Il 10 giugno 2021 è uscito il provvedimento privacy n.231 del Garante Privacy dove vengono spiegate le “Linee guida cookie e altri strumenti di tracciamento”.
Dall’uscita del GDPR, il 25 maggio 2018, non era ancora chiaro cosa ne sarebbe stato dei cookie, regolati dalla direttiva e-Privacy del 2002 e dal successivo aggiornamento del 2014. Con questo nuovo documento il Garante cerca di fare chiarezza andando a integrare il vecchio ordinamento con il Regolamento Europeo.
In quest’articolo ti mostrerò tutte le novità più importanti e tutto quello che dovrai fare per adeguarti al provvedimento privacy 2021.
Se non l’avessi già fatto ti consiglio prima di leggere anche questa guida, così da avere tutte le informazioni per adeguare al 100% il tuo sito web.
-> GDPR e siti web: la guida definitiva per adeguare il tuo sito wordpress
Indice dei contenuti [Nascondi/Mostra]
Il Consenso Utente
Già dalle prime pagine del provvedimento appare chiaro la volontà per cui è stato scritto: dare un maggior controllo agli utenti sui propri dati forniti sul web. Tale consenso deve essere infatti libero, specifico, informato e inequivocabile.
Ricordati bene questi termini perché dal 10 giugno (ma anche prima già dal 2018 in realtà) ogni applicazione digitale, che sia un app o un sito web, deve essere progettata per i concetti di privacy by design e privacy by default rispettando questi principi.
Ecco quindi che il consenso utente dovrà essere:
- libero e non guidato dal proprietario del sito (ossia le spunte ai cookie non dovranno essere già accettate);
- specifico, ossia l’utente deve poter scegliere quale tipologia di cookie accettare
- informato, per cui ci dovrà sempre essere un’informativa breve e una estesa, questa linkata nel footer del sito
- inequivocabile, quindi l’azione di accettazione deve essere certa e non dubbia (come può accadere per lo scroll)
Classificazione dei cookie
Il nuovo provvedimento privacy 2021 vuole mettere l’accento sul fatto che ormai non esistono solo i Cookie per ottenere i dati degli utenti, ma anche altri metodi di tracciamento, definiti passivi.
Infatti se i primi salvano informazioni nei dispositivi degli utenti, che in modo attivo possono cancellarli in qualsiasi momento, i secondi invece inviano informazioni al Titolare e gli utenti non possono intervenire se non inviando una richiesta diretta.
Sia i cookie che gli altri strumenti di tracciamento vengono quindi catalogati in questo modo:
- Cookie tecnici: sono informazioni salvate sul pc utente dal sito per farlo funzionare correttamente. Un esempio solo quelli che permettono di ricordare la lingua scelta in un sito e i prodotti inseriti nel carrello.
- Cookie di profilazione, salvano tutte quelle informazioni dell’utente mirate alla sua segmentazione e al suo inserimento in cluster omogenei che verranno poi utilizzati per l’invio di messaggi promozionali e pubblicitari. Di questi fanno parte quindi i cookie salvati dal pixel fi Facebook, Adsense, Analytics ecc…
A volte alcuni siti scrivono che utilizzano cookie statistici, ma questo è solo un modo per definire meglio i cookie utilizzati, poiché anche questi rientrano nella categoria di profilazione.
Per i cookie tecnici dovrai semplicemente inserire un’informativa estesa all’interno del sito, mentre per quelli di profilazione hai l’obbligo di ottenere il consenso degli utenti.
Ciò significa che non puoi attivare il pixel di Facebook, mostrare gli annunci di Adsense, monitorare le visite con Google Analytics o utilizzare altri strumenti di tracciamento se prima l’utente non abbia accettato.
Quindi, come invece accadeva per altri tipi di trattamento, per il salvataggio dei cookie il Garante chiarisce che non è possibile invocare il legittimo interesse del Titolare per giustificare il ricorso a strumenti di profilazione.
Modalità di acquisizione del consenso
Sulle modalità di acquisizione, il Garante pone particolare attenzione a due casi: lo scrolling e il cookie wall.
Il primo caso viene tutt’ora utilizzato da molti siti, in cui il banner dei cookie scompare appena l’utente scorre nella pagina con la conseguente accettazione totale.
Questa pratica è ormai illecita, perché il consenso dell’utente deve essere inequivocabile e non può essere dato per scontato.
Il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso “in nessuna circostanza”
Provvedimento Privacy n.231 del 10 giugno 2021
Anche la pratica del cookie wall è da considerata errata. Questa prevede un messaggio che blocca l’intero accesso al sito a meno che non vengano accettati tutti i cookie.
Poiché il consenso deve essere libero questa tecnica viene rigettata dal Garante e considerata illecita.
Al massimo si può aggiungere un cookie wall che blocca il sito al primo accesso, ma che poi faccia continuare la navigazione anche se i cookie di profilazione non vengono accettati.
Sempre per il motivo del consenso libero è considerata scorretta anche la tecnica della reiterazione del banner, ossia mostrarlo ad ogni accesso o con una certa frequenza cercando così di far cambiare idea all’utente che non aveva accettato.
In tal senso, il banner può essere riproposto solo quando ci troviamo in uno di questi casi:
- quando mutano le condizioni del sito, per esempio si aggiunge un nuovo tracciamento per cui è necessario il consenso utente
- quando è impossibile per il gestore del sito valutare se l’utente abbia precedentemente accettano o meno (per esempio se questo cancella i cookie dal suo pc)
- quando sono passati almeno 6 mesi dalla precedente presentazione del banner
Il Banner dei Cookie
Il proporre il classico banner dei cookie viene ancora una volta confermato come uno dei metodi più validi per ottenere il consenso.
Tuttavia, seguendo le norme del Regolamento GDPR, il provvedimento privacy 2021 sottolinea alcune caratteristiche che esso deve avere:
- Al momento della comparsa del banner non devono essere installati nessun tipo di cookie, se non quelli tecnici
- Il banner deve essere ben visibile all’interno del sito
- Il banner deve contenere un bottone o un elemento per la sua chiusura, come una X o un tasto Rifiuta. In questo caso verranno installati solo i cookie tecnici.
- Deve contenere un pulsante per il consenso positivo, per l’accettazione quindi dei cookie di profilazione
- Contenere un’informativa breve in cui si spiega se vengono utilizzati cookie di profilazione e che premendo il tasto di rifiuto o la X di chiusura verranno installati solo quelli tecnici
- Contenere un link per leggere l’informativa estesa.
- Un ulteriore link per aprire un’area dedicata alla selezione analitica di ogni singolo cookie installabile (passivi, terze parti, statistici ecc…)
In quest’ultimo caso, quando esistono più categorie di cookie, il consenso deve essere preimpostato sul diniego e solo l’utente potrà decidere diversamente.
Tuttavia il provvedimento conferma ancora una volta, che nell’eventualità di soli cookie tecnici non è necessario inserire il banner.
Infine, gli utenti dovranno essere posti in condizione da cambiare il loro consenso (sia che esso sia positivo o negativo) in modo semplice e in qualsiasi momento. Ciò si traduce nell’aggiunta di un link nel footer per modificare la selezione dei cookie fatta precedentemente.
Google Analytics
Per quanto riguarda l’utilizzo di Google Analytics e il GDPR non è cambiato poi molto.
Nel provvedimento, il Garante conferma che l’utilizzo di questo strumento fa considerato come un cookie di profilazione a meno che non venga attuato un processo di minimizzazione dei dati: ossia rendere anonimo l’indirizzo P dell’utente.
In questo caso andrà considerato come un cookie tecnico e non servirà fare altro.
Ho già scritto un articolo su come fare per rendere anonimo l’IP tramite Google Analytics.
Tempo limite per adeguarsi e prova documentale
L’ultimo provvedimento privacy 2021 sull’utilizzo dei cookie si conclude con la definizione di 6 mesi come tempo limite per effettuare l’adeguamento.
Ma tutti i cookie registrati fino a questo momento sono considerati validi?
La risposta del Garante è si, a meno che
al momento della loro acquisizione, siano stati registrati e siano dunque debitamente documentabili
Provvedimento Privacy n.231 del 10 giugno 2021
Quest’ultima frase è quella che ha fatto discutere più di tutti.
Da qui infatti non si capisce cosa il Garante intende per registrazione e documentazione.
In generale l’interpretazione più diffusa, che sento di appoggiare anche io, intende per registrazione il salvataggio del consenso sul pc utente e per documentazione la capacità del proprietario del sito di dimostrare come sta trattando i dati e di rispettare appieno la normativa. Di conseguenza non viene richiesto nessun registro di cookie con i consensi.
D’altro canto, altre società, come Iubenda hanno interpretato la frase con l’obbligo della tenuta di un registro dei consensi, in cui viene salvato l’IP dell’utente e il consenso prestato.
Sinceramente non mi sento di appoggiare questo punto di vista, poiché il salvataggio dell’indirizzo IP è a sua volta un trattamento di dati, come per Analytics e quindi dovrebbe essere preventivamente accettato dall’utente. Ma come faccio a salvare il consenso sul registro se prima l’utente mi deve dare il consenso?
Comunque sia, se vuoi dargli uno sguardo, il servizio in questione si chiama Cookie Solution.
Riepilogo di tutte le novità
Prima di vedere nel pratico come adeguare un sito web alla nuova legge privacy 2021, cerchiamo di fare un riepilogo di quanto si è detto.
In realtà di novità ce ne sono poche, poiché il Garante ha semplicemente voluto chiarire qualche punto avvicinando la normativa cookie a quella del GDPR.
Ecco cosa è stato scritto:
- il consenso dell’utente deve essere libero, specifico, informato e inequivocabile
- i cookie si dividono in tecnici e di profilazione. Per i primi non è necessario il banner ma solo l’informativa, per i secondi andrà invece richiesto il consenso esplicito dell’utente
- Le pratiche dello scrolling e del cookie wall sono considerate illecite
- Il banner dei cookie deve essere ben visibile, contenere un’informativa breve e un link a quella estesa, un bottone per il rifiuto e uno per accettare tutti i cookie e contenere un link per accedere alla selezione specifica di ogni tipologia di cookie. Può essere riproposto o ogni 6 mesi o ogni qual volta viene aggiunto un nuovo trattamento.
- Google Anlytics viene considerato cookie tecnico se viene anonimizzato l’indirizzo IP dell’utente
- Tutti i consensi vanno registrati e documentati, anche se sembra non essere obbligatorio la tenuta di un registro dei cookie.
Adeguare il sito al nuovo provvedimento
Tutto quello scritto fin ora si traduce in due singole operazioni da operare sul sito: adeguamento del banner cookie e la modifica dell’informativa privacy.
Adeguamento del banner cookie
Per questo scopo ti consiglio unno dei migliori plugin per la gestione dei Cookie: si chiama GDPR Cookie Consent.
Una volta installato e attivato dirigiti sulle impostazioni cliccando su GDPR Cookie Consent > Impostazioni.
Sulle Impostazioni generali assicurati di aver selezionato GDPR come tipo di legge e NO per nascondere la barra dei cookie dopo un tempo preimpostato e quando l’utente scorre la pagina.
Infatti vogliamo che il consenso sia libero e abilitare queste due opzioni va contro quanto scritto nella normativa.
Stesso discorso vale per la voce Altro.
Ora clicca su Personalizza la barra dei Cookie.
In questa sezione la parte più importante è quella del messaggio. Qui dovrai dichiarare se utilizzi cookie di profilazione e spiegare che l’utente può accettare o rifiutare questi cookie.
Il box accetta sia tag html che shortcode, quindi se molto libero nella scrittura. Guarda l’immagine per avere una bozza di testo.
Le altre opzioni sono a tuo piacimento, poichè si riferiscono all’aspetto grafico da dare al banner.
Attenzione! all’interno del messaggio assicurati di utilizzare questi due shortcode
[cookie_accept_all] [cookie_reject]Il primo serve per mostrare il bottone che fa accettare tutti i cookie, il secondo il tasto di Rifuto, proprio come viene richiesto dal documento del Garante Privacy.
Un’opzione molto importante da abilitare che non è attiva di default è quella nella sezione Rivedi il consenso e fa riferimento al widget per modificare il consenso una volta che l’utente ha fatto la sua scelta.
Infatti, come ti ho spiegato sopra, il provvedimento privacy 2021 prevede che l’utente possa in qualsiasi momento e in modo semplice cambiare la sua scelta.
Quindi spunta la voce “Abilita il widget per rivedere il consenso” e poi personalizzalo come ti piace.
Abbiamo finito! Se vuoi, puoi continuare a modificare il banner cambiando le impostazioni dei pulsanti.
Inoltre questo plugin possiede anche una versione Premium, che ti permette di avere quel famoso log dei registri dei consensi, ma a differenza di Iubenda rende l’IP anonimo oscurando le ultime 3 cifre dell’indirizzo, proprio come previsto dal regolamento.
Anche il costo è apprezzabile, solo 49 dollari l’anno. Un prezzo ragionevole (come direbbe qualcuno nella Grande Mela).
Visita GDPR Cookie consent.
Organizzare le tipologie di Cookie
Come ti ho già spiegato sopra, la legge sui cookie prevede che questi siano divisi in categorie e che l’utente possa accettarle una ad una.
Possiamo fare questa cosa sempre grazie al plugin GDPR Cookie Consent. Questa volta andiamo sulla voce di menu Categoria di Cookie.
Queste vengono già create in modo automatico, ma potrai modificarle o aggiungerne di nuove.
Tra quelle disponibili abbiamo:
- Advertisement, qui rientrano tutti i cookie installati dal pixel di Facebook, Google Ads, Adsense e simili
- Analytics, come i cookie di Google Analytics (se non rendi l’IP anonimo)
- Functional, come i cookie dei plugin di sharing, YouTube, Vimeo e software di terze parti
- Necessary, sono essenzialmente i cookie tecnici
- Others, tutti quelli che non rientrano nelle altre categorie
- Performance, cookie installati da programmi di tracciamento come HotJar o SmartLook e simili.
Quello che ti consiglio è di modificare quelle già esistenti, intanto traducendo la descrizione dall’inglese all’italiano e dividere i cookie in Tecnici, Statistici, Profilazione e Funzionali.
In genere queste sono le categorie di cookie più diffuse, poi ovviamente dipende dal tuo sito in particolare.
La funzione più bella di questo plugin è che ti permette, per ogni categoria, di inserire i vari script che dovranno essere abilitati al momento del consenso.
Cliccando su Modifica, in relazione ad una categoria, vedrai questa schermata.
Come stato predefinito lascia Disabilitato. Infatti ricorda che il provvedimento privacy prevede che di base tutti i cookie diversi da quelli tecnici debbano essere attivati solo ed esclusivamente dall’utente.
Poi nei campi “Script dell’Head” e “Script del Body” potrai inserire tutti quegli script da abilitare dopo il consenso.
Qui per esempio andranno i codice di Analytics, Facebook, Google Ads, Adsense ecc…
In questo modo se l’utente rifiuterà il consenso non verrà tracciato, mentre se accetterà gli script funzioneranno correttamente, proprio come previsto dal GDPR e dalle legge sui Cookie.
Modifica dell’informativa privacy
L’ultima cosa da fare per completare il tuo adeguamento privacy è quello di aggiornare l’informativa con le nuove direttive.
Intanto ti ricordo che questa deve essere inserita in una pagina del tuo sito (o in una pagina esterna se utilizzi Iubenda) e deve essere linkata dal footer, perché presente in tutte le pagine, da ogni form di contatto e dal banner dei cookie.
Secondo il GDPR e il provvedimento sui cookie questa deve quindi contenere:
- Indicazioni riguardo chi è il Titolare del Trattamento
- Tutti i trattamenti effettuati (attività di advertising, profilazione, marketing, newsletter ecc…)
- Elenco dei cookie inseriti dal sito
- Tempo di conservazione degli stessi
- Identità delle persone e/o società che possono visualizzare questi dati
- Metodi per esercitare i diritti degli utenti
Per quanto riguarda l’elenco dei cookie del sito, il plugin GDPR Cookie Consent ci viene nuovamente in soccorso.
Infatti andando sulla voce di menu “Scansione Cookie” ti basterà cliccare sul pulsante blu Scansione il sito web e inserire la tua email.
Verrà creato in modo automatico un account gratuito sul sito di CookieYes che ti permetterà poi di gestire e monitorare i vari cookie.
Ora controlla l’email per verificare il tuo account.
Una volta fatto questo ritorna nella pagina di backend del plugin e clicca nuovamente il pulsante blu per avviare la scansione.
Dopo un po’ di tempo, circa una decina di minuti, ti verrà mostrato l’elenco di tutti i cookie che il plugin ha trovato nel sito. Ti basterà copiare questo elenco e aggiungerlo alla tua informativa privacy.
Privacy GDPR e Cookie vs Marketing
Quanto hai appena letto è tutto quello che devi conoscere per adeguare il tuo sito al provvedimento privacy del 10 giugno 2021.
Tuttavia una cosa risulta molto chiara: il lavoro dei marketer diventerà sempre più difficile.
Se da un lato è giusto tutelare gli utenti, i loro diritti e regolamentare i dati trattati nel web, dall’altro c’è da considerare che il più delle volte il banner cookie è visto solo come un “fastidio” che interrompe la lettura di un articolo o di una pagina web.
Per questo motivo, l’utente medio va alla ricerca del modo più veloce per chiuderlo cliccando generalmente su rifiuta. Questo semplice click per l’azienda può portare a un calo drastico delle entrate, per non parlare di tutte le statistiche sballate che fa diventare ogni strategia di marketing inefficace.
Pensa a tutti quei siti la cui maggiore entrata sono i ritorni dalle pubblicità di Adsense. Se la maggior parte degli utenti clicca su Rifiuto, anche semplicemente per sbaglio, le pubblicità non verranno erogate e il sito non guadagnerà.
Inoltre per ripresentare il banner e chiedere nuovamente il consenso è stato fissato un tempo minimo di 6 mesi, quindi il sito in questione non potrà mostrare le sue pubblicità per davvero tanto tempo.
Cosa fare dunque?
Sicuramente bisogna rispettare le regole presenti nella normativa privacy, anche perché altrimenti si rischiano pesanti sanzioni. Ciò nonostante si possono adottare alcune accortezze per cercare di ridurre di poco il tasso di rifiuto.
Per esempio si potrebbero utilizzare stili diversi per il bottone di consenso e quello di rifiuto.
Il provvedimento accenna a una certa uniformità sui colori di questi bottoni, ma tuttavia non definisce ancora alcuna regola, perciò questa pratica è da considerarsi ancora valida.
Cercando in rete ho trovato le FAQ sul sito del garante della protezione dei dati personali, in cui alla domanda “In che modo può essere documentata l’acquisizione del consenso effettuata tramite l’uso del banner?” viene risposto “Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso, come pure di altre modalità che consentano di tenere sempre aggiornata la documentazione delle scelte dell’interessato.” [https://www.gpdp.it/faq/cookie]
Quindi direi che in effetti l’interpretazione che appoggi sia corretta…
Ciao, grazie per l’articolo davvero interessante ed utile. Volevo chiederti un consiglio sul log dei registri dei consensi; ho la versione premium e funziona bene, però potrebbe presentarsi il problema che tenere tutti i dati sul sito lo appesantisca e sfrutti troppe risorse, specialmente con molte visite. Grazie mille, un saluto.
Scusa era una domanda, ho scritto male…
potrebbe presentarsi il problema che tenere tutti i dati sul sito lo appesantisca e sfrutti troppe risorse, specialmente con molte visite?
Grazie mille, un saluto.
Ciao Luca,
non penso che sia un problema, questi genere di dati occupano davvero poco spazio e per dare problemi di rallentamento al sito dovresti avere migliaia e migliaia di record. Tuttavia ci dovrebbe essere l’opzione per scaricare i dati (non ne sono sicuro); in questo caso una volta all’anno potresti scaricarli e archiviarli in un posto sicuro nel pc e intanto cancellarli da wordpress… ma questo solo se ottieni davvero tante visite.
A presto
Ciao Francesco, grazie per la risposta. Effettivamente questa cosa mi preoccupa; in linea di massima su sito dovrei ricevere circa 8000 visite mensili guardando Analytics , però magari sbaglio qualcosa io nel calcolo per ignoranza. Mi spiacerebbe ci fosse questo problema perchè per il resto è fatto davvero bene. Grazie ancora per i consigli, un saluto.
Ciao, avrei due domande:
1) il plugin blocca automaticamente analytics fino a che non viene accettato il cookie o deve essere impostato qualcosa?
2) come hai fatto ad impostare i cookie tecnici come “non rifiutabili”? Non trovo l’opzione.
Grazie
Ciao Jacopo, allora:
1- il plugin lo blocca in modo automatico ma per far si che funzioni lo script di analytics deve essere inserito all’interno delle impostazioni del plugin (vedi il capitoletto “Organizzare le tipologie di Cookie”) e non direttamente nell’head del sito
2- il plugin ti crea in automatico una categoria chiamata cookie tecnici o Necessary (la trovi sotto la voce Categoria dei Cookie). Per specificare invece quali sono questi cookie devi andare sulla voce Elenco dei Cookie
Ciao Francesco e grazie per le risposte.
CookieYes sembra molto interessante, adesso sto provando anche Complianz free su alcuni siti.
Secondo te, un sito con analytics anonimizzato, contact form, niente pixel o ads, video embeddati da youtube, privacy e cookie policy fatta con Iubenda ed uno di questi due plugin, può stare tranquillo?
Saluti,
Jacopo
Ciao Jacopo,
si assolutamente. Assicurati di inserire il check per la privacy nel form contatti e i link all’informativa sul footer e sei a posto!
Ciao, grazie per il tuo articolo. A proposito dell’argomento, per i siti web che utilizzano solo cookie tecnici e di terze parti (come embed youtube e maps di google) è sufficiente secondo te la versione gratuita del plugin che descrivi? In questo caso infatti, da quanto mi sembra di capire leggendo le FAQ del garante non è prevista la documentazione del consenso o l’uso di registri.
Il garante infatti afferma: “Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso riguardano le terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.”
Inoltre, sempre per siti con cookie tecnici e di terze parti, la cookie solution di Iubenda (con il solo blocco dei cookie e senza attivazione registro) rimane secondo te una soluzione valida?
Grazie.
Enrico M.
Ciao Enrico la versione gratuita del plugin va benissimo anche se si hanno cookie di profilazione, quindi se hai solo cookie tecnici vai tranquillo.
Iubenda rimane un servizio valido anche se i prezzi secondo me non sono concorrenziali adesso. Inoltre questo plugin fa esattamente la stessa cosa, tranne che tenere il registro.
Ma in realtà sono dell’opinione che il registro non serva: nel regolamento non c’è scritto da nessuna parte, semplicemente è stata data un’interpretazione della parola “registrare”, che in questo caso significa l’atto di memorizzare il consenso dato dall’Utente ma non di creare un vero e proprio database dei consensi.
Ok grazie per la tua pronta risposta.
Un saluto