info@myr.it
0363.335687

GDPR per sviluppatori di siti internet e web designer – Gestione dei cookies

GDPR per sviluppatori di siti internet e web designer – Gestione dei cookies

//
Posted By
/
Comment0
/

L’obiettivo di questo articolo è quello di mettere in evidenza alcune questioni che riguardano la legge sui cookies e la GDPR in modo da verificare se i siti sviluppati e gestiti per conto dei propri clienti sono conformi alle nuove leggi sulla privacy dei dati personali.

Definizioni

  • Informativa: è una pagina in cui viene indicato che nel sito sono utilizzati dei codici e dei linguaggi che fanno utilizzo di cookies (piccoli files salvati sul computer del visitatore). Tale informativa deve anche contenere indicazioni esaustive su come cancellare tali cookies e la loro tipologia (non è però necessario indicare il nome specifico del fornitore di terze parti del codice che genera cookies). E’ inoltre necessario specificare come l’informativa non può essere generica indicando funzionalità che non sono invece implementate. Per facilitare le visite successive, la lettura dell’informativa può essere evitata salvando sul computer del visitatore un cookie tecnico.
  • Consenso: si tratta di una azione volontaria e specifica da parte dell’utente ad abilitare o disabilitare l’utilizzo dei cookies sul sito. Il consenso solitamente avviene tramite un pulsante specifico. Tale opzione deve poter essere revocata dall’utente, in qualsiasi momento.
  • Prova del consenso: la legge, in Italia, specifica che deve essere attivo un sistema che prova il consenso volontario da parte dell’utente. Tale prova può essere applicata attraverso un cookie tecnico (salvato sul computer dell’utente) che appunto mantiene abilitato o disabilitato il consenso, fino alla eventuale revoca/modifica. Tale prova può essere utilizzata anche per non mostrare più tale consenso alla prossima visita. Nello specifico il Garante afferma: “In conformità con i principi generali, è necessario in ogni caso che dell’avvenuta prestazione del consenso dell’utente sia tenuta traccia da parte dell’editore, il quale potrebbe a tal fine avvalersi di un apposito cookie tecnico, sistema che non sembra particolarmente invasivo (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE)”. L’autorità prescrive una validità massima (la possibilità di “ricordare” o “tenere traccia” del consenso) di 12 mesi dall’ultima visita al sito.
  • Blocco preventivo: in ottemperanza ai principi generali della legislazione sulla privacy che impediscono il trattamento prima del consenso, è necessario bloccare i codici che installano cookie prima di aver raccolto il consenso dell’utente. Questo principio si applica solo ai cookie che necessitano del consenso e non quelli che necessitano solo dell’informativa (cookies tecnici).

La Cookie Law e il Cookie Banner

Con Cookie Banner si intende quella procedura per informare l’utente che il sito utilizza dei cookies. Tale modalità è entrata in vigore un paio di anni fa con il nome di “Cookie Law” ed obbliga tutti i siti web a mostrare un disclaimer in cui si informa che il sito in questione utilizza dei cookies. La GDPR nomina solo una volta nelle sue pagine la parola “cookie” ed è per questo che non bisogna confondere l’entrata in vigore della GDPR con la Cookie Law, già operativa da tempo. E’ chiaro però quanto sia maggiormente importante ottemperare alla Cookie Law ora che la GDPR sarà attiva (dal 25 maggio 2018).

Qui una utilissima nota di chiarimento sulla Cookie Law da parte del Garante.

Il mio sito utilizza dei cookies

Quasi la totalità dei siti web utilizza dei cookies per salvare i dati di navigazione del navigatore, siano essi usati per la sessione oppure per l’abilitazione o meno di certe opzioni. Questi cookies però sono categorizzati come “tecnici” in quanto senza di essi non è sarebbe possibile navigare il sito o comunque la navigazionene sarebbe compromessa. Per questo tipo di cookies è necessaria esclusivamente l’informativa e non il consenso esplicito al loro utilizzo.

Il mio sito utilizza Google Analytics

Google Analytics è un sistema di terze parti che utilizza dei cookies per funzionare. Per gestire la Cookie Law correttamente è possibile applicare due strade:

  • Anonimizzare gli IP: attraverso l’anonimizazzione degli IP di Google Analytics si rende di fatto il codice javascript esente dal riuscire ad identificare una persona attraverso il suo IP, dunque trasformando il codice in un cookie tecnico. In questo caso è necessaria solo l’informativa. Qui qui una guida su come anonimizzare.
  • Mantenere il codice di default: di base Google Analytics utilizza gli indirizzi IP per funzionare e quindi trattenere informazioni potenzialmente “personali”. Se si mantiene il codice di default (quello che normalmente si copia/incolla dalla console di Analytics) ci si scontra con al gerstione dei dati personali indicata della GDPR e quindi è necessario ottenere il consenso al trattamento e deve essere esplicito, oltre che ovviamente pubblicarne l’informativa.

Il mio sito utilizza il Facebook Pixel

Il Facebook Pixel viene utilizzato da chi gestisce gli account pubblicitari di Facebook per tracciare ad esempio un acquisto è andato a buon fine oppure l’apertura di una certa pagina del flusso di acquisto. In ottemperanza della GDPR sui dati personali, Facebook è molto preciso in questo senso in quanto indica:

Gli inserzionisti che usano il nostro pixel dovranno rispettare gli obblighi previsti dal GDPR. Le nostre  condizioni prevedono che le aziende che implementano i nostri strumenti debbano rispettare le leggi applicabili quando usano i nostri strumenti. Per le aziende che operano nell’Unione europea, ciò include l’obbligo di ottenere il previo consenso informato per la memorizzazione e l’accesso di cookie o altre informazioni sul dispositivo dell’utente finale.

Il documento completo è indicato qui (si può fare riferimento alle domande frequenti a fondo pagina). Se utilizzi il Facebook Pixel nelle tue pagine web (ad esempio di un ecommerce) hai dunque due possibilità:

  • Utilizzare un sistema di gestione dei cookie che permetta all’utente di dare il consenso o meno all’utilizzo di tale pixel. Se viene dato il consenso allora il sito web abiliterà il Pixel di Facebook, alternativamente lo disabiliterà.
  • Rimuovere completamente il codice di Facebook che utilizza il pixel e quindi i cookies relativi.

Quindi cosa devo fare nello specifico?

Quello che è necessario mettere in pratica a partire da oggi su tutti i siti web che si gestiscono (se non lo hai già fatto prima) è quanto segue:

  1. Verificare quali cookies utilizza il sito web.
  2. Preparare una pagina informativa sui cookie utilizzati e su come rimuoverli volontariamente (meglio se indicando links esterni per i diversi browser).
  3. Se si utilizza Google Analytics il consiglio è di inserire l’anonimizzazione degli IP così da rendere il cookie un semplice cookie tecnico.
  4. Prevedere l’installazione di un sistema di gestione e informazione dei cookies (disclaimer) che mostra una breve descrizione, un pulsante di “Leggi informativi Privacy” (che rimanda alla informativa del punto 2) ed un pulsante di “Ho letto l’informativa”.
  5. Se il sito utilizza Facebook Pixel (così come altri cookies non tecnici) è necessario aggiungere un pulsante di “Acconsento” oppure “Non acconsento” facendo in modo che il click abiliti o disabiliti tale codice di Facebook. E’ bene tener presente che inizialmente tale codice non deve essere attivo per via della specifica sul “blocco preventivo”. Inoltre è necessario sviluppare un modo affichè l’utente possa revocare o condere il consenso in ogni momento della navigazione (ad esempio con una piccola icona flottante a fondo pagina che riabiliti il Cookie Banner).

Leave a Reply