Normative | Post di Sbertani

Linee guida cookie law: il 9 gennaio 2022 data ultima per mettere a norma i siti web

Il Garante per la protezione dei dati personali ha approvato a luglio 2021 le nuove Linee guida sull’utilizzo dei cookie per i siti web. Lo scopo del Garante è salvaguardare i dati degli utenti quando navigano su Internet, anche in funzione del proliferare di azioni di profilazione esercitate, per scopi di marketing, dai cosiddetti "publisher" online (editori e proprietari di servizi).

Ma cosa sono questi cookie? Cercando di semplificare, sono stringhe di testo che i siti web - in generale i servizi digitali - posizionano all’interno del dispositivo degli utenti (per esempio un computer o uno smartphone) per tenere traccia di alcune azioni da questi compiute. Questo vale anche per altri identificatori come le impronte digitali o i sistemi di riconoscimento facciale.
Esistono tre tipologie di cookie: cercando ancora una volta di semplificare, quelli “tecnici” permettono di gestire ed erogare un servizio, quelli appartenenti alla categoria “analytics” permettono la raccolta di dati statistici mentre quelli cosiddetti di “profilazione” o “non tecnici” permettono di ricondurre le azioni svolte sulla rete - o sul sito web - a soggetti identificabili (gli utenti). Questi ultimi, molto utili per le strategie di marketing, servono per esempio per mostrare agli utenti delle offerte analizzando le loro specifiche abitudini di acquisto.

Quali sono pertanto le novità? Sono due gli strumenti che le Linee guida prendono in considerazione: l'Informativa sul trattamento dei dati personali, in questo caso relativa all'utilizzo dei cookie o altri sistemi di tracciamento, e il "banner" per esercitare o meno il consenso.

Innanzitutto dal 9 gennaio 2022, in occasione del primo accesso ad un sito web, ogni sistema di acquisizione del consenso on line dovrà garantire, per impostazione di default (predefinita), che nessun cookie o altro strumento diverso da quelli “tecnici” venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento.
Nel rispetto del GDPR, l’Informativa per gli utenti dovrà invece essere aggiornata indicando anche gli eventuali soggetti terzi destinatari dei dati personali raccolti e i tempi di conservazione delle informazioni.

Nel caso di utilizzo dei soli cookie “tecnici” e dei cookie di tipo “analytics” se anonimizzati e quindi utilizzati unicamente per la valutazione del servizio o per scopi statistici con dati aggregati, le Linee guida impongono solo l'aggiornamento dell'Informativa che dovrà essere accessibile dalla home page del sito web oppure integrata nell’Informativa generale aziendale.

Nel caso di presenza di altri cookie e altri identificatori “non tecnici” sarà invece necessario utilizzare un sistema per raccogliere i consensi esponendo, per esempio, un banner a comparsa immediata di adeguate dimensioni che dovrà contenere:
a) l’indicazione dei cookie utilizzati e di altri strumenti di tracciamento indicando le relative finalità (informativa breve);
b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
c) l’avvertenza che la chiusura del banner (ad esempio mediante un comando o bottone posto al suo interno) comporta il permanere delle impostazioni di “default” e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Ai fini dell’acquisizione del consenso, il banner dovrà contenere, oltre al sistema di chiusura dello stesso, un comando per accettare i cookie (o eventuali altre tecniche di tracciamento), un link ad una specifica area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie per poter prestare il consenso singolarmente e la possibilità, nel caso, di revoca anche in unica soluzione. E’ importante, di conseguenza, che da ogni pagina del sito web, magari a fondo pagina, sia possibile accedere alla pagina dei consensi consentendone l’eventuale modifica o aggiornamento in qualsiasi momento.

E’ però rilevante sottolineare come non siano accettabili le reiterazione della richiesta del consenso tranne nel caso siano significativamente mutate le condizioni del trattamento, nel caso di impossibilità di sapere se un cookie sia stato memorizzato o meno nel dispositivo dell’utente oppure dopo almeno sei mesi dalla precedente presentazione del banner. Inoltre, nel caso di utenti provvisti di account (utenti autenticati), è fatto divieto incrociare i dati relativi alla navigazione effettuata tramite uso di più dispositivi se non dopo aver raccolto uno specifico consenso e integrato nell’Informativa tale possibilità. Sono comunque considerate illecite eventuali attività che forzano l'utente a rilasciare il consenso oppure a raccoglierlo in modo equivoco: in questi casi è opportuno analizzarle in virtù dei principi espressi dalle norme.

La data entro la quale è necessario adeguare i siti web è il 9 gennaio 2022. Ovviamente questo testo non vuole risultare risolutivo e per questo si consiglia, sempre e comunque, di rivolgersi a professionisti in materia capaci di valutare ogni specifica esigenza, caratteristiche e finalità dei dati raccolti e di conseguenza consigliare come procedere con gli adeguamenti del caso.

Letture: 453 | Allegati: 1 | Commenti: 1
Aggiornato il 21-12-2021

Normative | Post di Sbertani

Linee guida cookie law: il 9 gennaio 2022 data ultima per mettere a norma i siti web

Il Garante per la protezione dei dati personali ha approvato a luglio 2021 le nuove Linee guida sull’utilizzo dei cookie per i siti web. Lo scopo del Garante è salvaguardare i dati degli utenti quando navigano su Internet, anche in funzione del proliferare di azioni di profilazione esercitate, per scopi di marketing, dai cosiddetti "publisher" online (editori e proprietari di servizi). Ma cosa sono questi cookie? Cercando di semplificare, sono stringhe di testo che i siti web - in generale i servizi digitali - posizionano all’interno del dispositivo degli utenti (per esempio un computer o uno smartphone) per tenere traccia di alcune azioni da questi compiute. Questo vale anche per altri identificatori come le impronte digitali o i sistemi di riconoscimento facciale. Esistono tre tipologie di cookie: cercando ancora una volta di semplificare, quelli “tecnici” permettono di gestire ed erogare un servizio, quelli appartenenti alla categoria “analytics” permettono la raccolta di dati statistici mentre quelli cosiddetti di “profilazione” o “non tecnici” permettono di ricondurre le azioni svolte sulla rete - o sul sito web - a soggetti identificabili (gli utenti). Questi ultimi, molto utili per le strategie di marketing, servono per esempio per mostrare agli utenti delle offerte analizzando le loro specifiche abitudini di acquisto. [Grassetto]Quali sono pertanto le novità?[Fine Grassetto] Sono due gli strumenti che le Linee guida prendono in considerazione: l'Informativa sul trattamento dei dati personali, in questo caso relativa all'utilizzo dei cookie o altri sistemi di tracciamento, e il "banner" per esercitare o meno il consenso. Innanzitutto dal 9 gennaio 2022, in occasione del primo accesso ad un sito web, ogni sistema di acquisizione del consenso on line dovrà garantire, per impostazione di default (predefinita), che nessun cookie o altro strumento diverso da quelli “tecnici” venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento. Nel rispetto del GDPR, l’Informativa per gli utenti dovrà invece essere aggiornata indicando anche gli eventuali soggetti terzi destinatari dei dati personali raccolti e i tempi di conservazione delle informazioni. Nel caso di utilizzo dei soli cookie “tecnici” e dei cookie di tipo “analytics” se anonimizzati e quindi utilizzati unicamente per la valutazione del servizio o per scopi statistici con dati aggregati, le Linee guida impongono solo l'aggiornamento dell'Informativa che dovrà essere accessibile dalla home page del sito web oppure integrata nell’Informativa generale aziendale. Nel caso di presenza di altri cookie e altri identificatori “non tecnici” sarà invece necessario utilizzare un sistema per raccogliere i consensi esponendo, per esempio, un banner a comparsa immediata di adeguate dimensioni che dovrà contenere: a) l’indicazione dei cookie utilizzati e di altri strumenti di tracciamento indicando le relative finalità (informativa breve); b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento; c) l’avvertenza che la chiusura del banner (ad esempio mediante un comando o bottone posto al suo interno) comporta il permanere delle impostazioni di “default” e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici. Ai fini dell’acquisizione del consenso, il banner dovrà contenere, oltre al sistema di chiusura dello stesso, un comando per accettare i cookie (o eventuali altre tecniche di tracciamento), un link ad una specifica area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie per poter prestare il consenso singolarmente e la possibilità, nel caso, di revoca anche in unica soluzione. E’ importante, di conseguenza, che da ogni pagina del sito web, magari a fondo pagina, sia possibile accedere alla pagina dei consensi consentendone l’eventuale modifica o aggiornamento in qualsiasi momento. E’ però rilevante sottolineare come non siano accettabili le reiterazione della richiesta del consenso tranne nel caso siano significativamente mutate le condizioni del trattamento, nel caso di impossibilità di sapere se un cookie sia stato memorizzato o meno nel dispositivo dell’utente oppure dopo almeno sei mesi dalla precedente presentazione del banner. Inoltre, nel caso di utenti provvisti di account (utenti autenticati), è fatto divieto incrociare i dati relativi alla navigazione effettuata tramite uso di più dispositivi se non dopo aver raccolto uno specifico consenso e integrato nell’Informativa tale possibilità. Sono comunque considerate illecite eventuali attività che forzano l'utente a rilasciare il consenso oppure a raccoglierlo in modo equivoco: in questi casi è opportuno analizzarle in virtù dei principi espressi dalle norme. La data entro la quale è necessario adeguare i siti web è il 9 gennaio 2022. Ovviamente questo testo non vuole risultare risolutivo e per questo si consiglia, sempre e comunque, di rivolgersi a professionisti in materia capaci di valutare ogni specifica esigenza, caratteristiche e finalità dei dati raccolti e di conseguenza consigliare come procedere con gli adeguamenti del caso.

Pubblica

Post di Sbertani Aggiornato il 21-12-2021

Letture: 453 | Allegati: 1 | Commenti: 1

Commento di Sbertani

Il 23 giugno 2022 è arrivato un provvedimento del Garante Privacy Italiano che ha sentenziato che i servizi forniti da Google Analytics non sono conformi al GDPR senza le previste precauzioni e procedure di salvaguardia dei dati personali degli utenti che i titolari devono adottare. Il provvedimento sottolinea come i dati, inviati negli Stati Uniti, non siano completamente anonimi.

Pubblicato il 06-07-2022

Post per Categoria

Post consigliati

Tecnologie

Le migliori tecnologie informatiche per lavorare

Strategia e Organizzazione

Cosa sono i KPI e come possiamo utilizzarli per la nostra attività lavorativa?

Web, Internet e New media

L'indice di digitalizzazione DESI 2020: lo stato dell'Italia

Web, Internet e New media

Smiles, trasmettere emozioni anche online

Normative

Imposta sui servizi digitali: qualcosa sta cambiando con l'aiuto della tecnologia