Adeguare il tuo sito web al GDPR: Privacy e cookie Policy

Il tuo sito web è a norma di legge? Contattaci e scopri come fare per adeguarti al GDPR, alla Cookie Law e  alle nuove regole del Garante italiano in materia di Privacy Policy.

3WEB è Business Partner di Register.it ed ha partecipato, superando con successo il test di certificazione, al corso

GDPR, cookie e termini di servizio

 

Cosa sono Privacy e cookie Policy? Cosa deve contenere per essere conforme a GDPR?

Ogni sito web che tratta dati personali, per adeguarsi al GDPR, deve contenere le informative “Privacy e cookie Policy”. Nello specifico privacy, la “Privacy Policy” è un documento che informa gli utenti del sito sulle modalità di trattamento dei dati e sulle finalità.

La Privacy Policy deve essere chiara e completa e per essere valida deve:

  • riportare la data effettiva del documento:
  • descrivere i dati personali raccolti, le modalità e le finalità del trattamento (ad esempio marketing, fini statistici etc.);
  • elencare i terzi fornitori con cui condividi queste informazioni (i vari widget e integrazioni che usi nel tuo sito, ad esempio i pulsanti social o i servizi di statistica);
  • indicare qual è la base giuridica del trattamento (consenso, contratto, legittimo interesse, obbligo di legge, interessi vitali o interesse pubblico);
  • informare gli utenti sui diritti relativi ai propri dati (come il diritto di accesso, rettifica, cancellazione, o il diritto ad opporsi al trattamento dei propri dati personali).

Ovviamente deve contenere anche l’identità del titolare del trattamento cioè l’indicazione di chi stabilisce «perché» e «come» devono essere trattati i dati personali raccolti.

Bisogna inoltre sempre assicurarsi che tale informativa sia aggiornata, priva di ambiguità, facilmente accessibile e comprensibile.

Cookie Policy e Cookie Banner. Cosa sono e quando sono necessari

I siti web che utilizzano cookie devono predisporre di una Cookie Policy. Si tratta di un documento che spiega quale tipologia di cookie è attiva sul sito web, a cosa servono i cookie utilizzati e quali dati tracciano.

Cosa sono i cookie?

In estrema sintesi i cookie sono piccole informazioni sugli utenti del sito che vengono memorizzati sul computer per migliorare la navigazione degli utenti che tornano a visitare il sito web in questione.

Esistono 3 tipologie di cookie:

  • I cookie tecnici: Sono cookie che appartengono al titolare del sito e servono per far funzionare il sito o le sue applicazioni stesso o per raccogliere statistiche anonime e aggregate.
  • I cookie di profilazione: Sono cookie che appartengono al titolare del sito e che possono creare un profilo specifico dell’utente sulla base dei suoi interessi, preferenze e abitudini.
  • I cookie di terze parti: Sono cookie che appartengono a fornitori esterni e sui quali il titolare dell’applicazione non ha il controllo diretto.

I siti che fanno uso di Cookie devono avere una Cookie Policy che indichiquali cookie sono utilizzati e con quali finalità (ad esempio tecnici, di profilazione etc) ed elencare le categorie e le finalità dei cookie di terze parti che vengono installati.

Quando è necessario un Cookie Banner?

Il Cookie Banner è un avviso di consenso ai cookie che viene mostrato sul sito alla prima visita dell’utente.

Ha lo scopo di informare gli utenti della presenza di cookie e di chiederne il consenso all’installazione.

Il Cookie Banner serve solo se il sito web rilascia cookie di profilazione. Se il tuo sito web ha solo cookie tecnici, necessari per il funzionamento del sito stesso, non è necessario chiedere alcun consenso all’utente.

In caso di cookie di profilazione è necessario inoltre bloccare preventivamente tutti i codici che installano o che potrebbero installare cookie soggetti all’obbligo di consenso preventivo e rilasciarli solo dopo che gli utenti hanno prestato il proprio consenso.

Le nuove linee guida del Garante sull’uso dei cookie

Dal 10 gennaio 2022 il Garante Privacy Italiano ha introdotto delle nuove linee guida sull’uso dei Cookie.

Tali regole prevedono per il Cookie Banner:

  • pulsanti accetta e rifiuta (o una “x” con funzione di rifiuto, un pulsante “continua senza accettare” ecc.);
  • consenso per categoria;
  • finalità di trattamento;
  • menzione del diritto di revocare il consenso;
  • link alla Cookie Policy.

Inoltre, nelle nuove linee guida prevedono che:

  • la cookie Policy deve essere accessibili da ogni pagina, non solo dal banner;
  • l’interesse legittimo non costituisce una base giuridica valida per i cookie;
  • il consenso allo scorrimento non è più valido;
  • i cookie wall non sono ammessi (a meno che non vengano offerte delle alternative per fruire dei contenuti);
  • è possibile chiedere nuovamente di prestare il consenso se sono passati almeno 6 mesi dall’ultima acquisizione.

Il Garante specifica, inoltre, che per poter considerare l’azione di un utente come un consenso valido all’installazione dei cookie, a questa azione deve corrispondere un “evento informatico inequivoco, documentabile” e “riconoscibile e registrabile da parte del titolare”.

Per questo, serve un registro preferenze cookie che includa:

  • chi ha fornito il consenso:
  • quando e come è stato acquisito il consenso;
  • il modulo presentato all’utente;
  • le preferenze espresse;
  • un riferimento a documenti legali e condizioni in essere nel momento in cui hai ottenuto il consenso.

CONSENSO DA PARTE DEGLI UTENTI

COSA CAMBIA?

– Per i dati “sensibili” (si veda art. 9 regolamento) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Si segnalano, al riguardo, le linee-guida in materia di profilazione e decisioni automatizzate del Gruppo “Articolo 29” (WP 251), qui disponibili: www.garanteprivacy.it/regolamentoue/.

– NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

– Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

COSA NON CAMBIA?

– DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).

– DEVE essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (per approfondimenti, si vedano considerando 39 e 42 del regolamento).

 

RACCOMANDAZIONI DA PARTE DEL GARANTE SU COOKIE POLICY

La richiesta di consenso deve essere chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2).

 

Privacy e Cookie Policy, meglio non rischiare pesante sanzioni

Sia i siti web che le app mobile hanno l’obbligo dalle principali legislazioni internazionali a predisporre una Privacy e Cookie Policy.

La maggior parte di queste legislazioni esprimono chiaramente il concetto che se si trattano dati personali si è tenuti a informare l’utente riguardo le attività di trattamento dei dati acquisiti pubblicando una chiara ed esaustiva privacy e cookie policy e allo stesso tempo occorre mettere in atto tutte le misure di sicurezza necessarie per proteggere tali dati personali.

Le sanzioni previste in caso di assenza o non conforme presenza su un sito web o un app delle Privacy e Cookie Policy sono quelle fissate dal GDPR, ossia fino al 4 per cento del fatturato annuale dell’azienda