GDPR e sito web: cosa c’è da sapere su Privacy e Cookies per evitare sanzioni e avere un sito in conformità alle normative vigenti

Hai già un sito web o devi crearlo da zero? Attenzione! Dal 10 Gennaio 2022, la gestione granulare dei cookie è obbligatoria per tutti i siti web e sono previste pesanti sanzioni per chi non rispetta la normativa.

Non sai di cosa parliamo? Leggi di più!

Cosa sono i “Cookies”? E cosa si intende con “GDPR”?

I cookies (o cookies del computer, cookies HTTP, web cookies, internet cookies o browser cookies) in informatica sono pacchetti di dati che un computer riceve e poi invia senza modificarli o alternarli. Un cookie è costituito da informazioni. Quando si visita un sito web, il sito web invia il cookie al computer. Il computer lo memorizza in un file che si trova all’interno del browser web.

Con GDPR (dall’inglese General Data Protection Regulation), invece, intendiamo il regolamento generale sulla protezione dei dati. Si tratta di una legge europea che disciplina la raccolta e il trattamento dei dati personali delle persone all’interno dell’UE. L’obiettivo del GDPR è dunque quello di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati.

In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.

Nello specifico, le linee guida vigenti per impostare i Cookie sul sito web che cosa prevedono?

Come affermato dal Garante della Privacy, dal 10 Gennaio 2022, chi è titolare di un sito web deve uniformare il proprio sito seguendo le regole specifiche per l’utilizzo dei cookie.

Il GDPR prescrive che un sito web sia autorizzato a raccogliere i dati personali degli utenti solo dopo che questi abbiano espresso il loro consenso esplicito alle relative specifiche finalità di utilizzo.

Secondo il GDPR, i siti web devono soddisfare i seguenti requisiti per il consenso ai cookie:

• Il consenso preventivo ed esplicito deve essere ottenuto prima di qualsiasi attivazione dei cookie (a eccezione dei cookie necessari, inseriti nella whitelist).
• I consensi devono essere specifici, ovvero l’utente deve poter attivare alcuni cookie, lasciandone al contempo disattivati altri: non deve quindi trovarsi costretto ad acconsentire a tutti o a nessuno.
• Il consenso deve essere prestato liberamente, cioè non deve essere forzato.
• I consensi devono poter essere revocati con la stessa facilità con cui vengono forniti.
• I consensi devono essere custoditi in modo sicuro, come documentazione legale.
• Il consenso deve essere rinnovato annualmente. Tuttavia, alcune direttive nazionali sulla protezione dei dati raccomandano un rinnovo più frequente, ad esempio ogni sei 6 mesi a seconda del paese di riferimento.

I cookie si dividono principalmente in due tipologie: cookie tecnici e cookie di profilazione. 

Per quanto riguarda i cookie tecnici intendiamo:

• i cookies di navigazione o di sessione, che servono a garantire la normale navigazione e fruizione del sito web;
• i cookies di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso;
• i cookies analytics anonimizzati ovvero i cookie utilizzati per raccogliere informazioni, in forma aggregata e quindi non riconducibile al singolo, relative al numero di utenti alle pagine più visitate, ai luoghi da cui ci si collega, etc. per elaborare statistiche sul servizio e sull’utilizzo del sito. Tali cookies possono anche essere di terze parti. In questo caso però il Titolare li deve rendere anonimi e non deve consentire alla terza parte di incrociare le informazioni raccolte attraverso il sito con altre informazioni a sua disposizione.

In questo caso, per i cookie di navigazione e di funzionalità non è richiesto il consenso dell’utente pertanto sarà necessario rendere disponibile solamente l’informativa estesa consultabile dall’utente.

Per i cookie analytics anonimizzati, l’utente ha il diritto di opporsi all’uso di tali cookie (personalizzando le impostazioni) se ritiene che i suoi interessi o i suoi diritti e le sue libertà fondamentali prevalgano sugli interessi legittimi del Titolare.

Con cookie di profilazione, invece, intendiamo i cookie che consentono di “profilare” l’utente attraverso la raccolta di dati durante la navigazione quali le attività che compie e i suoi interessi in modo da potergli offrire proposte commerciali comprensive di una serie di servizi basati sulle sue preferenze.

I cookie di Profilazione, a loro volta, possono essere:

• Di prima parte: installati direttamente dal Titolare sul proprio sito. In questo caso, al momento dell’installazione dei cookie sul sito occorre fare una notifica al garante della privacy attraverso un modulo specifico.
• Di terza parte: installati sul sito del Titolare da un soggetto terzo. Sui cookie di terza parte, il Titolare non ha alcun controllo né sull’attività e finalità della terza parte, né sulla possibilità che la stessa li modifichi nel tempo. In tal senso il Titolare agisce in qualità di intermediario e rimanda all’ informativa della terza parte tramite un link presente all’interno dell’informativa.

I cookie di profilazione prevedono la condivisione di dati personali, pertanto, occorre permettere all’utente di esprimere il proprio consenso in merito. Quindi oltre a un’informativa estesa, andrà creato un banner cookie specifico.

Di seguito, un paio di esempi di cookie banner conformi alle normative:

Il banner aggiornato dovrà avere:

• Un’informativa molto breve iniziale in cui si informa l’utente che verranno installati, previo il suo consenso, questi cookie che devono essere approfonditi in un’informativa estesa.
• La possibilità di rifiutare i cookie.
• La possibilità di accettare tutti i cookie o selezionare solo quelli desiderati (in questo caso nella sezione “scopri di più e personalizza”).
• Un’area dedicata che consenta all’utente di rivedere le sue scelte precedenti, considerando che una volta dato il consenso al primo accesso per 6 mesi viene ritenuto valido.

Il mancato consenso non ha alcuna conseguenza ai fini della navigazione sul sito o della sua fruizione, fatta eccezioni per un numero ridotto di casi, in cui ci si appoggia a funzioni a pagamento, come ad esempio le api di Google relative alle mappe, che essendo a pagamento, in caso di rifiuto dei cookies, per come vengono settate nelle impostazioni, risultano non accessibili.

Normalmente, invece, il rifiuto dei cookies, comporta l’impossibilità di ricevere messaggi pubblicitari su servizi e/o prodotti in linea alle preferenze e agli interessi manifestati durante la navigazione in rete e non comporta problemi ai fini della navigazione.

Quali sono le sanzioni per chi non ha il sito web a norma?

Le sanzioni previste dal garante sono molteplici e variano a seconda degli inadempimenti.

Parliamo di sanzioni amministrative che vanno:

• dai 6.000 ai 36.000 euro, in caso di omessa o inidonea informativa;
• dai 10.000 ai 120.000 euro, in caso di installazione di cookie senza il consenso dell’interessato.
• Dai 20.000 a 120.000 euro, in caso di omessa o incompleta notificazione del Garante.

Meglio non rischiare, vero? Ti consigliamo di adottare tutte le misure necessarie per non violare la normativa sulla privacy e la fiducia dei tuoi utenti.

E se non sai da dove cominciare? Contattaci subito!

Completa il form qui sotto o contattaci alla sicurezza del tuo sito ci pensiamo noi!