Tutti gli articoli del nostro blog

Linee guida EDPB: cookie, consenso e conformità

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui tu, come titolare di un sito web, devi ottenere e conservare il consenso ai cookie dei visitatori provenienti dall’UE.

Aggiornato in data 30 ottobre 2020.

Il Comitato europeo per la protezione dei dati (EDPB) ha emanato delle linee guida per la conformità al GDPR, chiarendo ciò che costituisce un valido consenso sui siti web e dichiarando illegale l’uso dei “cookie wall”.

L’EDPB è la massima autorità di vigilanza sul GDPR nell’UE; le sue linee guida fungono da guida per l’applicazione del regolamento da parte delle autorità nazionali per la protezione della privacy in ciascun paese membro dell’Unione Europea.

In questo articolo illustriamo i concetti chiave delle linee guida dell’EDPB, cosicché tu possa assicurarti che il tuo sito web sia uno spazio sicuro e conforme per gli utenti che lo visitano.

Panoramica generale

Le linee guida dell’EDPB in breve

Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida per la conformità al GDPR, le quali definiscono ciò che costituisce un consenso valido per il trattamento dei dati personali nell’UE e ribadiscono la non conformità dell’uso dei “cookie wall” come strumento per ottenere il consenso.

Queste linee guida dell’EDPB consolidano come applicazione unitaria del GDPR ciò che diverse autorità nazionali per la protezione dei dati, nonché la sentenza della CGUE su Planet49, avevano già stabilito in modo indipendente. È fondamentale tenerne conto, in quanto le linee guida dell’EDPB orientano le modalità di attuazione del GDPR da parte delle autorità di protezione dei dati di ogni stato membro dell’UE.

Leggi qui le linee guida del 05/2020 sul consenso valido.

Verifica gratuitamente se il tuo sito web è conforme alle linee guida dell’EDPB e al GDPR.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre se il tuo sito web è di piccole dimensioni.

Le linee guida EDPB sul consenso valido

Per poter essere considerato valido ai sensi del GDPR, il consenso deve essere:

  • Espresso liberamente
  • Specifico
  • Informato
  • Inequivocabile

Nelle sue linee guida, l’EDPB precisa che “un’indicazione inequivocabile del consenso dell’utente” deve essere fornita con un’azione chiara e affermativa da parte dell’utente.

Azioni dell’utente, quali lo scorrimento su un sito web o attività analoghe (che costituirebbero un consenso implicito), non soddisfano i requisiti minimi dettati dal GDPR per la validità del consenso.

Alla luce delle linee guida dell’EDPB, non ti sarà più consentito dichiarare nel cookie banner del tuo sito che la continuazione della navigazione o dello scorrimento sul dominio verrà considerata come consenso all’utilizzo di cookie che elaborano dati personali, visto che ciò non rappresenta una valida forma di consenso secondo il GDPR.

È invece necessario che il cookie banner del tuo sito sia interattivo e che il sito stesso si astenga dall’attivare cookie che raccolgono dati personali, fino a quando l’utente non abbia selezionato le categorie di cookie che intende accettare (il cosiddetto consenso preventivo).

Le linee guida dell’EDPB dichiarano inoltre che le caselle di opt-in preselezionate non rispettano il GDPR, visto che nemmeno esse ottemperano al requisito dell’azione chiara e affermativa.

A questo proposito, le linee guida dell’EDPB integrano il precedente giuridico stabilito dalla Corte di giustizia dell’Unione europea (CGUE) nel caso di Planet49 nell’ottobre 2019.

La decisione della CGUE ha sancito che non sono ammesse le caselle preselezionate sui cookie banner, in quanto non soddisfano il requisito secondo cui il consenso deve essere un’azione libera e affermativa.

Per saperne di più sulla CGUE e sul caso Planet49, leggi qui.

Prova ora Cookiebot gratuitamente… rimane gratis per sempre se il tuo sito web ha dimensioni contenute.

EDPB guidelines clarify GDPR compliance in EU.
Le linee guida dell’EDPB illustrano come il GDPR deve essere interpretato e applicato nell’UE.

Le linee guida dell’EDPB chiariscono inoltre che cookie wall sono un modo non conforme per l’ottenimento del consenso da parte dei siti web.

cookie wall agiscono subordinando l’accesso ai siti web al consenso dell’utente per il trattamento dei suoi dati personali, quando invece le direttive dell’EDPB affermano esplicitamente che ciò non costituisce un consenso valido.

Dal momento che i cookie wall operano forzando il consenso degli utenti alla memorizzazione dei cookie o accedendo ai cookie già memorizzati in cambio dell’accesso ai servizi e alle funzionalità, i cookie wall, come mezzo per ottenere il consenso, non rispettano il requisito del GDPR secondo cui un consenso è valido se è concesso liberamente e si fonda su una vera e propria scelta.

Vuoi saperne di più sui cookie wall?

Cosa comportano le linee guida EDPB per il mio sito web?

Le linee guida dell’EDPB consolidano quello che è sempre stato l’intento del GDPR: conferire agli utenti diritti reali e applicabili per la tutela dei propri dati e della privacy.

Nelle sue linee guida sul consenso, l’EDPB afferma con chiarezza che non sarà tollerato alcun comportamento atto a non dare agli utenti un concreto potere sui loro dati personali (come, ad esempio, costringere gli utenti a fornire il consenso o non informarli a dovere).

In altri termini, il tuo sito web non è autorizzato ad attivare i cookie che trattano dati personali, a meno che l’utente non ne abbia manifestato il consenso in modo chiaro ed esplicito.

Per il tuo sito internet, ciò significa che:

  • Non ci possono essere caselle preselezionate sui tuoi cookie banner,
  • Lo scorrimento e la continuazione della navigazione non costituiscono un consenso valido,
  • I cookie wall sono una modalità non conforme di ottenere il consenso.

Se il tuo sito web utilizza una soluzione per il consenso che attiva i cookie sulla base del continuato scorrimento, di un clic o della navigazione sul tuo sito web (cioè di qualsiasi attività che non sia l’interazione diretta ed esplicita con il banner di consenso), utilizza caselle preselezionate o cookie wall, devi modificare queste impostazioni.

Le linee guida dell’EDPB costituiscono il fondamento di tutte le applicazioni del GDPR a livello nazionale da parte delle rispettive autorità di protezione dei dati di ogni paese membro dell’UE. Quindi, se il tuo sito web ha sede in uno stato dell’UE, o anche soltanto elabora dati personali concernenti cittadini europei, sei tenuto a rispettare le linee guida dell’EDPB sulla conformità al GDPR.

Le linee guida dell’EDPB e il test di conformità al GDPR

Non sei sicuro che il tuo sito web soddisfi i requisiti del GDPR per l’uso legittimo dei cookie e dei tracker? Hai il dubbio che il tuo dominio non rispetti le linee guida dell’EDPB per un consenso valido?

Controlla se il tuo sito web è conforme alle linee guida dell’EDPB e ai requisiti del GDPR utilizzando il test di conformità gratuito di Cookiebot.

Cookiebot esegue una scansione gratuita del tuo sito web, individuando tutti i cookie e i tracker in funzione sul tuo dominio.

Potresti scoprire che il tuo sito ha molti più cookie di quanti tu ne conosca, perché–

Il 72% dei cookie viene caricato segretamente da tracker di terze parti, rendendoli quasi impossibili da rilevare senza un’adeguata tecnologia di scansione.

Il 18% dei cookie sui siti web è costituito da cavalli di Troia, ossia tracker che vengono caricati da una profondità pari ad altri otto cookie.

Il 50% di tutti i cavalli di Troia cambia tra una visita e l’altra, per cui gli utenti rischiano che i loro dati personali vengano raccolti da diverse terze parti sul tuo sito web, quando visitano nuovamente il tuo dominio.

Fonte: Beyond the Front Page, uno studio del 2020 sui cookie dei siti internet.

Verifica gratuitamente la conformità del tuo sito web al GDPR e alle linee guida dell’EDPB

Per saperne di più sul GDPR e il consenso dei cookie, leggi qui

Visita il sito web dell’EDPB

Prova ora Cookiebot gratuitamente

Cookiebot e le linee guida dell’EDPB

Cookiebot è la piattaforma per la gestione del consenso più diffusa al mondo che rende il tuo sito web conforme a tutte le principali leggi sulla protezione dei dati.

La soluzione di Cookiebot è di tipo plug and play, senza necessità di implementazione manuale o integrazione in loco con il tuo dominio.

È sufficiente implementare Cookiebot dal cloud in tutta semplicità per proteggere la privacy dei tuoi utenti da abusi di dati da parte di terzi.

Cookiebot effettua scansioni approfondite del tuo intero sito web, al fine di individuare tutti i cookie e i tracker in funzione – anche i cavalli di troia nascosti – e li blocca tutti automaticamente fino a quando i tuoi utenti non ne abbiano dato il loro consenso preventivo, in piena conformità con il GDPR.

La soluzione per il consenso di Cookiebot è pienamente conforme alle linee guida dell’EDPB sul consenso valido, offrendo:

  • il blocco automatico di tutti i cookie e tracker in attesa del consenso preventivo,
  • la possibilità di una scelta specifica e affermativa sul consenso, distinguendo quattro categorie di cookie,
  • la dichiarazione completa dei cookie, che include il fornitore, lo scopo, la durata e la tipologia di ciascun cookie,
  • un modo semplice per gli utenti di modificare o revocare il consenso,
  • la documentazione sicura del consenso dell’utente,
  • la richiesta automatica di rinnovo del consenso dell’utente.
Logo banner powered by Cookiebot by Usercentrics
Il banner interattivo di Cookiebot con il consenso specifico, in conformità con le linee guida dell’EDPB sul GDPR.

Prova ora Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito non è troppo grande.

Le linee guida EDPB in dettaglio

Le linee guida dell’EDPB del 05/2020 sul consenso valido sono un documento dettagliato di 33 pagine adottato il 4 maggio 2020.

Nella parte restante di questo articolo, esamineremo più da vicino ciascuna delle principali sezioni delle linee guida dell’EDPB che definiscono il consenso valido secondo il GDPR:

  • Consenso libero
  • Condizionalità del consenso
  • Consenso granulare
  • Consenso specifico
  • Consenso informato
  • Revoca del consenso
  • Condizioni ulteriori per l’ottenimento di un consenso valido
  • Diritti dell’interessato

Leggi qui le linee guida dell’EDPB in versione integrale.

Cos’è l’EDPB?

Il Comitato europeo per la protezione dei dati (EDPB) è la principale autorità di vigilanza responsabile dell’applicazione uniforme del Regolamento generale sulla protezione dei dati (GDPR) nell’UE.

L’EDPB è stato istituito con la promulgazione del GDPR nel 2018 ed è composto dai rappresentanti delle autorità nazionali per la protezione dei dati di ogni paese membro dell’UE.

Il compito dell’EDPB consiste nell’adottare linee guida generali e nell’assumere decisioni che chiariscano come il GDPR debba essere interpretato da siti web, aziende e organizzazioni, ai fini di una piena conformità.

Le linee guida e le decisioni dell’EDPB sono la colonna portante dell’attuazione del GDPR negli stati membri dell’UE, dove ogni autorità nazionale per la protezione dei dati è responsabile dell’applicazione del GDPR.

Consenso valido

Nel momento in cui ottiene il consenso degli utenti all’attivazione di cookie che trattano dati personali, il tuo sito web deve assicurarsi che tale consenso sia espresso liberamente – del resto, questo è un concetto chiave per il consenso valido ai sensi del GDPR.

Nel caso in cui all’utente non venga data la possibilità di effettuare una reale scelta, o questi si senta obbligato a dare il proprio consenso, temendo altrimenti conseguenze negative in caso di mancato consenso (come ad esempio limitazioni nell’uso di un servizio o la negazione dello stesso), allora il consenso non può essere considerato valido.

Il tuo sito web non è autorizzato a “raggruppare” il consenso, vale a dire che, se il consenso viene presentato come parte non negoziabile di termini e condizioni, si presume che non sia stato prestato liberamente.

Di conseguenza, il consenso non sarà considerato valido se l’utente non è in grado di negarlo o revocarlo senza conseguenze (quali, ad esempio, una minore qualità dei servizi o il mancato accesso).

Condizionalità del consenso

Come accennato in precedenza, secondo quanto stabilito dalle linee guida dell’EDPB, raggruppare il consenso con altri elementi non è una pratica conforme.

Rendere il consenso una condizione, ad esempio, per l’accettazione dei termini o delle condizioni, o per la prestazione di un servizio per il quale i dati personali trattati dai cookie e dai tracker non sono necessari, viene considerato una forma di consenso non valida.

Il GDPR contiene sei basi giuridiche per il trattamento dei dati personali, di cui la prima è con il consenso dell’utente e la seconda è per l’esecuzione di un contratto.

Le linee guida dell’EDPB affermano chiaramente che queste due basi giuridiche non possono essere accorpate o confuse: vale a dire che, se il tuo sito web si basa sul consenso dell’utente per l’utilizzo di cookie e tracker che trattano dati personali, tale consenso non può essere condizionato alla prestazione di un servizio che non ha bisogno dei dati personali per essere eseguito (cfr. Art. 7 par. 4 del GDPR per ulteriori informazioni).

Questa è la parte delle linee guida dell’EDPB che sostanzialmente esclude l’uso dei cookie wall come modalità conforme per ottenere il consenso, in quanto un consenso forzato non viene dato liberamente (e quindi non è valido).

La costrizione ad accettare la raccolta di dati personali non necessaria ostacola il libero consenso, come si evince dalle linee guida dell’EDPB.

Per saperne di più sui cookie wall, leggi qui.

Consenso granulare

La maggior parte dei siti web nel mondo ha in funzione tanti diversi cookie, ognuno dei quali raccoglie dati differenti per scopi differenti per conto di differenti provider.

Le linee guida dell’EDPB sottolineano che, se il tuo sito web tratta i dati personali per più di una finalità, gli utenti devono poter scegliere liberamente quale/i scopo/i accettare – anziché dover acconsentire a un pacchetto di finalità di trattamento.

Per il tuo sito, questo significa che devi essere a conoscenza di tutti i cookie e delle loro diverse finalità, per poter così offrire agli utenti la possibilità di selezionare l’attivazione di alcuni cookie, rifiutandone al contempo altri: ciò prende il nome di consenso granulare.

Logo banner powered by Cookiebot by Usercentrics
Il consenso granulare di Cookiebot, in piena conformità con le linee guida EDPB 05/2020.

Consenso specifico

Il consenso valido, come precisano le linee guida dell’EDPB, deve essere specifico, vale a dire una chiara determinazione di una finalità specifica, esplicita e legittima per l’attività di elaborazione in oggetto.

Per rispettare il requisito del GDPR che prevede che il consenso sia specifico, il tuo sito internet deve essere caratterizzato da:

  1. Specificazione dello scopo come salvaguardia contro il cosiddetto function creep (cioè l’utilizzo dei dati personali per più finalità senza il consenso specifico dell’utente per ciascuna di esse),
  2. Granularità nelle richieste di consenso,
  3. Netta separazione delle informazioni relative all’ottenimento del consenso per le attività di trattamento dei dati da quelle relative ad altre questioni.

Consenso informato

Le linee guida dell’EDPB chiariscono che il consenso valido deve essere informato, il che significa che gli utenti devono sapere e capire a cosa stanno acconsentendo.

Il tuo sito web, affinché il consenso possa definirsi informato, come requisito minimo deve contenere le seguenti informazioni:

  1. L’identità tua e del tuo sito web,
  2. La finalità di ciascuna delle attività di trattamento per cui sul sito viene richiesto il consenso,
  3. Quali tipologie di dati vengono raccolti e utilizzati sul tuo sito web,
  4. L’esistenza del diritto alla revoca del consenso,
  5. Informazioni sull’utilizzo dei dati per l’adozione di decisioni automatizzate,
  6. I possibili rischi connessi al trasferimento dei dati, dovuti alla mancanza di una decisione di adeguatezza e di adeguate garanzie, come descritto nell’articolo 46 del GDPR.

Le informazioni ai tuoi utenti devono essere scritte in un linguaggio semplice e chiaro, che sia facilmente comprensibile da una persona comune (e non solo da avvocati o simili figure professionali).

Logo banner powered by Cookiebot by Usercentrics
Il cookie banner di Cookiebot con un testo chiaro e comprensibile, in conformità con le linee guida EDPB sul consenso informato.

Revoca del consenso

Se il tuo sito web ha bisogno del consenso per il trattamento dei dati personali effettuato mediante l’uso di cookie e tracker, devi essere pronto a rispettare l’eventuale scelta degli utenti di ritirare tale consenso. È un requisito del GDPR.

Gli utenti devono poter revocare il loro consenso con la stessa facilità con cui lo hanno prestato. È infatti una condizione per la validità del consenso che l’utente debba poter ritirare il consenso in modo altrettanto semplice in un secondo momento.

Gli utenti devono avere la possibilità di revocare il loro consenso liberamente e senza conseguenze, ovvero ad esempio senza vedersi negato l’accesso a un sito web o subire un declassamento dei servizi.

Tutte le attività di trattamento dei dati personali che hanno avuto luogo dopo il consenso dell’utente, ma prima della revoca dello stesso, rimangono legittime.

Condizioni ulteriori per l’ottenimento di un consenso valido

L’onere della prova per dimostrare il consenso dell’utente al trattamento dei dati personali è a carico del proprietario e/o gestore del sito web.

Ciò significa che dovrai essere in grado di dimostrare che l’utente ha dato il suo consenso al tuo sito web per l’impostazione dei cookie e dei tracker che raccolgono dati personali. La documentazione del consenso deve essere conservata in modo sicuro.

L’EDPB suggerisce, come best practice, di aggiornare i consensi ad intervalli regolari e appropriati.

Diritti dell’interessato

Infine, ricorda che i tuoi utenti godono di alcuni diritti garantiti dal GDPR, che devi rispettare in ogni momento per essere conforme.

Questi diritti sono:

  • Il diritto alla cancellazione dei dati personali raccolti e conservati, una volta revocato il consenso,
  • Il diritto di limitazione al trattamento dei dati,
  • Il diritto di rettifica dei dati,
  • Il diritto di accesso ai dati,
  • Il diritto alla portabilità dei dati.

Cookiebot e la conformità al GDPR

La piattaforma per la gestione del consenso di Cookiebot assicura il rispetto di tutti i requisiti di conformità al GDPR che il tuo sito web deve soddisfare quando utilizza cookie che trattano i dati personali di utenti situati nell’UE.

Cookiebot:

  • Esegue la scansione del sito web e individua tutti i cookie e tracker, inclusi i più nascosti cavalli di troia,
  • Li blocca tutti automaticamente fino a che l’utente non ne abbia espresso il consenso specifico e granulare,
  • Documenta e conserva in modo sicuro tutti i consensi ottenuti,
  • Rinnova automaticamente il consenso.

Per saperne di più sulla conformità al GDPR, leggi qui

Scopri le caratteristiche di Cookiebot

Visualizza i piani e i prezzi di Cookiebot

Fai il test gratuito di Cookiebot per la conformità al GDPR

Prova ora Cookiebot gratuitamente

FAQ

Cos’è l’EDPB?

Il Comitato europeo per la protezione dei dati (EDPB) è il più alto organo di vigilanza responsabile dell’applicazione e dell’attuazione del Regolamento generale sulla protezione dei dati (GDPR) nell’UE. L’EDPB è costituito da rappresentanti delle autorità di protezione dei dati di ogni paese membro dell’UE e ha la funzione principale di adottare linee guida generali e di prendere decisioni sulle corrette modalità di interpretazione e applicazione del GDPR.

Prova ora Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito web è di piccole dimensioni.

Cosa dicono le linee guida dell’EDPB?

Le linee guida dell’EDPB di maggio 2020 sul consenso valido chiariscono cosa si intende per consenso valido quando si fa affidamento sul consenso dell’utente per il trattamento dei dati personali, ad esempio attraverso l’uso di cookie e tracker sui siti web. Le linee guida dell’EDPB vietano l’uso dei cookie wall (consenso forzato) e specificano cosa devono fare i siti web per ottenere un valido consenso al trattamento dei dati personali.

Controlla la conformità del tuo sito web con il test di conformità al GDPR gratuito di Cookiebot.

Cos’è il consenso valido secondo l’EDPB?

Le linee guida dell’EDPB del 05/2020 chiariscono che il consenso valido deve essere libero, informato e specifico, in modo da essere un’indicazione inequivocabile della volontà dell’utente. Questo significa che il tuo sito web deve lasciare agli utenti una reale scelta in merito al consenso per tutti i diversi cookie e tracker, prima di poter procedere alla loro attivazione e al trattamento dei dati personali. Lo scorrimento e la continuazione della navigazione sui siti web non costituiscono un consenso valido, così come ai cookie banner non è permesso avere caselle preselezionate.

Per saperne di più sulla conformità al GDPR con Cookiebot, leggi qui.

Come posso rendere il mio sito internet conforme al GDPR?

In primo luogo, ti è necessario conoscere tutti i cookie e i tracker attivi sul tuo sito web, in modo da poter informare gli utenti sul loro tipo, scopo, durata e provider. In secondo luogo, devi bloccare tutti i cookie (ad eccezione di quelli necessari) fino a quando gli utenti non abbiano dato il loro consenso chiaro e affermativo indicando a cosa intendono permettere l’attivazione. In terzo luogo, ti occorrerà documentare tutti i consensi in modo sicuro e richiederne annualmente il rinnovo. Infine, devi fare in modo che l’utente possa revocare il suo consenso con la stessa facilità con cui lo ha inizialmente accordato.

Per saperne di più su GDPR e sul consenso ai cookie, leggi qui.

Risorse

Comitato europeo per la protezione dei dati (EDPB)

Linee guida EDPB 05/2020 sul consenso valido (in inglese)

Cos’è il GDPR?

GDPR e consenso ai cookie

Beyond the Front Page, uno studio del 2020 sui cookie e il tracciamento sui siti web (in inglese)

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.