info@myr.it
0363.335687

GDPR per sviluppatori di siti internet e web designer – Gestione dei cookies

GDPR: tutto quello che devi sapere per evitare di incorrere in rischi e sanzioni

Il GDPR – dall’Inglese General Data Protection Regulation – è un regolamento entrato in vigore a maggio del 2018 che disciplina il modo in cui le aziende e altre organizzazioni utilizzano i dati personali degli utenti dell’Unione Europea. Il regolamento non solo è figlio di un’attenzione da parte della Comunità Europea ai propri cittadini, ma è anche la risposta a uno degli scandali più famosi che ha causato un vero e proprio terremoto nel mondo digitale: il caso Facebook-Cambridge Analytica.

È uno dei provvedimenti più importanti degli ultimi anni per quanto riguarda la protezione dei dati personali e ha avuto importanti implicazioni per tutte le organizzazioni che si rivolgono ai cittadini dell’Unione Europea, siano essi presenti nel mercato comunitario che aziende Extra-UE.

GDPR: tutto quello che devi sapere per evitare di incorrere #rischi e sanzioni

L’obiettivo di questo articolo è quello di mettere in evidenza alcune questioni che riguardano la legge sui cookies e il GDPR in modo da verificare se i siti sviluppati e gestiti per conto dei propri clienti sono conformi alle nuove leggi sulla Privacy dei dati personali.

Definizioni

  • Informativa: è una pagina in cui viene indicato che nel sito sono utilizzati dei codici e dei linguaggi che fanno utilizzo di cookies (piccoli files salvati sul computer del visitatore). Tale informativa deve anche contenere indicazioni esaustive su come cancellare tali cookies e la loro tipologia (non è però necessario indicare il nome specifico del fornitore di terze parti del codice che genera cookies). E’ inoltre necessario specificare come l’informativa non può essere generica indicando funzionalità che non sono invece implementate. Per facilitare le visite successive, la lettura dell’informativa può essere evitata salvando sul computer del visitatore un cookie tecnico.
  • Consenso: si tratta di una azione volontaria e specifica da parte dell’utente ad abilitare o disabilitare l’utilizzo dei cookies sul sito. Il consenso solitamente avviene tramite un pulsante specifico. Tale opzione deve poter essere revocata dall’utente in qualsiasi momento.
  • Prova del consenso: la legge, in Italia, specifica che deve essere attivo un sistema che prova il consenso volontario da parte dell’utente. Tale prova può essere applicata attraverso un cookie tecnico (salvato sul computer dell’utente) che appunto mantiene abilitato o disabilitato il consenso, fino alla eventuale revoca/modifica. Tale prova può essere utilizzata anche per non mostrare più tale consenso alla prossima visita. Nello specifico il Garante afferma: “In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE)”. L’autorità prescrive una validità massima (la possibilità di “ricordare” o “tenere traccia” del consenso) di 12 mesi dall’ultima visita al sito.
  • Blocco preventivo: in ottemperanza ai principi generali della legislazione sulla Privacy che impediscono il trattamento prima del consenso, è necessario bloccare i codici che installano cookie prima di aver raccolto il consenso dell’utente. Questo principio si applica solo ai cookie che necessitano del consenso e non quelli che necessitano solo dell’informativa (cookies tecnici).

La Cookie Law e il Cookie Banner

Con Cookie Banner si intende quella procedura per informare l’utente che il sito utilizza dei cookies. Tale modalità è entrata in vigore un paio di anni fa con il nome di “Cookie Law” ed obbliga tutti i siti web a mostrare un disclaimer in cui si informa che il sito in questione utilizza dei cookies. Il GDPR nomina solo una volta nelle sue pagine la parola “cookie” ed è per questo che non bisogna confondere l’entrata in vigore del GDPR con la Cookie Law, già operativa da tempo. È chiaro però quanto sia maggiormente importante ottemperare alla Cookie Law ora che il GDPR è attivo (dal 25 maggio 2018).

Qui una utilissima nota di chiarimento sulla Cookie Law da parte del Garante.

Il mio sito utilizza dei cookies

Quasi la totalità dei siti web utilizza dei cookies per salvare i dati di navigazione del navigatore, siano essi usati per la sessione oppure per l’abilitazione o meno di certe opzioni. Questi cookies però sono categorizzati come “tecnici”, in quanto senza di essi non sarebbe possibile navigare il sito o comunque la navigazione ne sarebbe compromessa. Per questo tipo di cookies è necessaria esclusivamente l’informativa e non il consenso esplicito al loro utilizzo.

Il mio sito utilizza Google Analytics

Google Analytics è un sistema di terze parti che utilizza dei cookies per funzionare. Per gestire la Cookie Law correttamente è possibile applicare due strade:

  • Anonimizzare gli IP: attraverso l’anonimizazzione degli IP di Google Analytics si rende di fatto il codice javascript esente dal riuscire a identificare una persona attraverso il suo IP, dunque trasformando il codice in un cookie tecnico. In questo caso è necessaria solo l’informativa. Qui qui una guida su come anonimizzare.
  • Mantenere il codice di default: di base Google Analytics utilizza gli indirizzi IP per funzionare e quindi trattenere informazioni potenzialmente “personali”. Se si mantiene il codice di default (quello che normalmente si copia/incolla dalla console di Analytics) ci si scontra con la gestione dei dati personali indicata dal GDPR e quindi è necessario ottenere il consenso al trattamento e deve essere esplicito, oltre che ovviamente pubblicarne l’informativa.

Google Analytics 3: la sentenza del Garante della Privacy

Lo scorso 9 giugno 2022 il Garante della Privacy si è espresso negativamente sull’utilizzo di Google Analytics all’interno dei siti web (qui trovi il testo completo). Questo poiché i dati raccolti dallo strumento non venivano raccolti e conservati all’interno del territorio europeo, tutt’altro: venivano conservati all’interno dei server statunitensi che secondo il Garante non rispettavano adeguati livelli di sicurezza come indicato dal GDPR.

Tale problematica è stata comunque risolta poiché la nuova versione di Analytics (Google Analytics 4) fornisce tutti gli adeguati livelli di sicurezza richiesti dalla normativa della Privacy.

Il mio sito utilizza il Facebook Pixel

Il Facebook Pixel viene utilizzato da chi gestisce gli account pubblicitari di Facebook per tracciare, ad esempio, se un acquisto è andato a buon fine oppure l’apertura di una certa pagina del flusso di acquisto. In ottemperanza con il  GDPR sui dati personali, Facebook è molto preciso in questo senso in quanto indica:

“Gli inserzionisti che usano il nostro pixel dovranno rispettare gli obblighi previsti dal GDPR. Le nostre  condizioni prevedono che le aziende che implementano i nostri strumenti debbano rispettare le leggi applicabili quando usano i nostri strumenti. Per le aziende che operano nell’Unione europea, ciò include l’obbligo di ottenere il previo consenso informato per la memorizzazione e l’accesso di cookie o altre informazioni sul dispositivo dell’utente finale.”

Il documento completo è indicato qui (si può fare riferimento alle domande frequenti a fondo pagina). Se utilizzi il Facebook Pixel nelle tue pagine web (ad esempio di un e-commerce) hai dunque due possibilità:

  • Utilizzare un sistema di gestione dei cookie che permetta all’utente di dare il consenso o meno all’utilizzo di tale pixel; se viene dato il consenso allora il sito web abiliterà il Pixel di Facebook, alternativamente lo disabiliterà.
  • Rimuovere completamente il codice di Facebook che utilizza il pixel e quindi i cookies relativi.

GDPR: 5 semplici passi per mettersi in regola

Quello che è necessario mettere in pratica a partire da oggi, se non l’avete già fatto prima, su tutti i siti web è quanto segue:

  1. Verificare quali cookies utilizza il sito web.
  2. Preparare una pagina informativa sui cookie utilizzati e su come rimuoverli volontariamente (meglio se indicando links esterni per i diversi browser).
  3. Se si utilizza Google Analytics il consiglio è di inserire l’anonimizzazione degli IP così da rendere il cookie un semplice cookie tecnico.
  4. Prevedere l’installazione di un sistema di gestione e informazione dei cookies (disclaimer) che mostra una breve descrizione, un pulsante di “Leggi informativa Privacy” (che rimanda alla informativa del punto 2) ed un pulsante di “Ho letto l’informativa“.
  5. Se il sito utilizza Facebook Pixel (così come altri cookies non tecnici) è necessario aggiungere un pulsante di “Acconsento” oppure “Non acconsento” facendo in modo che il click abiliti o disabiliti tale codice di Facebook. È bene tener presente che inizialmente tale codice non deve essere attivo per via della specifica sul “blocco preventivo”. Inoltre, è necessario sviluppare un modo affinché l’utente possa revocare o concedere il consenso in ogni momento della navigazione (ad esempio con una piccola icona flottante a fondo pagina che riabiliti il Cookie Banner).

Ti piacerebbe saperne di più? Vuoi avere maggiori informazioni o una consulenza specifica sui rischi a cui la tua azienda è soggetta? Parliamone davanti a un caffè.

Approfondimento:

Leave a Reply