In sintesi
Il consenso ai cookie secondo il GDPR, in breve
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea che disciplina la raccolta e il trattamento dei dati personali delle persone all’interno dell’UE.
In base al GDPR, è responsabilità legale dei proprietari e degli operatori dei siti web assicurarsi che i dati personali vengano raccolti e trattati in modo legale.
Anche i siti web al di fuori dell’UE sono tenuti a rispettare il GDPR se raccolgono dati da utenti che si trovano nell’UE.
Nonostante i cookie siano menzionati una sola volta nel GDPR, il consenso ai cookie è comunque un pilastro della conformità per i siti web con utenti situati nell’UE.
Ciò è dovuto al fatto che uno dei modi più comuni per raccogliere e condividere i dati personali online è rappresentato dai cookie dei siti internet. Il GDPR stabilisce regole specifiche per l’utilizzo dei cookie.
Ecco perché, in virtù del GDPR, il consenso ai cookie è il fondamento giuridico più frequentemente utilizzato dai siti web per poter trattare i dati personali e utilizzare i cookie.
Il GDPR prescrive che un sito web sia autorizzato a raccogliere i dati personali degli utenti solo dopo che questi abbiano espresso il loro consenso esplicito alle relative specifiche finalità di utilizzo.
Secondo il GDPR, i siti web devono soddisfare i seguenti requisiti per il consenso ai cookie:
- Il consenso preventivo ed esplicito deve essere ottenuto prima di qualsiasi attivazione dei cookie (ad eccezione dei cookie necessari, inseriti nella whitelist).
- I consensi devono essere specifici, ovvero l’utente deve poter attivare alcuni cookie, lasciandone al contempo disattivati altri: non deve quindi trovarsi costretto ad acconsentire a tutti o a nessuno.
- Il consenso deve essere prestato liberamente, cioè non deve essere forzato.
- I consensi devono poter essere revocati con la stessa facilità con cui vengono forniti.
- I consensi devono essere custoditi in modo sicuro, come documentazione legale.
- Il consenso deve essere rinnovato annualmente. Tuttavia, alcune direttive nazionali sulla protezione dei dati raccomandano un rinnovo più frequente, ad esempio ogni sei 6 mesi. Controlla cosa dicono le linee guida per la protezione dei dati nel tuo paese per assicurarti la conformità.
La conformità al GDPR per quanto riguarda i cookie viene in genere raggiunta grazie ai cookie banner, i quali permettono agli utenti, quando visitano un sito, di selezionare e accettare l’attivazione di determinati cookie piuttosto che altri.
Le linee guida del Comitato europeo per la protezione dei dati (EDPB) del mese di maggio 2020 chiariscono cosa si intende per consenso valido sui siti web in conformità con il GDPR.
Le linee guida dell’EDPB affermano che il cookie banner del tuo sito non può presentare caselle preselezionate, e la prosecuzione dello scorrimento o della navigazione da parte degli utenti non possono essere considerati come un consenso valido per il trattamento dei dati personali.
Affinché il tuo sito web sia autorizzato ad attivare i cookie e trattare i dati personali, gli utenti devono manifestare il loro consenso con un’azione chiara e affermativa.
Test per la conformità dei cookie al GDPR
Verifica se il tuo sito web è conforme ai requisiti per il consenso ai cookie previsti dal GDPR utilizzando il test di conformità gratuito di Cookiebot.
È sufficiente inserire l’URL del tuo dominio e attendere che Cookiebot effettui una scansione gratuita del tuo sito web, individuando tutti i cookie e i tracker presenti su un massimo di cinque sottopagine, incluse nella scansione gratuita; così scoprirai se rispetti i requisiti di consenso stabiliti dal GDPR per i cookie.
Non preoccuparti se scopri che il tuo sito ha molti più cookie, tracker e cavalli di Troia sconosciuti rispetto a quanto pensavi – sono notoriamente difficili da identificare, considerando che:
Il 72% dei cookie è impostato segretamente da altri cookie di terze parti da terzi, il che li rende difficili da rilevare per i proprietari dei siti internet.
Il 18% dei cookie sui siti web è rappresentato da cavalli di Troia, ovvero cookie nascosti tanto in una profondità tale da essere all’interno di altri otto cookie, il che li rende praticamente impossibili da scoprire senza una tecnologia di scansione approfondita.
Il 50% dei cavalli di Troia cambia tra una visita e l’altra, il che significa che può trattarsi completamente differenti, i quali raccolgono dati diversi per i diversi soggetti che li operano; ciò fa sì che la responsabilità legale di informare sempre gli utenti sullo scopo e la durata dei cookie da parte del proprietario del sito diventi un vero e proprio grattacapo.
Fonte: Beyond the Front Page, un documento di ricerca del 2020 sui cookie dei siti web.
Scansiona ora il tuo sito web gratis con Cookiebot
Per saperne di più sul GDPR, leggi qui
Per saperne di più sulla conformità al GDPR, leggi qui
Visita il sito web dell’UE sulla protezione dei dati
Consulta il testo di legge ufficiale del GDPR
Cookiebot e la conformità dei cookie al GDPR
Cookiebot è una piattaforma di gestione del consenso di tipo plug-and-play (ovvero non necessita di installazione) – una tecnologia sviluppata appositamente per la protezione della privacy su internet e per la conformità del tuo sito web alle legislazioni di tutto il mondo in materia di dati personali.
Cookiebot è costituito da un ineguagliabile scanner che rileva tutti i cookie e i tracker sul tuo dominio, e da una soluzione per la gestione del consenso che li tiene automaticamente sotto controllo e permette ai tuoi utenti finali di esprimere un consenso specifico o dà loro la possibilità di effettuare l’opt-out, a seconda della località in cui si trovano nel mondo.
Cookiebot e il consenso ai cookie secondo il GDPR
Quando un utente proveniente dall’UE visita il tuo sito web, Cookiebot individua automaticamente la sua posizione e gli presenta la soluzione corretta per la conformità dei cookie al GDPR:
- blocco automatico di tutti i cookie e tracker in mancanza del consenso preventivo
- scelta di consenso specifica ed esplicita tra quattro categorie di cookie
- dichiarazione esaustiva su fornitore, scopo, durata e tipologia di ciascun cookie
- consensi dell’utente documentati in modo sicuro
- richiesta automatica di rinnovo dei consensi dell’utente
La tecnologia di Cookiebot viene fornita con poche righe di JavaScript sul tuo sito web, e può essere installata direttamente dal cloud senza alcuna necessità di implementazione manuale o di assistenza in loco.
Crea il tuo account Cookiebot e lascia che la nostra soluzione, leader mondiale nel campo del consenso, si occupi della parte più difficile della protezione della privacy e della conformità ai requisiti del GDPR per il consenso ai cookie.
Prova Cookiebot gratuitamente per 14 giorni… o per sempre se il tuo sito web ha dimensioni contenute.
Cookiebot, con il consenso ai cookie conforme al GDPR, si adopera per un futuro più riservato
Internet è un paesaggio in continua evoluzione.
È stato costruito come una sabbiera piatta, ma si è trasformato in un terreno irregolare, caratterizzato dallo sfruttamento degli utenti e dall’invasione della privacy, rimanendo fino ad oggi in gran parte non regolamentato.
Un sito web è un sistema dinamico in costante trasformazione, che interagisce con i dati personali, privati e talvolta intimi di persone reali e viventi. Nella totalità di internet, il tuo sito web potrebbe sembrare piccolo e insignificante, solo un altro dominio tra miliardi di siti.
Ma, in realtà, il tuo sito web – qualunque sia la sua dimensione – può ospitare centinaia di tracker e cavalli di Troia che si nutrono dei dati privati dei tuoi utenti a loro insaputa e senza il loro consenso.
Visto che internet è diventato un’infrastruttura fondamentale nelle nostre società – che gestisce le nostre finanze, le industrie mediche e la nostra sfera privata e sociale – stanno emergendo in tutto il mondo leggi che proteggono i dati personali dalla raccolta e dall’utilizzo non autorizzati.
Attualmente, una delle leggi più significative e influenti in materia di protezione dei dati è il Regolamento generale dell’UE sulla protezione dei dati (GDPR).
Continua a leggere per saperne di più sulle caratteristiche della conformità ai cookie ai sensi del GDPR e su come Cookiebot offra la soluzione ideale per soddisfare tutti i requisiti previsti dal GDPR per il consenso ai cookie.
Prova Cookiebot gratis per 14 giorni… o per sempre, se il tuo sito non è troppo grande.
Google Consent Mode e Cookiebot
Con Google Consent Mode e Cookiebot, puoi far funzionare tutti i servizi Google del tuo sito web sulla base dello stato di consenso degli utenti finali – Grazie ad un’unica semplice soluzione, è possibile coniugare la piena conformità al GDPR con la disponibilità di dati analitici ottimizzati e i ricavi pubblicitari.
Cookiebot gestisce il consenso degli utenti del tuo sito web, poi comunica lo stato di questi consensi all’API che si occupa della modalità di consenso di Google, la quale a sua volta controlla e governa tutti i tuoi servizi preferiti (come Google Analytics e Google Ads) in base allo stato di consenso di ogni singolo utente del tuo sito web.
E se un utente non ha acconsentito ai cookie statistici o di marketing? Cookiebot lo comunica a Google Consent Mode, che fa sì che tu riceva comunque informazioni aggregate e non identificative sulle prestazioni del tuo sito web, dandoti anche la possibilità di mostrare annunci pubblicitari contestuali, anziché mirati – rispettando così la privacy dell’utente e ottimizzando al contempo il tuo sito web.
Con Cookiebot e Google Consent Mode, otterrai una conformità al GDPR semplice e immediata, oltre ai dati analitici ottimizzati e ai ricavi legati alla pubblicità: e tutto in un’unica soluzione.
Inizia a utilizzare Google Consent Mode
Prova Cookiebot gratis per 14 giorni – o per sempre, se il tuo sito è di piccole dimensioni
Scansiona gratuitamente il tuo sito web e scopri quali cookie e tracker sono in funzione
Il consenso ai cookie secondo il GDPR, in dettaglio
A questo punto, probabilmente avrai già capito qual è il nesso tra i cookie e il GDPR: i dati personali sono protetti dal GDPR, e i cookie molto spesso raccolgono informazioni che secondo il GDPR sono considerate dati personali, quindi il tuo sito web è tenuto a rispettare il GDPR quando utilizza i cookie.
Ma cosa sono i dati personali?
Con dati personali si intendono tutte quelle informazioni che si riferiscano o possano in qualche modo essere collegate a una persona vivente identificata o identificabile (definita nella legge “interessato”).
I dati personali comprendono:
- Nomi
- Indirizzi di casa
- Numeri di documenti identificativi (carte d’identità, passaporti, tessere sanitarie, ecc.)
- Dati sulla posizione (come la geolocalizzazione attraverso un telefono)
- Indirizzi IP
- Ricerche e cronologia del browser
- Dati sanitari e biometrici
- Informazioni etniche
- Convinzioni politiche
- Credenze religiose
- Orientamento sessuale
Per la precisione, il GDPR considera gli ultimi cinque punti della lista qui sopra come una categoria speciale di dati personali, denominata dati personali sensibili.
Nel raro caso in cui il tuo sito web processasse questo tipo di dati, il GDPR ti richiederebbe di rispettare ulteriori specifiche condizioni di trattamento.
Visita il sito dell’Unione Europea sui dati personali e sul GDPR.
Il GDPR sui cookies
Come probabilmente già saprai, i cookie sono piccoli file di testo che vengono depositati sul browser dei tuoi utenti finali.
Ciò che forse non sai, invece, è che i cookie contengono spesso un identificatore (noto come “ID cookie”) che è di per sé considerato un dato personale ai sensi del GDPR.
Proprio così – secondo il GDPR, gli ID dei cookie sono classificati come dati personali.
Un ID cookie è l’identificatore che è incluso nella maggior parte dei cookie quando vengono impostati sul browser di un utente. Si tratta di un ID univoco che permette al tuo sito web di ricordare ciascun singolo utente e le sue preferenze e impostazioni, nel momento in cui ritorna sul tuo sito web.
Ma gli ID cookie spesso seguono gli utenti attraverso internet e possono essere utilizzati per generare profili dettagliati sui singoli individui, i quali vengono poi venduti alle agenzie di pubblicità online e impiegati per il marketing comportamentale.
Il GDPR prevede che il tuo sito web possa raccogliere i dati personali dei tuoi utenti solo per scopi specifici, espliciti e legittimi, e che tu ottenga il loro consenso chiaro ed affermativo prima di farlo.
Nella gestione quotidiana del tuo sito web, questo requisito del GDPR per i cookie comporta che tu debba sapere non soltanto quali siano i cookie e i tracker in funzione sul tuo dominio, ma anche perché siano presenti.
- Da dove provengono i cookie, ovvero chi è il loro provider?
- Che tipo di dati vengono raccolti o elaborati dai cookie? Si tratta di dati personali? In caso affermativo, fai in modo di ottenere il consenso preventivo prima di attivarli e di iniziare la raccolta?
- Qual è lo scopo della raccolta di dati da parte dei cookie? Per una lecita raccolta di dati personali, gli scopi legittimi devono essere dichiarati come parte delle informazioni che fornisci al tuo utente finale, altrimenti il suo consenso può essere considerato non valido.
- Di che tipo di cookie o tracker si tratta? I dettagli tecnici sono importanti nel quadro di un consenso valido, poiché rientrano nell’obbligo di informazione.
- Per quanto tempo rimane attivo il cookie, cioè per quanto tempo sarà memorizzato sui browser dei tuoi utenti?
I cookie e il GDPR: un esempio
Poniamo che il tuo sito web utilizzi un plugin di un’azienda tecnologica come Google o Facebook. Potrebbe trattarsi di Google Tag Manager o di una sezione commenti/like su una delle tue sottopagine di Facebook.
Adesso ci sono dei cookie sul tuo sito web.
Si tratta di cookie di terze parti perché non provengono dal tuo sito web, ma sono impostati sul browser dell’utente da Google o Facebook.
Questi cookie non sono cookie necessari, cioè non sono nella lista bianca e non sono esenti dal GDPR, bensì necessitano del consenso esplicito degli utenti prima che il tuo sito web sia autorizzato ad attivarli.
Anche se questi cookie di terze parti provengono da società come Google o Facebook, la responsabilità legale per la conformità dei cookie al GDPR è comunque tua, in quanto proprietario del sito web.
Il consenso specifico, i diversi cookie e il GDPR
Ormai non ci sono più dubbi – sì, il tuo sito web contiene cookie, il GDPR ti richiede ti tenerli sotto controllo e tu cerchi di diventare conforme alla legge.
Ma molto probabilmente il tuo sito ha più di un tipo di cookie. Questo è un aspetto rilevante, dal momento che i requisiti del GDPR sono diversi a seconda delle diverse tipologie di cookie e di tecnologie di tracciamento in uso su internet.
Il regime giuridico dell’UE in materia di protezione dei dati si fonda sul Regolamento generale sulla protezione dei dati (GDPR), ma è anche basato su precedenti legali come il caso Planet49, dalla Direttiva ePrivacy sulle comunicazioni elettroniche (la legge europea sui cookie) e dalle linee guida sia delle autorità nazionali per la protezione dei dati sia del Comitato europeo per la protezione dei dati (EDPB).
Nel loro insieme, costituiscono i requisiti specifici a cui i siti web che hanno utenti provenienti da paesi europei devono oggigiorno attenersi.
Il risultato di questo sistema legislativo è che nell’UE il consenso deve essere espresso dagli utenti in modo esplicito e inequivocabile, il loro consenso deve essere specifico, accordato liberamente e non può essere condizionato o dato in cambio di servizi.
La completa conformità ai cookie GDPR richiede che il tuo sito web debba:
- Essere a conoscenza di tutti i cookie e tracker in funzione,
- Informare gli utenti dei cookie, della loro durata, delle loro finalità e del loro provider,
- Offrire agli utenti una scelta di consenso specifica, vale a dire la possibilità di attivare sul tuo sito web alcuni cookie e non altri,
- Permettere agli utenti di ritirare il loro consenso con la stessa facilità con cui l’hanno concesso,
- Documentare tutti i consensi in modo sicuro e codificato,
- Richiedere il rinnovo del consenso almeno una volta ogni 12 mesi.
Per il tuo sito web, ciò significa che devi consentire agli utenti finali di scegliere tra i diversi tipi di cookie presenti dispone il tuo sito web.
In conformità con il GDPR, sulla piattaforma di gestione del consenso di Cookiebot i cookie sono classificati in quattro categorie:
- Cookie necessari, che il più delle volte sono quelli del tuo stesso sito web (di prima parte) e la cui costante attivazione è fondamentale per il corretto funzionamento del tuo sito. Nella maggior parte dei casi si tratta di cookie di sessione che durano solo fino a quando l’utente rimane sul tuo sito. Solo i cookie strettamente necessari possono essere inseriti nella lista bianca, in modo tale che siano esentati dai requisiti del GDPR per il consenso ai cookie.
- Cookie di preferenza, che memorizzano le scelte dell’utente, come le impostazioni della lingua o della valuta sul tuo sito web.
- Cookie statistici, che spesso provengono da servizi di terze parti, quali il software di analisi che implementi sul tuo sito.
- Cookie di marketing, che quasi sempre provengono da società tecnologiche o pubblicitarie di terze parti e hanno lo scopo di fornire pubblicità ai tuoi utenti, nonché di raccoglierne i dati personali per futuri scopi di marketing.
Secondo il GDPR, i cookie che non sono strettamente necessari per la funzionalità di base del tuo sito web possono essere attivati solo dopo che gli utenti finali hanno fornito il loro esplicito consenso allo scopo specifico del loro funzionamento e alla raccolta dei loro dati.
Con la tecnologia di scansione profonda di Cookiebot, tutti i cookie del tuo sito web saranno individuati e i loro dettagli tecnici verranno illustrati a te e ai tuoi utenti in una semplice dichiarazione dei cookie, la quale contiene tutte le informazioni necessarie per la piena conformità al GDPR.
Con la piattaforma di gestione del consenso plug and play di Cookiebot, inoltre, il tuo sito web fornirà sempre agli utenti informazioni precise e aggiornate sulle modalità di raccolta e condivisione dei loro dati personali.
Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito non è troppo grande.
La cookie policy e il GDPR
Il tuo sito web deve disporre di una cookie policy facilmente accessibile per gli utenti finali.
Ai sensi del GDPR, una cookie policy deve informare gli utenti su:
- Quali informazioni raccogli
- Cosa fai con le loro informazioni
- Come proteggi le loro informazioni
- Se comunichi una o più informazioni a terzi
- Come archivi le loro informazioni
- Come loro possono avere accesso alle informazioni, trasferirle, o richiederne la rettifica, la limitazione e la cancellazione.
Cookiebot, una volta eseguita la scansione del tuo dominio, genera automaticamente una dichiarazione dei cookie per il tuo sito web.
Ciò costituisce la base della tua cookie policy, in quanto contiene la maggior parte delle informazioni richieste dal GDPR per, appunto, una cookie policy.
Una cookie policy conforme al GDPR può essere facilmente integrata con l’esistente informativa sulla privacy del tuo sito web.
Dai un’occhiata alla Dichiarazione dei Cookie e all’Informativa sulla privacy del sito di Cookiebot per avere degli esempi su come realizzare questi documenti per il tuo sito, scoprendo quali sono le informazioni necessarie da includere.
La cookie policy è di natura dinamica, in considerazione del fatto che il tuo sito web è un sistema dinamico. I cookie cambiano e altrettanto deve fare la tua cookie policy.
La dichiarazione dei cookie generata automaticamente da Cookiebot garantisce che la tua cookie policy sia sempre aggiornata. In questo modo risparmierai parecchio tempo, che altrimenti avresti dovuto impiegare per redigerla e aggiornala tu stesso.
Cookiebot e la conformità dei cookie al GDPR
Ehi, ce l’hai fatta ad arrivare fino alla fine di questo lungo articolo sul GDPR e sul consenso ai cookie. Complimenti!
Cookiebot, attiva fin dal 2014, offre una tecnologia collaudata che, grazie alla nostra ineguagliabile tecnologia di scansione e alla soluzione per la gestione del consenso, garantisce la conformità al GDPR dell’UE e a leggi simili sulla protezione dei dati in tutto il mondo. La nostra tecnologia si prende cura della parte difficile della conformità e della protezione della privacy.
Tutti noi di Cookiebot lavoriamo ogni giorno per rendere la protezione della privacy una semplice e agevole oggi, e per garantire un futuro a portata d’uomo sulle nostre infrastrutture digitali di domani.
Iscriviti ora a Cookiebot e provalo gratuitamente per 14 giorni… o per sempre se il tuo sito web ha meno di 50 sottopagine.
Vedi i prezzi dei nostri piani
Approfondisci il consenso ai cookie
FAQ
Cos’è il GDPR?
Il GDPR è un atto legislativo dell’UE sulla protezione dei dati, il quale disciplina la raccolta dei dati personali degli individui all’interno dell’Unione Europea. Se il tuo sito web utilizza cookie che raccolgono dati personali di utenti situati nell’UE, sei tenuto a rispettare la legge. Il GDPR richiede che tu ottenga il consenso esplicito dell’utente del tuo sito prima che ti sia permesso procedere all’attivazione dei cookie e alla raccolta dei dati personali.
Com’è il consenso ai cookie secondo il GDPR?
Un consenso ai cookie conforme al GDPR si ottiene quando gli utenti esprimono il loro consenso in modo consapevole, esplicito e inequivocabile, indicando per quali cookie intendono permettere l’attivazione e la raccolta dei loro dati personali, nel momento in cui visitano il tuo sito. Inoltre, il consenso a cookie conforme al GDPR deve essere specifico, vale a dire che gli utenti devono poter scegliere alcuni cookie e rifiutarne al contempo altri, senza essere costretti ad accettarli o respingerli tutti in blocco.
Per saperne di più sul consenso dei cookie ai sensi del GDPR, leggi qui.
Com’è un cookie banner conforme al GDPR?
Un cookie banner conforme al GDPR è un elemento interattivo che informa gli utenti su tutti i cookie e tracker in funzione sul tuo sito web, nonché sul loro scopo, sulla loro durata e sul loro fornitore, e permette agli utenti di concedere il loro consenso esplicito ad alcuni, a nessuno o a tutti i cookie, semplicemente spuntando delle caselle e premendo un pulsante. Per la conformità al GDPR, è di vitale importanza che i cookie banner non presentino caselle preselezionate e non costringano gli utenti a scegliere se accettare tutto niente, in cambio dei servizi del sito.
Per saperne di più sui cookie banner conformi al GDPR, leggi qui.
Com’è una cookie policy secondo il GDPR?
Una cookie policy conforme al GDPR comunica agli utenti quali dati raccoglie il tuo sito web, per quali scopi utilizzi questi dati, con quali terze parti li condividi, chi è il provider dei cookie, come memorizzi i loro dati e ne garantisci la tutela, e come gli utenti stessi possono accedere ai loro dati, trasferirli, o richiederne la rettifica e la cancellazione. La cookie policy del tuo sito web deve essere redatta in un linguaggio di facile comprensione ed essere facilmente raggiungibile dai tuoi utenti.
Per saperne di più sulle cookie policy conformi al GDPR, leggi qui.
Risorse
La Direttiva ePrivacy (la legge UE sui cookie)
Il caso Planet49 e il consenso valido nell’UE
Il sito ufficiale dell’UE sulla protezione dei dati
Il testo di legge ufficiale del GDPR
“Beyond the Front Page”, uno studio del 2020 sui cookie dei siti internet (in inglese)
Un articolo del NY Times sulla pubblicità comportamentale online (in inglese)
Il sito ufficiale del Comitato europeo per la protezione dei dati