Con decorrenza dal 10 gennaio 2022, un sito web deve essere conforme alle Nuove Linee Guida emanate dall’Autorità Garante della Privacy in materia di cookie.
Malgrado l’avvenuta scadenza del suddetto termine, capita ancora, nell’attività di analisi sempre più spesso richiesta allo Studio, di vedere molti siti web non ancora in regola (es. o perché compare il banner anche se sul sito web sono rilasciati solo cookie tecnici o perché non viene data la possibilità di revoca del consenso per i cookie di profilazione, ecc), con rischio quindi di incorrere in sanzioni molto elevate.
Essendo una tematica molto attuale e sensibile per le aziende, lo Studio ha pensato di realizzare, anche un contributo video consultabile nella presente sezione.
Partiamo quindi dalla classificazione dei cookie, per poi, sinteticamente, analizzare le modifiche apportate, rispondendo alle principali domande che di solito vengono poste dalle aziende.
Che cosa sono i cookie?
Stringhe di testo (file) che i siti web visitati dagli utenti oppure siti web terzi posizionano all’interno del terminale dell’utente.
I cookie possono quindi essere di prima parte (quelli rilasciati direttamente dal sito, in questo caso è necessaria la notifica al Garante) oppure di terza parte (se rilasciati da società terze).
Il “terminale” dove vengono installati i cookie può essere, per esempio, il tablet, il pc oppure lo smartphone dell’utente.
Come si devono classificare i cookie?
A seguito delle Nuove Linee Guida, i cookie vanno classificati in due macroaree:
- cookie tecnici (servono a far funzionare il sito);
- cookie di profilazione, pubblicitari o di analisi statistica (servono a tracciare i comportamenti e i gusti delle persone, in modo da condizionare gli acquisti).
I cookie Possono essere rilasciati liberamente?
I cookie tecnici si, mentre i cookie di profilazione richiedono il consenso dell’utente, con possibilità di revoca (che va sempre documentato ad es. attraverso cookie tecnici).
I divieti previsti dalle Nuove Linee Guida
- divieto al richiamo del legittimo interesse quale finalità per il rilascio dei cookie;
- divieto scroll della pagina per raccogliere il consenso;
- divieto cookie wall per subordinare la navigazione all’accettazione di tutti i cookie di profilazione.
Gli obblighi introdotti dalle Nuove Linee Guida in merito al banner
- deve contenere una X che cliccandola manifesta il diniego al rilascio di cookie di profilazione;
- deve contenere un’informativa breve;
- deve contenere rimando all’informativa cookie estesa;
- deve contenere rimando ad area dedicata che permette all’utente di selezionare/deselezionare il consenso ai cookie (con specifica classificazione es. nome del fornitore, durata, finalità, rimando al sito terzo che rilascia i cookie di profilazione per la disabilitazione);
- tasto di accettazione di tutti i cookie di profilazione.
Ulteriori novità
Il banner cookie deve essere ripresentato:
- quando vi sono sostanziali modifiche al trattamento dei dati. Ad esempio, il sito ha dapprima rilasciato solo cookie di profilazione pubblicitaria e poi inizia a rilasciare anche cookie di profilazione statistica;
- sono trascorsi almeno 6 mesi dall’ultima presentazione del banner.
Se il consenso è stato già raccolto prima del 10 gennaio 2022?
Occorre verificare che sia a norma con le novità introdotte. In caso contrario, dovrà essere richiesto nuovamente.
Cosa quindi deve contenere la policy cookie per essere in regola con le previsioni del Garante?
- definizione e categorizzazione dei cookie;
- informazioni da rendere ai sensi del GDPR;
- definizione dei criteri di conservazione dei cookie;
- soggetti ai quali vengono comunicati i dati personali;
- dati identificativi del titolare del trattamento;
- finalità di trattamento;
- inoltre, se vengono apportate delle modifiche, occorre che l’informativa sia aggiornata.
Sanzioni previste
Le sanzioni amministrative legate alla privacy sono modulate a seconda della gravità della violazione e possono arrivare fino a 20 milioni di euro e possono essere pari al 2 per cento o al 4 per cento del fatturato per le imprese (art. 83 GDPR).
In conclusione, è bene che le aziende verifichino che il proprio sito web (e non solo, ma tutta l’organizzazione imprenditoriale) sia conforme alle previsioni del GDPR e ai provvedimenti emanati dall’Autorità Garante della Privacy.
Tuttavia, la conformità non si esaurisce nell’adeguamento del sito, ma anche nella revisione dell’organizzazione ad es. dovranno essere adottate delle procedure per documentare i consensi raccolti, per aggiornare le informative e il registro del trattamento, ecc…
Se possiedi un sito web e non sai se è in regola, lo Studio è a disposizione per un’analisi preventiva, all’esito del quale verranno indicate le modifiche necessarie per renderlo a norma, nonché stilata la documentazione necessaria per aggiornarlo.
Verrà inoltre fornita, se d’interesse per il cliente, anche una consulenza per una completa compliance aziendale.
Categorie: Commercio elettronico, Internet, Privacy, Protezione dei dati personali