre una cookie policy e una privacy policy.

Cookie banner

Prima di aver ottenuto il consenso, nessun cookie dev’essere installato o risultare attivo ed è per questo che sono nate le Consent Management Platform.

Le piattaforme di gestione del consenso (CMP) si occupano del controllo del consenso, in relazione alla raccolta e al trattamento delle informazioni personali, che spesso avvengono tramite i cookie e i tracker di terze parti.

Cos’è il GDPR

Il regolamento generale sulla protezione dei dati (GDPR) è una direttiva europea pubblicata nel 2016 e direttamente applicabile a tutti gli stati membri a partire dal 25 Maggio 2018 che disciplina il modo in cui le aziende e le organizzazioni trattano i dati personali.

La legislazione ha come obiettivo quello di fornire a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando i diritti e le libertà fondamentali delle persone fisiche: con questa finalità, stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e la conservazione e il consenso delle preferenze.

Regole generali

Un banner per il consenso ai cookie è essenziale per la conformità, ma da solo non è sufficiente. Qui di seguito una lista che riassume i meccanismi basilari per essere pienamente conforme al GDPR.

  • mostra un banner di consenso ai cookie non invasivo e personalizzato secondo il design del sito
  • inserisci i pulsanti “accetta” e “rifiuta” e il link alla policy estesa
  • traduci le informazioni automaticamente in base alla lingua del browser
  • ottimizza il layout del banner per i diversi dispositivi
  • informa gli utenti in un linguaggio semplice e chiaro sull’utilizzo dei cookie
  • mostra le diverse categorie di cookie utilizzate
  • fornisci opzioni granulari per accettare/rifiutare le diverse categorie di cookie raggruppandoli in insiemi
  • blocca gli script di terze parti fino a quando gli utenti non danno il consenso
  • premetti di revocare in qualsiasi momento il consenso
  • salva le preferenze senza effettuare una nuova richiesta ad ogni accesso

Cookie banner e policy

Per assicurare al proprio sito una aderenza quanto più completa alle direttive e le linee guida ci sono alcune regole che vanno seguite per impostare correttamente la gestione e i controlli attraverso tutti gli strumenti necessari.

Trattamento grafico interazioni

Il cookie banner per svolgere correttamente la sua funzione deve integrare tutte quelle interazioni che possono permettere una scelta specifica o che possono consentire di non effettuarne nessuna:

  • un pulsante di “Accettazione” che consentirà di istanziare tutti cookie
  • un pulsante di “Negazione” per consentire solo l’erogazione di quelli che vengono definiti cookie tecnici
  • un comando di chiusura contraddistinto tipicamente da una “X” solitamente posto in alto a destra che permette di chiudere il banner senza avere preso una decisione (è quindi equiparabile alle negazione del consenso)
  • un pulsante di “Personalizzazione” che fornisce all’utente un’interfaccia di selezione specifica per abilitare o inibire determinate categorie di cookie (es. quelli di marketing o personalizzazione)
Cookie banner interazioni

Per quanto riguarda i pulsanti di “Accettazione” e Rifiuto”, per assicurare che gli utenti non siano influenzati o penalizzati da scelte di design che inducano a preferire un’opzione anziché un’altra è fondamentale adottare caratteri, dimensioni, enfasi e colori che siano ugualmente facili da visionare e utilizzare.

Cookie banner
Utilizzare un peso grafico differente per le interazioni principali non è consentito

Il principio su cui si basa questa direttiva è semplicemente quello di non condizionare in alcun modo l’utente a prestare il consenso se non per una sua scelta consapevole.

Granularità del consenso

I cookie e gli altri strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale ma è la loro classificazione che disciplina le esigenze di tutela delle persone ed essa si basa principalmente su tre macro categorie:

  • cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete elettronica” o erogare un servizio
  • cookie di profilazione, impiegati per ricondurre a soggetti determinati specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei
  • cookie di terze parti, istanziati in seguito all’uso di script o servizi esterni (come ad esempio strumenti social, pixel di conversione, monitoraggio di campagne o attività di marketing)

I cookie sono quindi organizzabili in categorie di appartenenza che possono facilitare l’utente in fase di selezione o di deselezione dei consensi offrendo un’interfaccia di scelta sulla base delle preferenze.

Granularità del consenso
Organizzare i cookie per categorie fornisce un aiuto agli utenti

Esiste anche la possibilità di estendere questa modalità offrendo nello stesso banner o (più facilmente) in una pagina secondaria la facoltà di selezionare strumenti e cookie singolarmente per fornire un controllo ancora più completo nella fase di consenso.

Privacy e cookie policy

Premesso che il cookie banner deve contenere un’informativa minima relativa al fatto che il sito utilizza (se è questo il caso) cookie o altri strumenti tecnici, devono essere presenti i link alla privacy policy estesa e alla cookie policy.

Le informative estese vengono tipicamente posizionate nel footer di qualsiasi pagina del dominio a cui l’utente accede e devono fornire in maniera chiara e completa tutte le indicazioni riguardo il trattamento dei dati, la tipologia di cookie o degli altri strumenti tecnici utilizzati.

Cookie e privacy policy

Devono contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati, elencare gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione delle informazioni e le indicazioni sulla possibilità e sulle modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.

Inoltre devono definire i criteri di codifica dei cookie o degli altri strumenti di tracciamento utilizzati in modo da distinguere, in particolare, i cookie tecnici da quelli analitici e da quelli di profilazione.

Installazione dei cookie

Questo punto dovrebbe essere il più scontato ma è quello che spesso viene più ignorato rendendo l’adozione di un cookie banner pressoché inutile.

Le scelte prese in fase di accettazione o negazione definiscono le regole di erogazione dei cookie (che siano analitici di altra natura): questo significa che previa interazione con il cookie banner non è consentita l’erogazione di alcun tipo di cookie (salvo quelli tecnici o di tipologia differente se trattatati secondo la regolamentazione vigente).

Google Tag Manager
Google Tag Manager rappresenta uno degli strumenti fondamentali per gestire il banner e gli script di terze parti

Una volta invece dichiarata la preferenza il “sito” deve adeguarsi a tale scelta e istanziare solo ed unicamente i cookie, raggruppati tipicamente per categoria di appartenenza, a cui non corrisponde un criterio di negazione.

Significa che a tutti gli effetti ogni utente potrebbe navigare interamente il sito senza nessuna interazione con il banner e senza nessun cookie o accettare l’installazione di solo alcune categorie.

Pratiche non consentite

Esistono alcuni comportamenti ritenuti scorretti o più genericamente non concessi che devono essere assolutamente evitati: l’espressione del consenso deve rimanere per l’utente opzionale e mai derivata da una forzatura.

Scroll o swipe consent

Il consenso deve essere sempre inequivocabile e legato ad una chiara azione attiva e consapevole da parte dell’utente.

Un semplice scroll o uno swipe non soddisfano questo requisito per la semplice ragione che possono essere del tutto casuali oppure legati ad un’esigenza più immediata, ovvero quella di continuare appunto la navigazione e non necessariamente l’intenzione di accettare i trattamenti o l’erogazione di cookie.

il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Fonte: COOKIE: dal Garante privacy nuove Linee guida a tutela degli utenti

Utilizzo del Cookie wall

Un cookie wall è una qualunque barriera tecnologica (ad esempio una modale) che blocca l’accesso ad un sito se l’utente non esprime un’azione di consenso.

Anche se le normative possono essere leggermente diverse tra i vari paesi UE, in generale l’uso dei cookie wall non è legittimo in quanto contrario al principio del GDPR per cui il consenso dev’essere sempre espresso liberamente.

Cookie wall
Il cookie wall non permette una scelta libera

A tutti gli effetti è un’ostacolo che mette l’utente in una situazione di scelta forzata, in cui deve decidere di accettare i cookie (tecnici, di marketing o similari), o verrà impedito l’accesso al sito web e ai relativi servizi.

A partire da Maggio 2020 le linee guida del Comitato europeo per la protezione dei dati (EDPB) escludono i cookie wall dalle modalità ammesse per ottenere il consenso al trattamento dei dati personali e all’uso dei cookie.

Non consentendo di qualificare l’eventuale consenso così ottenuto come conforme alle caratteristiche imposte dal Regolamento, e segnatamente al suo art. 4, punto 11 con particolare riferimento al requisito della “libertà” del consenso, è da ritenersi illecito.

Fonte: Linee guida cookie e altri strumenti di tracciamento

Reiterazione della richiesta

La preferenza espressa dall’utente deve essere richiesta solo una volta e non ripresentata (se l’utente ha effettivamente effettuato una scelta) in quanto il cookie banner visibile ad ad ogni nuovo accesso compromette la fluidità della user experience e non trova ragione negli obblighi di legge.

Questa pratica se utilizzata per l’acquisizione del consenso, laddove l’utente l’abbia in precedenza negato, appare scorretta in quanto induce alla scelta di prestarlo pur di proseguire nella navigazione libero dalla comparsa del banner .

La scelta effettuata dovrà essere registrata e la prestazione del consenso non più nuovamente sollecitata se non quando ricorra uno dei seguenti casi:

  • quando mutano significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute
  • se è impossibile avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo, ad esempio nel caso in cui l’utente scelga di cancellare i cookie installati nel proprio dispositivo
  • quando siano trascorsi almeno 6 mesi dalla precedente presentazione del cookie banner

L’Autorità sottolinea che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva.

Fonte: COOKIE: dal Garante privacy nuove Linee guida a tutela degli utenti

Esenzione dal cookie banner

La necessità di avere il banner dipende dalle finalità per le quali i cookie vengono usati e quindi per l’installazione dei cookie tecnici e di quelli analitici non è richiesto il consenso degli utenti, mentre è comunque sempre necessario dare l’informativa (art. 13 del Regolamento UE 2016/679).

Ad oggi in ogni caso la raccomandazione è di informare quanto più possibile l’utente su quali cookie vengono impiegati e quindi non è da scartare l’ipotesi di presentare un banner dove si informa semplicemente della presenza di quelli di tipo tecnico con la possibilità di visualizzare l’informativa estesa.

Quale CMP scegliere

Esistono svariate piattaforme di gestione del consenso (CMP) che i siti web possono utilizzare per conformarsi alle leggi sulla privacy dei dati, ciascuna con una tecnologia e una modalità diversa per gestire le preferenze.

Le più note sono Iubenda, Cookiebot e OneTrust che offrono protocolli di gestione dei cookie più o meno semplici a seconda dei casi di implementazione.

Iubenda CMP
Iubenda è una delle soluzioni più complete e a basso costo

La maggior parte di questi strumenti si integra in modo nativo a sistemi di controllo dei tag come Google Tag Manager e permette così una gestione completa dei cookie e degli strumenti tecnici più centralizzata.

Conformità in Europa

vpnMentor alla fine del 2021 ha eseguito un test su oltre 2500 siti nell’UE e il risultato è stato che solo il 34% dei siti era conforme.

GDPR report
Report di vpnMentor sull'adeguamento dei siti alla GDPR

Moltissimi dei siti controllati durante questo audit a campione avevano vecchie impostazioni sulla privacy (o in alcuni casi nessuna politica) e non erano pronti per le linee guida in vigore.

Sanzioni applicabili

Nel caso in cui un sito sia sprovvisto di cookie policy, o la medesima contenga inadempienze alla legge in materia, le sanzioni gravanti sul proprietario possono essere molto alte:

  • da 6.000 a 36.000 euro per omessa informativa o informativa inidonea secondo le regole prescritte dall’articolo 13 del Codice
  • da 10.000 a 120.000 euro per installazione di cookie sui terminali degli utenti senza il loro preventivo consenso
  • da 20.000 a 120.000 euro per omessa o incompleta notificazione al Garante

Le organizzazioni inadempienti rischiano di incorrere in pesanti sanzioni pari a un massimo di 20 milioni di euro, o al 4% del fatturato annuo globale, a seconda di quale dei due importi è più alto.

Il portale www.enforcementtracker.com offre una panoramica delle multe che le autorità all’interno dell’UE hanno imposto ai sensi del regolamento generale sulla protezione dei dati (GDPR, DSGVO).

A chi rivolgersi per l’implementazione

Malgrado i servizi disponibili offrano un enorme vantaggio nella gestione di banner e cookie policy essi non costituiscono o sostituiscono una consulenza legale e il supporto di uno specialista.

Le dinamiche di controllo e la regolamentazione è in continua fase di evoluzione ed è molto facile interpretare nel modo errato le direttevi o effettuare un controllo dei cookie non corretto.

Inoltre un’implementazione professionale di un sistema di consenso richiede diverse competenze sia in ambito tecnico che legale.

Organizzazioni e grandi aziende

Per realtà medio-grandi/grandi (dove le sanzioni possono davvero essere elevatissime) o siti molto complessi con alti volumi di traffico e con presenza strumenti di terze parti e la raccolta di dati sensibili è sempre meglio affidarsi a società di consulenza competenti come ad esempio 3rdPlace che nel panorama italiano è una delle realtà di più attente e affidabili in questa materia.

3rdPlace
3rdPlace è una delle company più competenti nella gestione dei dati

In questo caso viene garantita una consulenza di alto livello con alle spalle team tecnici, legali e operativi che posso intervenire su sistemi articolati e dove è necessaria una particolare attenzione alle logiche di implementazione.

Imprese, professionisti o agenzie

In tutti gli altri casi, o più in linea generale, è altamente consigliabile richiedere sempre il parere di un professionista aggiornato e tecnicamente in grado di affrontare questa materia.

Adeguare un sito nel modo corretto non è semplicissimo ed è importante seguire le evoluzioni che le normative avranno da qui in avanti.

Unisciti alla community! Rimani aggiornato, scopri le migliori guide e ricevi risorse gratuite.



Aggiungi un commento

UX & Coding

Articoli recenti

Newsletter

Inserisci la tua email per restare aggiornato sulle ultime novità.