Cos’è la legge UE sui cookie?
La normativa UE sui cookie, nota anche con il suo nome ufficiale di Direttiva ePrivacy, è un atto legislativo fondamentale per garantire la privacy dei dati nell’Unione Europea, un vero e proprio strumento per salvaguardare la privacy online dei cittadini dell’UE.
Approvata nel 2002 dall’UE ed emendata nel 2009, ha avuto effetti ambigui sull’esperienza di gestione dei cookie e del tracciamento da parte dell’utente, con un’attuazione giuridica a livello nazionale diversa e talvolta inadeguata.
Una delle ragioni principali dietro tutto ciò è che una “direttiva” non è una “legge”, benché la direttiva del 2002 sia conosciuta anche con questo nome.
Tra poco ne parleremo più in dettaglio.
Non sai se il tuo sito internet è conforme alla legge sui cookie? Verificalo grazie al test di conformità gratuito di Cookiebot.
Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito ha dimensioni limitate.
Le origini della legge UE sui cookie
La finalità principale della legge UE sui cookie è far rispettare e garantire il diritto alla privacy attraverso la protezione dei dati, come sancito dalla Carta dei diritti fondamentali dell’UE (Articolo 8), la quale stabilisce che:
“Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” e che “Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata”.
Precisa inoltre che “Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica”.
Brevemente, in altri termini: la legge UE sui cookie è una direttiva sul consenso ai cookie. Protegge la privacy dei dati nell’UE.
Prenditi un attimo di tempo per informarti sui tuoi diritti fondamentali nell’Unione Europea.
Intenti e finalità
È stata pensata come difesa dell’utente contro la giungla di internet, popolata da tracking online, profilazione personale, tattiche di marketing indesiderate e raccolta non consensuale di dati da parte di terzi.
Il suo obiettivo principale era garantire “il rispetto della vita privata, la riservatezza delle comunicazioni e la tutela dei dati a carattere personale nel settore delle comunicazioni elettroniche” , come recita la direttiva.
Secondo il New York Times, l’Europa è oggi il principale “guardiano” tecnologico del mondo. È senza dubbio il risultato sia della legge UE sui cookie in vigore, sia del più recente e ampio Regolamento generale sulla protezione dei dati (GDPR).
Il nascente Regolamento ePrivacy, che esamineremo tra poco, senza dubbio consoliderà ulteriormente questa posizione.
Cosa comporta la legge UE sui cookie?
La normativa dell’UE sui cookie riguarda fondamentalmente tutto ciò che le altre persone (ovvero siti internet, aziende e fornitori di servizi) sono autorizzate a fare con i tuoi dati digitali, cosa possono fare e cosa non possono fare senza il tuo consenso, a quali fini e in quali modi.
Leggi qui la Direttiva ePrivacy del 2009.
Informazioni sulla legge sui cookie e sul consenso ai cookie
Tutti i banner di consenso e le finestre pop-up per i cookie che incontri oggi, mentre ti fai strada sul web, sono il riflesso di quei diritti fondamentali europei alla privacy.
Purtroppo, molti di loro sono riflessi inadeguati e persino fuorvianti.
La Direttiva ePrivacy stabilisce che nessun cookie o tracker può essere installato senza il consenso preventivo dell’utente, ad eccezione di quelli strettamente necessari per la funzionalità di base del sito. In pratica, ogni sito non deve posizionare alcun cookie, indipendemente dal fatto che contenga o meno dati personali, fino al consenso dell’utente.
Tuttavia, molti dei banner e degli avvisi che ci sono più familiari affermano semplicemente che il sito “usa i cookie per migliorare l’esperienza dell’utente”, lasciando agli utenti la sola possibilità di cliccare “ok”.
Scopri qui come ottenere un ottimo avviso per i cookie conforme alle leggi in vigore.
Tutto ciò ha portato alla “sindrome” appropriatamente chiamata affaticamento da consenso. I dati vengono ancora continuamente raccolti e venduti nella parte nascosta di internet andando a formare un’economia del valore di migliaia di miliardi di dollari, ma ora gli utenti devono cliccare “ok” ogni volta che visitano un sito, senza poter operare una reale scelta in merito al consenso.
La normativa dell’UE sui cookie tratta di:
- che cosa i siti web, le aziende e i fornitori di servizi siano autorizzati a fare con i dati, ad esempio l’utilizzo di dati personali per scopi di marketing,
- come debbano trattarli, ovvero in forma anonimizzata e protetta, se non altrimenti consensuale,
- come e con quali finalità possano condividerli.
Ad essere sinceri, la legge UE sui cookie non si occupa solo dei cookie, ma anche di come la privacy online degli utenti venga garantita su larga scala. Un esempio è il divieto di utilizzare gli indirizzi e-mail a fini di marketing senza previo consenso.
Ciononostante, la legge UE sui cookie, e ora anche il GDPR, intendono conferire agli utenti maggiore autorità in materia di trasparenza, mettendoli in condizione di richiedere l’accesso, la visione, la rettifica e la cancellazione dei dati raccolti su di loro.
Il nascente Regolamento ePrivacy è stato concepito per ovviare a queste problematiche.
Legge UE sui cookie (Direttiva ePrivacy)
Innanzitutto, è importante ricordare che la cosiddetta legge UE sui cookie non è una legge, ma una direttiva.
L’Unione Europea può prendere decisioni legali in diversi modi, ma specialmente, in questo contesto di privacy online degli utenti, può agire legalmente tramite regolamenti e direttive.
I regolamenti sono leggi UE che si applicano automaticamente e uniformemente a tutti i paesi dell’UE senza necessità di interpretazione e attuazione a livello nazionale. Qualsiasi provvedimento venga convertito in legge mediante regolamento sarà vincolante e immediatamente applicabile in tutta Europa.
Le direttive, invece, sono atti giuridici dell’UE che ogni paese deve adottare e attuare secondo le proprie modalità a livello nazionale. Nel caso della legge UE sui cookie, ogni Stato membro ha dovuto recepire nel diritto nazionale gli articoli sulla protezione dei dati e sul diritto alla privacy previsti dalla direttiva. In sintesi, dal 2002 tutti i paesi dell’UE hanno dovuto approvare leggi nei propri organi legislativi in modo da adeguarsi e conformarsi alla legge UE sui cookie.
La Direttiva ePrivacy esiste da più di un decennio (è datata) e potrebbe essere ormai piuttosto obsoleta. Ci sono nuovi progressi tecnologici non completamente contemplati; le disposizioni relative al consenso ai cookie sono state criticate per essere state interpretate in modo inadeguato; sono state sollevate preoccupazioni per il fatto che le implementazioni nazionali hanno creato condizioni di disparità tra realtà giuridiche sovrapposte e frammentate.
Il Regolamento ePrivacy si propone di risolvere questi problemi e di portare la protezione della privacy europea a un livello tecnologicamente aggiornato nonché uniforme a livello internazionale, innalzando la Direttiva ePrivacy a un livello più elevato del diritto europeo. In altri termini: mira ad aggiornare, chiarire e modernizzare la direttiva del 2002 in una versione che, come il GDPR, costituisca legislazione vincolante e uniforme in tutti i paesi dell’UE.
Il 10 febbraio 2021 il Consiglio dell’UE ha trovato un accordo su una bozza di testo e ora il Regolamento ePrivacy passerà ad una fase di negoziati a tre fra il Parlamento europeo, il Consiglio dell’UE e la Commissione europea.
Per saperne di più sulla nuova proposta di Regolamento ePrivacy, leggi qui.
Legge UE sui cookie vs GDPR
Se ti senti confuso sulla differenza tra la legge sui cookie dell’UE e il più recente GDPR, non c’è da meravigliarsi. Forse pensavi che la legge sui cookie dell’UE fosse il GDPR. Ma ecco le differenze:
La legge UE sui cookie, o Direttiva ePrivacy, è un atto giuridico più datato, approvato nel 2002 e aggiornato nel 2009, che riguarda principalmente i cookie, la conservazione dei dati e l’invio di e-mail non richieste. Si tratta, come accennato in precedenza, di una direttiva, non di un regolamento.
Il GDPR, acronimo inglese per il Regolamento generale sulla protezione dei dati, è molto più recente ed è un regolamento, il che significa che è vincolante in tutti gli Stati membri dell’UE a partire dal maggio 2018. Ha un campo di applicazione molto più ampio rispetto alla Direttiva ePrivacy, in quanto si concentra sulla protezione dei dati indipendentemente dalla loro tipologia (ovvero non soltanto le informazioni sugli utenti digitali) e su come le aziende e le organizzazioni debbano garantire la trasparenza e documentare il consenso degli utenti. A dire il vero, nel GDPR la parola “cookie” è menzionata una sola volta.
Informati sul GDPR e consulta il testo di legge del GDPR.
“Cookie” dai mille sapori – le modalità di tracciamento online
La Direttiva ePrivacy è stata soprannominata la legge UE sui cookie perché si occupa, tra le altre cose… dei cookie. Perché? Perché i cookie sono dappertutto online. Se hai un sito, hai i cookie. Se hai visitato un sito, hai avuto a che fare con i cookie, che tu lo sappia o meno.
Il cookie è, per così dire, qualcosa che si posiziona a metà tra un sito e i suoi utenti. Si tratta di un piccolo file di dati che il sito immette nei dispositivi dei suoi utenti (computer, telefoni e tablet), in modo tale da identificarli e di conoscerne i dettagli.
Diverse tipologie di cookie
Ma non è così semplice. Esiste, infatti, un’ampia varietà di cookie che agiscono in maniera differenziata a seconda delle finalità, ed è importante sapere a quali fare attenzione:
I cookie propri sono quelli installati sul computer dell’utente dal sito che ha visitato.
I cookie di terze parti sono quelli che appartengono a terze parti che hanno accesso al sito che l’utente ha visitato.
Questi ultimi potrebbero essere, ad esempio, cookie appartenenti a una piattaforma di social media, che tracciano e monitorano il comportamento degli utenti su un sito web; il loro accesso è abilitato, ad esempio, dall’implementazione di un “pulsante condividi” o di un “commento” sul sito web di prima parte.
In altri termini, se hai il pulsante “condividi” di Facebook sul tuo sito, anche Facebook avrà dei cookie sul tuo sito.
Ciò che complica le questioni relative alla privacy, in questo caso, è il fatto che il proprietario di un sito web è legalmente responsabile di ciò che accade sul suo sito, inclusa la protezione di tutti i dati degli utenti dalla potenziale raccolta da parte di terzi per utilizzarli in modo non consensuale nella profilazione e nella pubblicità mirata.
Gestire i cookie attraverso i banner
Cookiebot è uno strumento per la trasparenza – il consenso preventivo è abilitato sotto forma di interruttore on/off su tutti i cookie e le attività di tracciamento, propri o di terza parte, garantendo pieno controllo al proprietario e all’utente finale del sito attraverso un banner per i cookie che gestisce il loro consenso ai cookie.
I cookie di sessione sono cookie temporanei che vengono memorizzati sul dispositivo di un utente soltanto per la durata della sua permanenza su un determinato sito web, ovvero durante la sua sessione. Nel momento in cui abbandona il sito, questi cookie scadono. Vengono tipicamente utilizzati per funzioni quali il mantenimento degli articoli nel carrello mentre clicchi su altre sottopagine di un sito web.
I cookie persistenti, al contrario, sono cookie che rimangono nel browser dell’utente per molto più tempo di una sola sessione, a volte anche per anni. Spesso si tratta di “cookie necessari” e “cookie di preferenza” che gestiscono operazioni come il login dell’utente o le impostazioni della lingua su un sito, ma possono anche essere “cookie statistici“, “cookie di marketing” e “cookie di social media” che consentono azioni quali la profilazione personale e il marketing online mirato.
Altre modalità di tracciamento
Web beacon
Un altro tipo di tracciamento online è il cosiddetto web beacon.
Si tratta di una delle varie tecnologie di tracciamento oltre ai cookie che comprendono anche la rilevazione delle “impronte digitali” del browser (ciò che rende unico il tuo dispositivo, come le impostazioni e le configurazioni) e i beacon a ultrasuoni (suoni ad alta frequenza emessi da un dispositivo in uso con lo scopo di mappare i dispositivi collegati, come telefoni e tablet).
Per saperne di più sulle diverse tecnologie di tracciamento oltre ai cookie, clicca qui.
Un web beacon (denominato anche “pixel tag” o “clear GIF”) è un pixel trasparente – sì, proprio così, un solo piccolo pixel, invisibile a occhio nudo. I web beacon sono dei “marcatori” sui cancelli virtuali che attraversi, mentre clicchi navigando su internet.
Riferisce ai suoi operatori il tuo percorso sul sito, come ci sei arrivato, e se è stato tramite un link in una newsletter o in una pubblicità sui social network.
Questo tracciamento è utilizzato dai siti internet per valutare l’impatto delle loro strategie di marketing. Ma questi dati possono anche essere combinati con le informazioni personali degli account degli utenti per costruire profili completi sui singoli individui.
Potrebbe essere di natura benigna, ma rende possibile il tracciamento da parte di terzi al fine di realizzare una profilazione completa che potrebbe violare le normative sulla privacy, come la legge UE sui cookie.
Per un approfondimento informato e stimolante, consulta “The Privacy Project”, una raccolta interattiva di saggi sulla privacy dei dati a cura del New York Times.
Riepilogo: come essere conformi alla legge UE sui cookie
Allora… ci sono un sacco di regole, direttive, regolamenti e cookie di vario tipo. Può essere complicato venirne a capo.
Le cose principali da tenere a mente, come proprietario di un sito internet, sono queste:
- Devi comunicare all’utente, utilizzando un linguaggio semplice, tutti i cookie e i tracker che operano sul suo sito, in modo tale che possa effettuare una scelta informata in merito al consenso e, se desidera, revocarlo.
- Devi bloccare tutti i cookie e tracker sul tuo sito (tranne quelli strettamente necessari per il funzionamento del sito stesso) fino al ricevimento del consenso chiaro ed esplicito per ogni tipo di cookie da parte dell’utente.
- Il consenso deve essere espresso liberamente e mai, ad esempio, come condizione per l’utilizzo di un servizio.
- Sei responsabile dei dati degli utenti sul tuo sito. Spetta a te proteggerli dalla raccolta da parte di terzi. Sappi quali tracker di terze parti il tuo sito potrebbe ospitare, ad esempio tramite plugin video e applicazioni di social media.
Scegliendo Cookiebot come soluzione, tutto questo viene messo a tua disposizione con una semplice implementazione software. Clicca qui per provarlo gratuitamente.
FAQ
Cos’è la legge UE sui cookie?
La Direttiva ePrivacy (soprannominata legge UE sui cookie) è una direttiva europea che disciplina l’uso dei dati nel settore delle comunicazioni elettroniche nell’UE. La legge UE sui cookie regolamenta l’utilizzo dei dati da parte di siti web, aziende e fornitori di servizi, il modo in cui questi sono autorizzati a trattare tali dati ed usarli, nonché le finalità per cui possono condividerli.
Fai il test gratuito e scopri se il tuo sito è conforme con il GDPR e la Direttiva ePrivacy.
Cos’è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea che disciplina il trattamento dei dati personali in tutti i paesi membri dell’UE. Il GDPR impone ai siti web, alle aziende e alle organizzazioni di chiedere e ottenere il consenso esplicito degli utenti prima di elaborare qualsiasi dato personale, ad esempio attraverso i cookie e i tracker dei siti web.
Cos’è il consenso valido ai cookie sui siti web?
Un consenso valido da parte degli utenti finali al trattamento dei loro dati personali tramite cookie e tracker su un sito web deve essere un’indicazione informata, chiara, affermativa e inequivocabile della loro volontà. Ciò significa che i siti web non sono autorizzati ad attivare cookie non necessari che trattano dati personali, fino a quando gli utenti non ne abbiano dato il loro consenso esplicito.
Per saperne di più sul consenso valido sui siti web nell’UE, leggi qui.
Come posso rendere il mio sito web conforme?
L’utilizzo di una piattaforma di gestione del consenso in grado di analizzare il tuo sito web e individuare tutti i cookie e i tracker, e poi dare all’utente finale l’effettivo potere di controllare queste tecnologie, permettendogli di esprimere il proprio consenso esplicito attraverso un cookie banner granulare, garantisce al tuo sito web la piena conformità al GDPR e all’ePrivacy.
Prova Cookiebot gratis per 14 giorni e rispetta pienamente il GDPR.
Risorse
Il Regolamento generale sulla protezione dei dati (GDPR)
La proposta di Regolamento ePrivacy 2021
La Commissione europea sulle norme UE sulla protezione dei dati
La Commissione europea sui diversi tipi di diritto eurounitario
Il New York Times sulle leggi UE in vigore sui cookie (in inglese)
Il Garante europeo della protezione dei dati (in inglese, disponibile anche in francese e tedesco)
La carta dei Diritti Fondamentali dell’Unione Europea
Analisi della Direttiva ePrivacy a cura del Think Tank del Parlamento Europeo (in inglese)