Cookie Law – 10 punti per adeguarti entro la scadenza del 10 gennaio

Il 10 gennaio 2022 entreranno in vigore le nuove linee guida del Garante Privacy in materia di Cookie, vediamo quali sono i 10 punti chiave per mettersi a norma.
Prima di tutto un po’ di ripasso: secondo la Cookie Law, le organizzazioni che si rivolgono ai cittadini dell’UE devono informare gli utenti sulle attività di raccolta dati effettuate sulle proprie pagine web e dare loro la possibilità di scegliere se acconsentire o meno ad essere tracciati.

Le conseguenze legali per il mancato rispetto della legge possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione (a seconda di quale sia il maggiore tra questi due valori). Nel 2020 il Garante Privacy Italiano ha fatto multe per 58 milioni di euro.

Le nuove linee guida del Garante Privacy hanno introdotto alcuni cambiamenti ai quali bisogna adeguarsi entro il 10 gennaio 2022.
Di seguito una lista dei 10 aspetti fondamentali da considerare per mettere a norma il tuo sito web.

  1. L’Informativa: E’ necessario documentare il tipo e lo scopo di ogni cookie (tecnico e non) utilizzato dal sito web all’interno di un’informativa estesa (cookie Policy) raggiungibile tramite un link presente in tutte le pagine del sito, tipicamente nel footer. In caso di presenza di cookie non tecnici, come nella stragrande maggioranza dei siti online, serve mostrare al primo accesso di un utente al sito un cookie banner contenente l’informativa breve e i link per effettuare la scelta. L’informativa deve utilizzare un linguaggio semplice ed accessibile anche da parte di chi ha disabilità.
  2. I cookie wall non sono ammessi: non è possibile escludere gli utenti dai contenuti del nostro sito se non accettano i cookie. Ad esempio alcuni siti mostrano un banner che copre tutta la pagina e per accedere al contenuto è necessario chiudere il banner.
  3. Il consenso allo scorrimento non è valido: mentre prima il garante era più permissivo, ora è possibile raccogliere il consenso solo con pulsanti espliciti di accettazione all’interno del cookie banner.
  4. Pulsanti accetta e rifiuta: Sul banner che avverte dell’utilizzo del nostro sito di cookie è necessario che i pulsanti di scelta del consenso siano espliciti, quindi ben in evidenza. La tipica “X” che serve a chiudere il banner deve corrispondere alla scelta di default, ovvero del rifiuto totale del tracciamento.
  5. Consenso granulare: All’interno del banner, oltre ai pulsanti di scelta, andrà inserito un link che consenta di scegliere in modo specifico quali autorizzare e quali no. E’ possibile raggruppare le opzioni per categoria di cookie. Quindi l’utente dovrà essere messo nella condizione di accettare tutti i cookie, solo una parte di essi, o nessuno di essi.
  6. Preferenze di tracciamento aggiornabili: una volta che gli utenti hanno espresso la preferenza di consenso devono poterla modificare nel tempo tramite pulsante o link. (riaprire le preferenze di consenso)
  7. Consenso preventivo: finché l’utente non ha acconsentito all’utilizzo di cookie di profilazione o tracciamento (quindi ad eccezione di quelli “tecnici”) non è possibile rilasciare cookie, questo significa che il sito si dovrà dotare di una tecnologia in grado di rilasciare cookie solo dopo aver ottenuto il consenso.
  8. Validità del consenso: devono passare almeno sei mesi prima di poter chiedere nuovamente il consenso (nel caso l’utente lo avesse negato). Il tempo si riduce nel caso in cui vengano aggiunti degli script che apportano nuove funzionalità (ad esempio nuovi script di tracciamento).
  9. Cookie statistici: quelli di prima parte possono essere installati senza il consenso dell’utente (soluzione costruita in casa) mentre quelli di terza parte devono soddisfare determinate condizioni. Ad esempio per considerare il cookie di terze parti di  Google Analytics come un cookie tecnico bisogna avere delle accortezze: l’anonimizzazione o mascheramento dell’IP dell’utente e la limitazione di condivisione dei dati raccolti su altri prodotti.
  10. Prova del consenso: mentre prima bastava un cookie tecnico installato sul dispositivo dell’utente, ora serve tenere un registro dei consensi da presentare alle autorità in caso di controlli. Il registro deve tenere traccia di varie informazioni tra cui: IP dell’utente, data e ora del consenso, informativa al momento del consenso, ecc.

Il tema è complesso ma alla base di tutto c’è un concetto chiaro:

Il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti (libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento) richiesti dal Regolamento.

Cookie Policy

Come adeguarsi?

Per prima cosa è fondamentale effettuare una ricognizione per censire tutti i cookie utilizzati dal proprio sito web, per farlo ci sono diversi tool, in maniera semplice è possibile tramite il proprio browser, ad esempio Google Chrome, cliccando con il tasto destro, e selezionando “ispeziona” e aprendo il tab “application”, alla voce “cookie” vengono elencati i cookie rilasciati da ogni singola pagina web. In alternativa esistono scanner online come  cookieyes.com.

Una volta chiarita la situazione dei propri cookie, se si ha a disposizione un team di sviluppo interno o collaboratori freelance è possibile sviluppare una soluzione custom oppure in modo più semplice, veloce ed economico, utilizzare uno dei servizi disponibili sul mercato. Ne cito i tre più famosi:

Questi servizi consentono di creare cookie policy, cookie banner e altre documentazioni inerenti al GDPR per poi integrarle facilmente sul proprio sito web tramite l’aggiunta di un tag html.
Sono costantemente aggiornati da parte di legali professionisti e hanno al proprio interno anche dei servizi di scansione che ti avvisano se la tua informativa necessita di modifiche nel tempo.
Sono tutti servizi in modalità freemium, ovvero prevedono degli account gratuiti con alcune limitazioni, pagando un canone invece è possibile utilizzarli a pieno del loro potenziale.

Altri aspetti da considerare

  • Abbiamo visto che il blocco dei cookie devea  essere “preventivo” e che l’utente ha facoltà di scegliere quali categorie di cookie attivare, è quindi necessario dotare il sito di una tecnologia tale da rilasciare i diversi tag di tracciamento in base alle opzioni scelte. Google Tag Manager ci aiuta a farlo, a questo link una guida esaustiva del buon Matteo Zambon.
  • E’ chiaro come le nuove normative limiteranno di molto la possibilità di tracciare il comportamento degli utenti sul web. Per chi fa advertising online con Google Ads il tracciamento delle conversioni è fondamentale per ottimizzare le performance delle campagne, ci viene in aiuto la Consent Mode che ha come scopo quello di tracciare anche le conversioni effettuate degli utenti (fino al 70% di essi) che hanno negato il consenso dei cookie ai fini di marketing.
    Per utilizzare la Consent Mode è necessario installare una piattaforme di gestione del consenso tra quelle menzionate in precedenza.

Conclusioni

Personalmente trovo che queste nuove linee guida, ancora più stringenti, siano un grosso problema relativamente al concetto di libertà della rete. Con l’introduzione di queste leggi, mettere in regola un sito web diventa sempre più complicato e il rischio di sanzioni scoraggia chi non ha alle spalle competenze avanzate o coperture legali. E’ chiaro come in un quadro di questo tipo sia fondamentale la consulenza di un esperto e l’utilizzo di piattaforme a pagamento che sollevano il gestore del sito da interventi tecnici complicati. Tutto questo per garantire la privacy degli utenti, gli stessi utenti, noi, che non facciamo altro che pubblicare le nostre vite sui social network in cambio di un’effimera riprova sociale.

Questo articolo è frutto di uno studio basato sulla documentazione ufficiale, consiglio a chi voglia approfondire e mettersi in regola di farsi seguire da un legale di fiducia.

Fonti:

Direttiva “e-privacy” o “cookie law”:
https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32002L0058

Linee guida Garante della Privacy:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9679270

Autore: Jacopo Modesti

Ideatore di Link2me.it, consulente web marketing freelance dal 2001. Triatleta nel poco tempo che gli rimane tra le due cose che ama di più, la famiglia e il lavoro.