Gestione dei cookies e GDPR. Cosa sapere per adeguare il proprio sito web alla normativa - Pasquini Associati

Gestione dei cookies e GDPR. Cosa sapere per adeguare il proprio sito web alla normativa

 

Il 25 maggio è entrato in vigore anche in Italia il GDPR (General Data Protection Regulation), attuazione del regolamento UE numero 679/2016 che armonizza e detta le linee comuni a tutti i Paesi dell’Unione in merito alla protezione dei dati ed alla privacy.

Questo decreto esplica con direttive più chiare tutto ciò che riguarda il consenso all’utilizzo, a come informare gli utenti e quali sono i loro diritti fondamentali; in esso soprattutto, ed è il caso che ci interessa maggiormente, vengono poste delle limitazioni all’uso delle procedure automatizzate di trattamento dei dati.

Il mondo informatico e quello web in particolare si sono dovuti quindi adeguare al “trattamento dei dati personali e alla libera circolazione di tali dati” relativo alle persone fisiche, come ad esempio il visitatore di un sito web; in quest’ultimo caso la norma va a identificare espressamente un tipico e comune strumento utilizzato per la memorizzazione dei dati di un sito: i cookie.

Vediamo quindi come poter essere in regola con le procedure del sito in merito al GDPR.

 

Che cosa sono e a cosa servono i cookie

 

Da quando è nato il linguaggio html sono utilizzati dei piccoli file di testo che consentono al sito di ricordare quali pagine sono state visitate e/o scaricate; questi file, denominati cookie, venivano (e vengono tutt’ora) memorizzati all’interno della cartella cache del browser utilizzato, ma possono essere facilmente identificati e quindi eliminati.

Se la pagina web contenesse esclusivamente testo o link ad immagini di proprietà del detentore del sito non ci sarebbero problemi di privacy, ma non sempre è cosi; sempre più spesso infatti i cookie non vengono scaricati direttamente dal sito web che l’utente sta visitando, bensì da soggetti di terze parti che hanno i loro spazi (normalmente pubblicitari) sulla pagina visualizzata e che operano principalmente per scopi di marketing.

I cookie infatti, da semplici file che indicano l’avvenuto scarico della pagina, si sono trasformati in veri e propri indicatori, in grado di fornire un controllo approfondito sia delle attività svolte che delle preferenze dell’utente; in questo modo possono essere utilizzati anche per una possibile identificazione, e tutto questo avviene normalmente senza un esplicito consenso. Tutto ciò da un punto di vista prettamente legale configura una grave violazione della privacy che, con l’aumentare del livello tecnologico e della sofisticazione dei sistemi, risulta sempre più compromessa ed in pericolo.

I cookie che normalmente corrispondono a questo tipo di categoria (ovvero che hanno la possibilità di identificare gli utenti) sono quelli ad esempio che vengono scaricati per l’effettuazione di analisi marketing, per la pubblicità pura e per l’esecuzione di determinati servizi funzionali, come ad esempio le chat o altri strumenti di sondaggio social.

Questi cookie vanno ad interessare ben due aspetti della privacy: la registrazione e la trasparenza sulla titolarità dei dati. L’utente infatti nel primo caso non ha idea di che cosa possa essere registrato tramite i cookie (il numero di visualizzazioni? Quello delle visite? Il nickname?) mentre nel secondo caso, ancora più delicato, l’utente non solo non conosce il soggetto che sta effettuando il monitoraggio, ma non sa soprattutto lo scopo per cui lo sta facendo ed in particolare non sa dove finiranno i dati e per quanto tempo saranno a disposizione del soggetto.

 

Il GDPR ed i cookies

 

Ecco quindi la ragione per cui il GDPR (che nell’art 4 definisce in modo chiaro il concetto di dato come “Qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”) si occupa dei cookie e più specificamente nell’articolo 30.

In questo articolo si indica chiaramente anche che una persona fisica può essere associabile “ad identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati quali indirizzi IP, marcatori temporanei (cookies) […]”.

Il GDPR quindi spiega anche il perché tali accorgimenti rientrano nell’ambito della privacy; l’articolo infatti continua specificando che “tali identificativi possono lasciare tracce che, in particolare, se combinate con identificativi univoci ed altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone ed identificarle”. Come si può ben capire queste poche righe hanno un notevole impatto sia sulla conformità del sito che sull’utilizzo dei cookie.

 

In quale modo è possibile assicurare la conformità del sito al regolamento GDPR?

 

Ogni titolare di un dominio è direttamente responsabile sia del contenuto dello stesso che dell’uso che ne viene fatto e pertanto deve assicurarsi, direttamente o per interposta persona, che il sito ad esso associato adotti tutte le misure necessarie per la salvaguardia dei dati personali conforme al GDPR; questo significa esaminare attentamente il contenuto delle pagine ed in particolar modo il modus operandi degli operatori esterni presenti su di esse.

In considerazione del fatto che, come è chiaramente spiegato nel paragrafo precedente, il GDPR considera espressamente come dati personali oggetti digitali di uso comune (come una foto, un post su qualsiasi social network), dati tecnici direttamente collegabili all’utente (come l’indirizzo IP) o informazioni personali vere e proprie come dati bancari o sanitari, se all’interno del sito vi sono procedure dirette od indirette che possono elaborare dati in forma prioritaria o che, isolando o combinando i dati ricevuti, hanno la possibilità di poter identificare l’utente, allora l’intero sito deve essere ristrutturato nella sua interezza ed opportunamente allineato alla nuova normativa.

Questo significa in primo luogo assicurarsi che i dati estrapolati siano adeguatamente protetti e che l’infrastruttura abbia le corrette policy di sicurezza e in seconda battuta significa controllare la tipologia e la qualità dei cookie all’interno delle pagine web sia quelli di prima che di terza parte.
In quest’ultimo caso si deve inoltre controllare attentamente che il cosiddetto “consenso informato” sia conforme a quanto richiesto dalla normativa secondo precise direttive.

 

Caratteristiche del consenso sull’utilizzo dei cookie.

 

Ed è proprio questa la vera novità introdotta dal GDPR; il sito infatti, ogniqualvolta vengono memorizzati i cookie, deve quindi:

 

    1. informare l’utente sul perché, su dove e soprattutto sul come vengono utilizzati i dati acquisiti,
    2. far fare una scelta reale, come ad esempio la continuazione della navigazione anche in caso di rifiuto,
    3. consentire, nel caso di scelta affermativa, “esclusivamente un’azione positiva” che non può essere interpretata in altro modo,
    4. richiedere preventivamente il consenso ed infine
    5. consentire la modificabilità delle scelte attuate.

 

L’insieme delle indicazioni contenute nei punti sopra elencati, forma in modo univoco ed uniforme il consenso dell’utente all’utilizzo dei cookie provenienti da uno specifico indirizzo IP, da una pagina o da un sito di terze parti; questo significa che non solo l’utente deve avere la possibilità di poter scegliere quali delle sopraindicate caratteristiche approvare ma che soprattutto ha il diritto di essere dimenticato ovvero che dopo un certo periodo o dopo sua espressa richiesta, tutti i dati memorizzati in possesso del gestore devono essere eliminati correttamente e definitivamente.

L’utente inoltre deve avere la possibilità di poter ritirare il proprio consenso o semplicemente modificare le impostazioni già date in ogni momento ed in modo semplice e naturale; il gestore del sito deve quindi provvedere anche a consentire un accesso univoco alle predette informazioni.

Il responsabile del sito deve inoltre essere consapevole che tutti i consensi devono essere registrati come una vera e propria documentazione che attesti, in modo chiaro e senza ombra di dubbio, sia che il consenso è stato dato sia le modalità con cui è stato dato.

 

Il messaggio di consenso

 

Da tutto questo si desume in maniera chiara ed esaustiva che il semplice consenso implicito, dato semplicemente visitando una pagina del sito o mostrato tramite banner o popup non è più sufficiente e, soprattutto, conforme alle nuove norme; tecnicamente non è più adeguato neanche il consenso che viene dato tramite un tasto “ok” di conferma.

Il bottone di consenso (che deve essere obbligatoriamente presente sul messaggio di accettazione) serve infatti al visitatore del sito come Opt-in (option-in) per autorizzare, e quindi consentire, l’installazione di cookies anche di terze parti. Solo nel momento in cui l’utente effettua l’operazione di consenso facendo click su questo tasto il sito avrà la facoltà e l’autorizzazione per incominciare a installare i cookies attraverso il browser sul computer dell’utente.

Il messaggio inoltre non deve essere un mero avvertimento della possibilità di installazione dei cookie sul dispositivo dell’utente, ma per essere totalmente in regola con il GDPR è indispensabile che questo (e di conseguenza il sito da cui viene scaricato) consenta all’utente di poter negare la possibilità dell’installazione; questa negazione può avvenire sia in forma totale (accettando de facto tutte le opzioni proposte) o in forma parziale, scegliendo quindi le opzioni da mantenere e quelle da rifiutare.

Un messaggio conforme deve quindi indicare in breve la spiegazione del perché vengono utilizzati i cookie (con eventuale durata dell’attivazione degli stessi, se per la sessione corrente o per periodi maggiori) ma soprattutto deve contenere riquadri specifici (come ad esempio “Preferenze”, “Statistiche”, “Marketing” ecc.) che l’utente può scegliere se attivare o meno.

 

Quali strumenti utilizzare per essere in regola

 

Se lo sviluppo del sito è interamente curato all’interno dell’azienda, la modifica della policy dei cookie può essere facilmente attuata andando a modificare la struttura di base del layout delle pagine, ma se invece è stato sviluppato esternamente, magari da qualche anno, e non è stato mai strutturalmente modificato, può essere possibile adeguarsi totalmente al GDPR? E’ inoltre fattibile effettuare in modo autonomo le modifiche al sito?

La risposta è positiva ad entrambe le domande ed è anche molto semplice: utilizzare plug-in specifici. Sul mercato esistono plug-in che consentono in modo semplice ed intuitivo per prima cosa la creazione della policy inerente i cookie e successivamente le opzioni da indicare al caricamento delle pagine da parte dell’utente.

A seconda del tipo di plug-in e delle condizioni d’uso (free o a pagamento) vi sono opzioni più o meno approfondite che consentono, ad esempio, di eliminare specificati cookies in base alla località dell’utente, consentire il bloccaggio di cookie di terze parti come Google Analitics o personalizzare il messaggio di avviso dei cookie.

Alcuni cookie possono però essere strettamente necessari per il corretto funzionamento del sito web ed in questo caso, è possibile impostare questa tipologia di cookie senza dover ottenere il consenso esplicito da parte dell’utente; questo però non disobbliga il gestore del sito ad indicare la tipologia di questi cookies e l’uso per cui vengono utilizzati all’interno della pagina o del sito

 

Cosa accade in caso di inadempienza

 

Nel caso in cui un sito non ottemperasse in maniera totale alle indicazioni del GDPR, il titolare dei dati (normalmente il titolare del dominio a cui è associato il sito) può essere condannato a sanzioni amministrative più o meno pesanti a seconda della gravità dell’infrazione, fino ad arrivare al 4% del fatturato mondiale dell’esercizio precedente; in alcuni casi (come ad esempio nei siti di e-commerce internazionali) se l’infrazione rientra nei casi contenuti nel raggruppamento dell’articolo 167 ovvero il “Trattamento illecito dei dati” (art. 167), la “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (art. 167 bis) e “l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (167 ter) è possibile l’applicazione di sanzioni a carattere penale oltre a quelle amministrative.

Chiama
Email