Gestione dei cookies e GDPR, il tuo sito è in regola?

Con l’entrata in vigore della GDPR cambia anche la regolamentazione della Cookie Policy, che viene infatti integrata e diventa più stringente, siete pronti?

Il nuovo regolamento europeo sulla protezione dei dati personali è entrato in vigore già da qualche mese, la regolamentazione sull’utilizzo dei cookies già da tre anni, eppure molti siti non si sono ancora allineati a quelli che sono gli standard sulla gestione dei dati degli utenti.
In questo articolo analizziamo quali sono alcuni degli errori più comuni commessi attualmente dai siti in relazione alla gestione dei cookies e quali sono invece gli accorgimenti da adottare per essere a norma.

La normativa

La normativa riguardante i cookies è entrata in vigore a metà 2015, ben prima dell’entrata della famigerata GDPR, quest’ultima però ha comunque avuto un forte impatto su come i cookies devono essere trattati, in quanto questi possono trasportare dati personali degli utenti.

L’art.4 della GDPR nel suo primo paragrafo specifica cosa si intenda per “dato personale” definendolo come:

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

É proprio il concetto di “identificabilità” quello che lega l’argomento cookies a doppia mandata con la GDPR, in quanto l’utilizzo di cookies proprietari e di terze parti potrebbe rendere identificabile un individuo, anche tramite la raccolta di dati apparentemente anonimi quali ad esempio l’indirizzo IP di un utente.

Le linee guida

Le linee guida della GDPR definiscono che il consenso all’installazione di cookies da parte dell’utente debba essere:

• Informato: l’utente deve essere messo nella posizione di capire cosa sono i cookies, quali sono quelli utilizzati dal sito e dalle terze parti collegate, come questi si comportano…
• Modificabile: l’utente deve essere in grado di poter modificare la propria scelta in un secondo momento in maniera facile;
• Espresso: l’utente deve dare espressamente il proprio consenso all’utilizzo di cookies, quindi ad esempio attraverso il click su di un apposito pulsante. Non sarà quindi sufficiente informare l’utente che continuando con la navigazione accetterà automaticamente l’utilizzo dei cookies.

Oltre a definire queste tre caratteristiche, le linee guida della GDPR sanciscono che i vari siti NON possono:

• Rendere l’accettazione delle politiche cookies una scelta obbligata per l’utente per riuscire a navigare il sito;
• Installare cookies che possono identificare un utente o renderlo identificabile PRIMA che questo abbia dati il proprio consenso.

Il Cookie Banner

Il cookie banner è l’interfaccia attraverso cui un utente può scegliere se accettare o meno l’utilizzo di cookies, durante la sua prima navigazione oppure dopo che il consenso dato sia scaduto.

Nel banner devono essere presenti i seguenti elementi:

• Link all’informativa sui cookies;
• Un bottone per acconsentire all’installazione/uso di cookies durante la navigazione.;
• Un modo per rifiutare l’installazione/uso di cookies durante la navigazione.

Per rispettare una delle linee guida della GDPR discusse poco fa, è necessario che il sito installi cookies solamente dopo che l’utente abbia dato il suo consenso tramite l’apposito bottone di Opt-in. Prima che l’utente abbia cliccato sul bottone del banner non devono quindi essere installati cookies che trattino dati sensibili, ovvero cookies che identifichino una persona e le sue preferenze, oppure che la rendano anche solo identificabile.

Per far in modo che nessuno di questi cookie venga installato dal sito prima che l’utente abbia esplicitato il proprio consenso, il sito necessiterà di fare ricorso ad uno sviluppatore o, nel caso sia stato costruito attraverso un CMS, ad uno dei vari plugin in circolazione che svolgono questa mansione.
Un esempio di un cookie banner che ho visto in un sacco di siti non in linea con le direttive, è il seguente:

Il banner possiede solo il primo dei tre elementi sopra elencati che rendono un cookie banner in linea con la legislazione, ovvero il link alla cookie policy, ma non dà all’utente modo di rifiutare o scegliere i cookies da installare. Come detto in precedenza inoltre, il consenso deve essere “espresso”, quindi anche il fatto di far chiudere il banner e far accettare indirettamente l’uso di cookies nel caso in cui l’utente scrolli o continui con la navigazione è una modalità errata di richiesta di consenso.

In vari casi ho potuto osservare altri banner con problemi, come ad esempio:

• Banner che anche se non accettati non riappaiono nelle pagine visitate successivamente
;
• Banner che servono solo a bloccare i cookies installati più che per accettarli, perché il sito installa cookies appena il visitatore atterra sul sito, prima che effettui l’Opt-in
;
• Banner senza il link all’informativa.

Informativa sui Cookies

L’informativa dei cookie va ospitata assieme alla politica sulla privacy all’interno del sito, andrà inserita nel cookie banner e dovrà possedere al suo interno:

• Un collegamento alla politica sulla privacy del sito/azienda;
• Una spiegazione per l’utente di cosa sono i cookies, della differenza tra cookies di sessione e cookies persistenti, nonché della differenza tra i vari tipi di cookie (di navigazione, tecnici, di marketing e profilazione, analitici);
• Il link alle informative dei proprietari di cookie di terze parti che vengono utilizzati dal sito;
• L’elenco di tutti i cookies utilizzati in dettaglio, corredati dalle informazioni sul nome del cookie, tipologia, proprietario, finalità, tempo di persistenza dello stesso;
• Una spiegazione all’utente su come visualizzare e/o cancellare i cookies installati nel proprio browser.

Bottone di consenso e rifiuto

Il bottone di consenso serve all’utente come Opt-in per consentire l’installazione di cookies. Solo nel momento in cui l’utente clicca su questo bottone quindi, il sito potrà cominciare a installare cookies nel browser dell’utente. Per rimanere in regola con la GDPR è anche necessario che il sito permetta all’utente la di negare questa possibilità, totalmente o parzialmente.

I cookies come detto si dividono per tipologia, sarà quindi necessario dare la possibilità all’utente di accettare o rifiutare solo determinate tipologie di cookies.

Le possibilità di approccio a questa specifica sono tre:

• Creare un bottone per l’accettazione e uno per il rifiuto di tutti i cookies. In questo caso comunque si deve garantire all’utente la capacità di navigazione del sito, anche qualora questo rifiutasse di accettare i cookies.;
• Dare all’utente la possibilità di selezionare/deselezionare i tipi di cookies da accettare direttamente nel banner, dandogli poi modo di confermare la scelta con un bottone di accettazione
;
• Inserire nel banner un bottone per l’accettazione di tutti i cookies e un link ad una pagina che dia modo all’utente di accettarne solo alcuni.

Il mio consiglio è quello di utilizzare l’ultima possibilità di approccio, in quanto alzerà le probabilità che gli utenti decidano di accettare tutti i cookies per un fattore di pigrizia, di abitudine e di ridondanza nel vedere banner cookie in tutti i siti.
Un esempio applicato di questa ultima possibilità di approccio è dato da OneTrust, società specializzata in Marketing Compliance a cui anche Mailchimp, Akamai e molte altre grandi realtà digitali si appoggiano:

In questo Cookie Banner abbiamo appunto un bottone per accettare tutti i cookies, un link alla pagina della politica dei cookies e un link che permette di decidere quali cookies installare e quali no.

Cliccando su “Customize Settings” si viene trasportati invece a questa pagina:

Come potete vedere qui l’utente ha la possibilità di disabilitare singolarmente le varie tipologie di cookies, oltre a poter consultare uno ad uno i vari tipi di cookies che il sito installa.

Quali Cookies installa il proprio Sito?

Come fare a scoprire quali sono i cookies installati dal proprio sito?
Le soluzioni sono varie:

• Ci si può affidare ad una estensione del proprio browser. Per Chrome sono disponibili varie estensioni, io ad esempio a volte ho usato “Attacat Cookie Audit Tool”;
• Ci si può affidare ad uno dei numerosi servizi online che offrono questa possibilità.;
• Si può utilizzare semplicemente lo strumento “ispeziona” di Chrome
.

Personalmente consiglio di seguire la terza modalità, sicuramente più laboriosa ma comunque facile da seguire e ben più precisa delle altre.

Conclusioni

Attualmente solo una piccola quantità dei siti che visito quotidianamente rispettano le linee guida per la gestione dei cookies, questo probabilmente perché le stesse linee guida non sempre sono così chiare, ma anche perché i plugin attualmente presenti online per la gestione dei cookies e per la conformità con la GDPR sono ancora in fase di definizione ed evoluzione.
E il vostro sito invece è in regola?

Se hai trovato questo articolo interessante, iscriviti alla nostra Newsletter!

Potrebbe interessarti anche:

• Il GDPR cambierà davvero il digital advertising su Facebook?
• Come il nuovo GDPR cambierà l’e-mail marketing
• Concorsi a premi online e GDPR: cosa controllare prima di partire
• Come funziona la privacy su Facebook

Riassunto

Titolo Articolo

GDPR e Cookie: cosa cambia? (E sei a norma?)

Descrizione

Cosa cambia con la GDPR nella gestione dei cookie? L'utente viene tutelato di più, ma vuol dire anche un cambio per il Banner dei cookie. Ecco come deve essere

Autore

Marco Fabris

Editore

Leevia

Logo Editore