Cookie law e GDPR: facciamo chiarezza
Vero “spauracchio” degli ultimi mesi tantissime volte si confonde il GDPR (nuovo regolamento europeo per il trattamento dei dati personali) con la “cookie law” (regolamento per la corretta gestione dei cookie che, al massimo, ha dei “riflessi” sul GDPR).
Partiamo da un concetto di base fondamentale: il GDPR è qualcosa da affrontare a livello aziendale e non, come ho orribilmente sentito da alcuni commercialisti/avvocati (poverette le aziende sotto la loro gestione…), qualcosa di collegato esclusivamente al “mondo” del web (“quella roba li serve solo se avete un e-commerce” – citazione di un commercialista di Milano di cui la cliente non sapeva nemmeno cosa fosse il GDPR).
Seconda premessa: il GDPR NON È qualcosa di cui se ne può occupare integralmente un webmaster!
Se l’agenzia o il webmaster a cui vi siete appoggiati “ha fatto tutto lui” siamo di fronte al 99% ad improvvisati e non a seri professionisti… voi andreste a farvi fare una visita oculistica da un avvocato?
Tristemente vero, anche grandi aziende “cavalcano” questa paura con AdS e banner inquietanti del tipo “se non sei a norma con il banner dei cookie rischi fino a 2 Milioni di € di ammenda”… potevano far che mettere anche l’ergastolo al 41bis!
Il GDPR
Fermo restando che non sono né un avvocato né un DPO… Il GDPR, acronimo di General Data Protection Regulation, è un regolamento dell’Unione Europea che disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali.
È entrato in vigore il 25 maggio 2018 e ha sostituito la direttiva 95/46/CE.
In Italia, il GDPR è stato recepito dal decreto legislativo 101/2018, che ha modificato il codice in materia di protezione dei dati personali (d.lgs. 196/2003).
I controlli sul rispetto del GDPR sono stati sospesi in Italia durante la pandemia di COVID-19, dal 9 marzo 2020 al 30 giugno 2021.
In sintesi, il GDPR è una normativa che tutela i dati personali delle persone fisiche, garantendo loro il diritto alla privacy.
Si applica a tutti i soggetti che trattano dati personali, indipendentemente dal loro luogo di residenza o di stabilimento.
Il GDPR non si limita alle aziende; si applica a tutte le persone fisiche o giuridiche che gestiscono dati personali, compresi i privati con bed and breakfast, case vacanza, affittacamere (per citare alcuni esempi molto comuni) o qualsiasi altra attività che comporta il trattamento di informazioni personali.
Il GDPR ha equiparato i dati sensibili e personali, garantendo la tutela dei diritti dell’individuo.
Pertanto, è importante sfatare l’idea erronea secondo cui la raccolta di solo nominativo ed email non costituisce trattamento di dati personali, poiché, nella realtà, si tratta effettivamente di dati soggetti a regolamentazione.
Non sono la figura adatta né voglio addentrarmi al discorso di come ci si adegua al GDPR ma mi limiterò a “come si adegua il proprio sito WordPress al GDPR”?
Avevo già scritto un articolo dedicato al GDPR ma, riepilogando:
- Il sito web DEVE avere un’informativa sulla privacy adeguata al contesto ed ai dati trattati.
- Il sito web DEVE avere un banner dei cookie e NON installare cookie di profilazione senza consenso dell’utente (entreremo nel dettaglio tra poco).
- Il sito web DEVE avere nei form di contatto il campo per il consenso al trattamento dei dati.
- Il sito web DEVE essere mantenuto aggiornato a livello “tecnico” (il GDPR dichiara di “mantenere i propri sistemi informatici aggiornati”).
- Il sito web DEVE avere il certificato SSL / HTTPS attivo.
- Il sito web NON deve avere licenze di temi/plugin nulled/craccate o, più semplicemente, scadute.
- Il sito web NON deve essere abbandonato a se stesso senza una corretta manutenzione (ci torneremo nel dettaglio all’apposito capitolo).
- Nel caso di moduli per iscrizione alla newsletter per l’invio di offerte commerciali dovrà essere predisposta una seconda spunta per il consenso specifico alla ricezione di materiale promozionale.
La normativa sui cookie o “cookie law”
Veniamo ora al discorso cookie… per prima cosa riepiloghiamo rapidamente cosa sono i cookie.
I cookie sono piccoli file di testo che vengono memorizzati sul dispositivo dell’utente quando visita un sito web. Questi file contengono informazioni che vengono lette dal server del sito durante sessioni successive.
I cookie svolgono diverse funzioni, tra cui:
Cookie Tecnici: Essenziali per il corretto funzionamento del sito.
Possono includere cookie di sessione che mantengono le informazioni di navigazione durante una singola sessione e cookie di autenticazione che consentono agli utenti di accedere a determinate aree del sito.
Cookie di Profilazione/Marketing: Utilizzati per tracciare il comportamento degli utenti e creare profili basati sulle loro abitudini di navigazione.
Possono essere utilizzati per mostrare annunci pertinenti durante la navigazione su altri siti o social.
Questi cookie sono spesso utilizzati per scopi pubblicitari mirati e NON possono venire installati sul device dei visitatori senza una loro autorizzazione dimostrabile.
Un esempio “classico” di cookie di profilazione, che non può essere installato indiscriminatamente a tutti, è il “Pixel di Facebook” o “Meta Pixel”.
Cookie di Terze Parti: Vengono impostati da domini diversi da quello del sito che l’utente sta visitando.
Sono comunemente utilizzati per scopi di analisi del sito o per integrare contenuti da piattaforme esterne.
Perché, quindi, la cookie law viene spesso confusa con il GDPR?
I legami tra cookie law e GDPR in relazione all’utilizzo dei cookie sono i seguenti:
- La cookie law è una normativa specifica che disciplina l’utilizzo dei cookie, mentre il GDPR è una normativa generale che si applica a qualsiasi trattamento di dati personali.
- Entrambi i regolamenti richiedono che gli utenti siano informati dell’utilizzo dei loro dati personali.
- Entrambi i regolamenti prevedono che gli utenti possano esercitare i propri diritti in relazione ai loro dati personali.
La cookie law e il GDPR sono due normative complementari che hanno lo scopo di tutelare la privacy degli utenti.
Attualmente, per essere conformi, il sito web dovrà avere:
- Banner per gli utenti con informativa breve sui cookie
(Piccola parentesi: c’è una diatriba in corso poiché, se il sito non effettua profilazione e non ha cookie di terze parti, per alcuni potrebbe essere anche superfluo inserire un banner, mentre altri ritengono che sia comunque necessario avvisare che non vengono utilizzati cookie… nel dubbio, preferisco inserirlo!). - Il banner deve avere il pulsante di consenso, quello di rifiuto e la possibilità di modificare le proprie preferenze in un secondo momento.
- Deve avere la cosiddetta “granulazione” cioè permettere agli utenti di scegliere se e quali cookie accettare
- Il banner non deve impedire la navigazione che deve essere consentita anche a coloro che rifiutano il consenso (in particolare non è consentito oscurare il contenuto del sito web o renderlo illeggibile, rallentare la navigazione o rendere il sito web inutilizzabile, eliminare funzionalità essenziali del sito web se non si acconsente ai cookie).
- L’informativa sui cookie che deve riportare l’elenco dei cookie presente nel sito, la descrizione degli stessi, le modalità di cancellazione, rifiuto.
Per verificare che il banner dei cookie presente sul vostro sito stia funzionando a dovere ci viene in aiuto questo tool online: CookieMetrix
Come tutti i tool automatici può servire come indicazione di massima, infatti anche se il test viene completamente superato in maniera molto corretta veniamo avvisati:
“Questa pagina potrebbe essere a norma con la Cookie Law – Per esserne certi, consigliamo di richiedere un parere legale”
Certamente se nel vostro sito web non è proprio presente nessun banner oppure non rispetta quanto descritto chi l’ha sviluppato ha poco di “professionale”…
ATTENZIONE: ovviamente nel tempo la cookie law si è evoluta, quindi se il vostro sito web è stato realizzato prima del 2022 è possibile che il banner non sia completamente conforme alla normativa attuale!
In questo caso l’agenzia / webmaster, al massimo, avrebbero dovuto avvisarvi a tempo debito della necessità di aggiornare il banner/informativa ma questo può dipendere anche dall’esistenza o meno di un contratto di manutenzione.