Se il tuo sito web (o la tua app) raccoglie i dati personali degli utenti come nome, cognome, indirizzo e-mail o cookie per tenere traccia delle visite al sito, dal 25 maggio 2018 è soggetto agli obblighi previsti dal Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation).

Per adeguarsi al GDPR, il tuo sito web (o la tua app) deve avere al suo interno i seguenti elementi informativi:

  • Privacy Policy
  • Informativa Estesa o “Cookie Policy”
  • Informativa Breve o “Cookie Banner”
Infografica cookie e privacy
Infografica del Garante Privacy (fonte)

GDPR: Privacy Policy

La Privacy Policy è un documento legale che devi inserire nel tuo sito web per informare gli utenti circa il trattamento dei loro dati personali.

GDPR: Privacy Policy
La Privacy Policy informa gli utenti sul trattamento dei dati personali

All’interno del documento devi quindi chiarire:

  • Tipologia dei dati degli utenti raccolti (es. nome, e-mail, cookie);
  • Modalità di raccolta, elaborazione, memorizzazione, condivisione e protezione dei dati;
  • Soggetti terzi che avranno accesso a questi dati (es. Google, Facebook);
  • Finalità del trattamento (invio newsletter, statistica, pubblicità);
  • Identità e informazioni di contatto del titolare e del responsabile del trattamento;
  • Diritti degli utenti.

La cookie policy è una informativa estesa in cui spieghi in modo dettagliato che tipo di cookie sono presenti nel tuo sito. Devi dare all’utente la possibilità di modificare le proprie preferenze in qualsiasi momento per negare il rilascio di cookie sul suo dispositivo.

GDPR: Cookie Policy
La Cookie Policy informa gli utenti sui cookie utilizzati e da la facoltà di modificarne le preferenze.

I cookie permettono di analizzare il comportamento dell’utente sul sito. Si tratta di pezzi di codice di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser). I cookie memorizzati sul terminale vengono poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente.

Prima di tutto, possiamo distinguere i cookie di prima parte (propri del sito) dai cookie di terze parti (usati da altri siti, per esempio Google Analytics).

Inoltre, in base alla loro funzione, i cookie si possono dividere in:

Consentono una navigazione più agevole del sito salvando le preferenze di navigazione di ogni singolo utente. Ad esempio permettono il riconoscimento di un utente o la gestione del carrello in siti e-commerce. Per questo tipo di cookie non è necessario il consenso degli utenti (cookie banner); è richiesta la sola informativa.

Sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.

Allo stesso modo, se i cookie analitici sono messi a disposizione da terze parti (es. Google) i titolari possono non essere soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis). Ma devono essere adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).

L’impiego di tali cookie deve, inoltre, essere subordinato a precisi vincoli contrattuali tra siti e terze parti. In particolare, si deve fare espressamente richiamo all’impegno della terza parte a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano sull’utente facilitandone l’identificazione.

L’anonimizzazione dell’indirizzo IP può essere effettuato intervenendo sullo script di monitoraggio o, nel caso di siti WordPress, installando un apposito plugin.

Permettono di studiare i comportamenti dell’utente per finalità pubblicitarie (ad esempio che pagine ha visitato, cosa ha messo nel carrello, cosa compra). Vengono usati per attività pubblicitaria mirata su siti, motori di ricerca e social network.

Per la ragione che questo tipo di dati sono usati per attività diverse dalla navigazione, dovono essere preventivamente bloccati, e attivati solo a seguito dell’esplicito consenso espresso dall’utente (cookie banner).

Se usi sul tuo sito web cookie di profilazione per scopi pubblicitari e/o cookie analitici di “terze parti” non anonimizzati, devi mostrare, all’utente che accede al sito, una informativa breve rappresentata da un cookie banner o da un pop-up, in cui:

  • informi sull’utilizzo di cookie di profilazione e/o di cookie di terze parti;
  • indichi un link a una informativa estesa (Cookie Policy) con le indicazioni sull’uso dei cookie inviati dal sito, precisando che è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti;
  • consenti all’utente di esplicitare il consenso/non consenso ai cookie tramite i comandi “Accetta tutto” e “Rifiuta tutto“, oppure di autorizzare i cookie uno per uno (non indistintamente per categoria) tramite la funzione “Personalizza” (il consenso deve essere modificabile in ogni momento);
  • inserisci in alto a destra una X, per chiudere il banner ed esprimere nuovamente il rifiuto all’installazione di cookie di profilazione e/o terze parti.

Il consenso non può più essere espresso tramite lo scrolling del mouse e la prosecuzione della navigazione.

Il Garante stabilisce che la scelta deve essere memorizzata e non deve venire chiesta nuovamente prima del trascorrere di sei mesi, ma non è richiesto un registro di questi consensi.

È quindi corretto memorizzare le scelte dell’utente tramite un cookie tecnico della durata di sei mesi dall’ultimo aggiornamento, senza tenere traccia storica delle scelte effettuate.

GDPR: Notifica al Garante

GDPR: Garante per la Protezione dei Dati Personali
Garante della Privacy

Se usi nel tuo sito cookie di terze parti “non anonimizzati” o cookie di profilazione di prima parte è necessaria per il GDPR anche la notifica al Garante della Privacy.

Mentre, nel caso di cookie di profilazione di terze parti, la notifica è ha carico del soggetto terzo che svolge attività di profilazione.