Come rendere un sito conforme al GDPR?

La piena applicazione del GDPR ha introdotto nuovi adempimenti in materia di privacy e cookie per i siti Web. Ecco un’analisi per conciliare gli elementi tecnici con alcuni aspetti giuridici.

Cosa sono i cookie?

I cookie sono lo strumento tecnico attraverso il quale vengono registrate tutte quelle informazioni immesse sul browser quando visiti un sito web o un social network come Facebook con il PC, lo smartphone o il tablet. Ogni cookie trattiene diversi dati come, ad esempio, il nome del server da cui proviene o un identificatore numerico.

I cookie possono rimanere nel sistema per la durata di una sessione ovvero fino a quando il browser utilizzato per la navigazione sul web non venga chiuso, o per lunghi periodi ben potendo contenere un codice identificativo unico. 

Alcuni cookie servono per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web. Sono i cosiddetti cookie tecnici che rendono più veloce e rapida la navigazione nonché fruizione del web intervenendo, ad esempio, per facilitare alcune procedure come quelle per gli acquisti online, mediante l’autenticazione presso aree ad accesso riservato. Esistono poi i cookie, detti analytics, quelli cioè utilizzati dai gestori dei siti web al fine di raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano quel sito.

gdpr_2

Altri cookie possono essere utilizzati per monitorare e profilare gli utenti durante la navigazione, esaminando i loro movimenti e i loro comportamenti nella consultazione del web o di consumo (cosa comprano, cosa leggono ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati. Questi ultimi sono chiamati generalmente cookie di profilazione o cookie pubblicitari, perché permettono di proporre banner pubblicitari legati alle ultime ricerche o all'ultimo acquisto fatto sul web.

Infine, può accadere che una pagina web contenga cookie provenienti da altri siti, in questo caso si tratta dei cookie generalmente chiamati di terze parti.

Privacy e cookie: la normativa italiana ed europea

Considerata la particolare invasività che soprattutto i cookie di profilazione hanno, nell’ambito della sfera personale degli utenti, la normativa europea ed italiana ha previsto che l’utente debba essere adeguatamente informato sull’uso degli stessi e che sia sempre necessario un valido consenso all’inserimento dei cookie sul terminale da parte dell’utente che accede ad un sito web.

L’Autorità Garante in materia di protezione dei dati personali dispone che “quando si accede alla home page o ad un’altra pagina di un sito web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente che:

  1. il sito utilizza cookie di profilazione per inviare messaggi pubblicitari;
  2. il sito consente anche l’invio di cookie di “terze parti”, ovvero di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. vi sia la presenza ad un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione;
  4. l’indicazione che proseguendo nella navigazione, ad esempio accedendo ad un’altra area del sito o selezionando un’immagine o un link, si presta il consenso all’uso dei cookie.

È prevista inoltre la possibilità di opzionare una navigazione senza cookie attraverso la funzione “blocca i cookie di terze parti”, ovvero attivando l’opzione “Do Not Track” attraverso la quale, quand’essa viene attivata, i cookie dovrebbero automaticamente smettere di raccogliere parte di dati di navigazione. L’altra opzione è data dalla modalità di “navigazione anonima” mediante la quale si può navigare senza lasciare traccia nel browser.

gdpr_3

Infine è possibile attivare  l’opzione “elimina direttamente i cookie” presente in tutti i browser. Tuttavia, ad ogni collegamento in rete vengono scaricati nuovi cookie, per cui l’operazione di cancellazione andrebbe eseguita periodicamente. Alcuni browser, i più sofisticati, offrono dei sistemi automatizzati per la cancellazione periodica dei cookie.

Il Regolamento UE 679/2016 – ha messo a disposizione delle FAQ in materia di cookie e GDPR per cui:

  • occorre il consenso dell’utente per l’installazione dei cookie sul terminale dipendendo dalle finalità per le quali i cookie vengono usati. Non occorre quindi per l’installazione dei cookie tecnici il consenso degli utenti;
  • il titolare del sito deve fornire l’informativa semplificata e richiedere il consenso all’uso dei cookie di profilazione, l’informativa va impostata su due livelli;
  • il banner o pop-up di richiesta del permesso al tracciamento  deve avere dimensioni tali da coprire il contenuto della pagina web che l’utente sta visitando, così da poter essere eliminato solo per il tramite di un intervento attivo e volontario dell’utente;
  • il banner deve specificare se il sito utilizza cookie di profilazione, eventualmente anche di terze parti i quali permettono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;
  • deve essere documentabile l’acquisizione del consenso effettuata tramite l’uso del banner al fine di tenere traccia del consenso acquisito;
  • deve essere presente un’informativa estesa con elenco di tutti gli elementi previsti dalla legge descrittivi in modo analitico delle caratteristiche e finalità dei cookie installati dal sito per consentire all’utente di selezionare/deselezionare i singoli cookie;
  • i soggetti tenuti a fornire l’informativa e a richiedere il consenso per l’uso dei cookie sono il titolare del sito web che installa cookie di profilazione. 

Cosa comporta il GDPR per il mio sito web?

Il rispetto del regolamento GDPR è fondamentale se il tuo sito web è destinato a cittadini dell'UE e tu - o servizi incorporati di terze parti come Google e Facebook. In questo case,  state senza dubbio elaborando dati personali di qualsiasi genere ed è’ quindi obbligatorio, sempre, ottenere il consenso preventivo da parte del visitatore del tuo sito web. 

Per ottenere un consenso valido, prima di procedere al trattamento dei dati personali, come proprietario di un sito web sei tenuto ad indicare al visitatore l'entità e le finalità di tale trattamento, utilizzando un linguaggio il più chiaro e accessibile per i visitatori. 

Tutte queste informazioni devono essere sempre consultabili, ad esempio in una pagina dedicata all’interno del sito stesso, come parte della tua informativa sulla privacy. Devi inoltre fornire al visitatore la possibilità di modificare o ritirare il consenso in modo semplice e senza ostacoli di alcun tipo. Tutti i consensi non solo devono essere conservati come prova, ma tutte le attività di tracciamento dei dati personali, anche da parte di servizi di terzi incorporati, devono essere documentate, indicando verso quali paesi vengono trasmessi i dati.

Esistono tool che possono rendere il mio sito GDPR compliant?

Attraverso alcuni tool, come Cookiebot è possibile automatizzare la conformità al GDPR del tuo sito web per quanto riguarda i criteri relativi al tracciamento e al consenso privacy.

Questi tool ti permettono di monitorare e documentare qualsiasi tipo di tracciamento sul tuo sito internet, di presentare informazioni rilevanti ai visitatori del tuo sito e di ottenere e documentare automaticamente tutti i consensi degli utenti.

Nello specifico, il tool Cookiebot ti permette di avviare un processo di conformità, con un consenso personalizzato per il tuo sito web in piena conformità con GDPR, ePR e CCPA. Effettua inoltre una scansione automatica per monitorare e segnalare tutti i tipi di cookie e di analogo tracciamento presenti sul tuo sito e, in caso di cookie di prima e di terze parti non conformi, agisce immediatamente con un blocco automatico di tutti i cookie sul tuo sito fino al consenso. 

 

Vuoi realizzare il tuo sito web? Vuoi un supporto nella definizione del tuo eCommerce? Contattaci per sviluppare una soluzione pienamente conforme al GDPR!