Adeguamento alle normative sui cookie e sulla privacy

Normativa sui cookie

Dal 2 giugno 2015 tutti i siti italiani devono essere a norma col Provvedimento generale del Garante privacy dell'8 maggio 2014.

Il titolare/gestore del sito deve:

  • identificare tutte le categorie di cookie installati dal proprio sito
  • identificare le terze parti che, attraverso il sito del titolare potrebbero inviare dei cookie
  • catalogare i cookie in base alle finalità di trattamento
  • dentificare i link alle privacy policy e ai moduli di consenso delle terze parti
  • aggiornare le privacy policy
L’utente verrà informato tramite due livelli di approfondimento: verrà visualizzata una prima informativa breve, a comparsa immediata sulla pagina alla quale l’utente accede ad esempio tramite banner dinamico, e un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link in calce ad ogni pagina del sito aggiornata.

Il Garante ha chiarito che i cookie che necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici, inclusi:

  • cookie di profilazione pubblicitaria di prima o terza parte
  • cookie di retargeting o remarketing
  • cookie di social network
  • cookie di statistica gestiti completamente dalle terze parti
  • altri cookie quali ad esempio quelli installatati da youtube (se non si modifica lo script) e dalle mappe di google.

Sono esenti dal consenso preventivo i cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP.
Al contrario di quanto riportato in diversi siti e blog, anche di avvocati, e confermato personalmente dalla stessa segreteria dell'ufficio del garante della privacy, i cookie installati da Google Analytics NON sono cookie tecnici che ricadono nella semplificazion (perché Google dispone dei dati grezzi) e quindi è necessario il CONSENSO PREVENTIVO.
Ciò significa che, quando l'utente arriva al sito per la prima volta, e gli viene mostrato il banner con l'informativa breve, i cookie di Google Analytics non devono essere installati.

Questo tipo di intervento sul sito è molto tecnico, sia su siti statici in html, che su piattaforme opensource quali wordpress, joomla, prestashop o magento, per i quali la stragrande maggioranza dei plugin esistenti sul mercato non permette di bloccare preventivamente l'installazione dei cookie.
L'intervento può essere evitato solo "anonimizzando" i dati passati a Google, e questo lo si fa modificando il codice javascript inserito nelle pagine del sito.
In ogni caso però chi ha un qualsiasi cookie proventiente da social network (es. Facebook) deve mostrare comunque il banner e richiedere il consenso preventivo.

Siamo a disposizione per mettervi a norma, chiedeteci un preventivo senza impegno indicando l'indirizzo del vostro sito!

Il nuovo GDPR

Il prossimo 25 MAGGIO 2018 sarà direttamente applicabile in tutti gli Stati membri europei il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR amplia e completa la vecchia normativa italiana sulla privacy.
Le sanzioni sono molto più alte, si parla di multe fino a 20 milioni di euro o fino al 4% del fatturato totale annuo.

Cosa cambia per le aziende?
Per aziende sopra i 250 dipendenti o che trattano dati sensibili (es: dati sulla salute, dati giudiziari, ecc.), le incombenze sono molte, il che esula da questa breve informativa, vi preghiamo di contattarci.
Per tutte le altre aziende, questo è un estratto delle modifiche più significative:
  • Le aziende che avevano redatto il DPS e che rispettano ancora le vecchie direttive, dovranno apporre solo alcuni cambiamenti.
    Il DPS viene sostituito dal DPIA, che è obbligatorio solo in alcuni casi (ad esempio chi fa profilazione dei clienti o chi effettua videosorveglianza).
  • Vanno modificate tutte le informative sul trattamento dati, anche sui siti internet, aggiungendo i nuovi diritti garantiti agli utenti, ovvero il diritto all'oblio e il diritto alla portabilità dei dati.
    Vanno impostate le modalità per garantire questi diritti, e vanno apportate le relative modifiche anche ai gestionali interni.
  • Va definita la "durata massima del trattamento" di ogni dato, oltre la quale, il dato va cancellato ovunque, sia su supporti elettronici che cartacei.
  • Per ogni nuovo dato acquisito deve essere possibile dimostrare quando, dove e come sia stato acquisito.
    A questo riguardo, che impatta tantissimo qualsiasi modulo presente sui siti internet, la giurisprudenza non si è ancora espressa chiaramente in merito all'opportunità di apporre alle mail una marca temporale.
  • Attenzione anche a chi acquista banche dati per spedire mail pubblicitarie, anche in questo caso ci sono incombenze aggiuntive da seguire.
Per quanto riguarda la parte internet, che ci riguarda maggiormente, ci sono diverse modifiche:
  • Come già detto, tutti i dati raccolti dai moduli devono essere tracciabili, si deve conservare ad esempio la mail automatica dei moduli di richiesta informazioni (sempre che si voglia memorizzare il dato e non si cestini). Non è certo ancora se sia o meno necessaria una marca temporale anche per i dati non sensibili.
  • Per tutti coloro che si erano rivolti a noi per mettere a norma i vari moduli di richiesta informazioni e le informative sulla privacy, ci sarà da fare pochissimo. Le mail automatiche dei moduli andranno integrate con informazioni aggiuntive (l'indirizzo IP e l'header della richiesta del browser dell'utente), mentre le informative andranno integrate con alcune ulteriori informazioni.
  • Per tutti coloro che ci avevano fatto adeguare il sito in materia di cookie secondo l'interpretazione più restrittiva della legge, dovremo solo modificare la barra informativa, lasciando scegliere agli utenti quali cookie accettare e quali rifiutare. In caso di soli cookie tecnici, la modifica sarà veloce.
    Non è chiaro invece se occorra conservare l'autorizzazione (presumo per i cookie non tecnici) di ogni singolo utente che visita il sito, cosa che mi sembra abbastanza improponibile.
  • Per tutti coloro che ci avevano fatto adeguare il sito in materia di cookie secondo l'interpretazione meno restrittiva, allora dovremo riportarlo all'interpretazione più restrittiva, ovvero, oltre a quanto scritto nel punto precedente, dovremo anche implementare la disattivazione preventiva dei componenti che installano cookie, come ad esempio le mappe di google.
Fermo restando che ancora ci sono diverse cose da chiarire, per le quali attendiamo le disposizioni del garante, invito tutti a non aspettare l'ultimo giorno per adeguare la vostra azienda e il vostro sito.

I cookie non tecnici consentono, in maniera indiretta, di profilare i visitatori del sito.
Per questo motivo riteniamo che debbano essere considerati dati personali, rientrando così nel regolamento GDRP.

Il regolamento prevede che il consenso al trattamento, se richiesto, debba essere raccolto in maniera differenziata per ogni tipo di trattamento.
Per questo abbiamo sviluppato una soluzione che consente all'utente, in maniera intuitiva ed agevole, di fornire o revocare il consenso, per i cookie non tecnici.

Il banner che vedete in questo sito, nel pié di pagina, è secondo noi pienamente conforme al regolamento.
Lo potete vedere in azione nella pagina "dove siamo", dove non viene mostrata la mappa di Google finché i relativi cookie (profilanti) non vengono autorizzati.
I cookie di Google Analytics, anonimizzati, e con le opportune modifiche nella console di Google, non sono soggetti a consenso, e possono essere anche bloccati.

AGGIORNAMENTO DEL 15/05/2018
Abbiamo sviluppando il software che permetterà di adeguare il vostro sito per la parte inerente ai COOKIE con una soluzione UNA-TANTUM, non ad abbonamento mensile, a traffico o a numero di pagine.
Il vostro sito chiederà agli utenti l'autorizzazione preventiva e distinta (granulare) per ogni categoria diversa da quella dei cookie tecnici. Potete vedere un esempio reale in questo sito.
Questa soluzione va configurata ed installata da uno sviluppatore, perché, soprattutto per siti wordpress, è necessario identificare e modificare i vari plugin che installano cookie non tecnici.
AGGIORNAMENTO DEL 12/07/2021
Sono uscite le nuove linee guida in merito alle gestione dei COOKIE.
Sono state esplicitamente confermate le direttive che abbiamo sempre suggerito ai nostri clienti, ovvero:
  1. disattivazione preventiva dei componenti del sito che installano cookie non tecnici;
  2. richiesta di consenso posta in maniera "granulare" per le varie tipologie di cookie;
  3. dare la possibilità agli utenti di modificare le proprie scelte precedenti;
  4. novità: aggiungere la X di chiusura in alto a destra nel banner informativo sui cookie.
L'esplicitazione di non usare lo scroll della pagina come accettazione implicita dei cookie o di non usare il "cookie wall" era già evidente da prima e ora confermato.
Invitiamo i nostri clienti che in passato hanno scelto di non implementare queste funzionalità a contattarci per mettersi in regola.
Sito: https://www.garanteprivacy.it/.../docweb.../docweb/9677876
Scheda di sintesi: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9679270.

Potete seguirci alla nostra pagina Facebook, che viene utilizzata in caso di comunicazioni urgenti.


quando redigere il dpia