Seleziona una pagina

Cookie e form di raccolta dati: quello che devi sapere per verificarne la conformità

Da Microteam | 5 Gennaio 2022

Hai un sito web o e-commerce? Sei una grande o piccola azienda, un commerciante o un libero professionista? Quale che sia la tua attività, il tuo sito web deve rispettare precise direttive in merito all’utilizzo dei cookie e dei form di raccolta dati.

In questo breve articolo proviamo a fare un po’ di chiarezza e a dare una traccia per verificare se il tuo sito è conforme alle principali normative sul tema.

Vedremo quali sono i principali elementi in gioco:

 

I cookie

I cookies tecnici (di navigazione o di sessione) garantiscono la normale navigazione e fruizione del sito web. Per il loro utilizzo non è richiesto alcun consenso da parte dell’interessato.

Il sito web non può funzionare correttamente senza questi cookie.

La durata del cookie è variabile in base alla funzionalità scelta dall’utente (generalmente scade con la sessione)

Per alcuni Garanti (fra cui quello italiano) possono rientrare in questa categoria anche i cookie analytics se anonimizzati e i cui dati vengano analizzati solo in forma aggregata.

 

Rientrano in questa casistica:

  • I cookies di prestazione raccolgono, in forma anonima e aggregata e al fine di migliorare il funzionamento del sito, informazioni sulle modalità di utilizzo e navigazione del sito, come, a titolo esemplificativo, le pagine visitate con maggiore frequenza e quelle che riportano messaggi di errore. Secondo l’interpretazione di alcuni Garanti esteri, rientrano in questa categoria anche i cookie analytics anonimizzati.
  • I cookies funzionali memorizzano le informazioni sulle scelte compiute dagli utenti, in modo da migliorare funzionalità e personalizzazione del sito in base alle necessità, attraverso funzionalità avanzate come, a titolo esemplificativo, la selezione automatica della lingua, la visione di video di piattaforme esterne (ad esempio, YouTube) e la condivisione e pubblicazione di contenuti sui social network.
  • I cookies di profilazione monitorano e profilano gli utenti nel corso della navigazione, studiando e memorizzando le loro opzioni e abitudini di navigazione sul sito e sul web in generale, nonché le abitudini di consumo, anche allo scopo di inviare pubblicità di servizi mirati e personalizzati.

Rientrano in questa categoria i cookie analytics non anonimizzati o con condivisione dei dati con altri servizi della terza parte

 

Come riportato precedentemente, i cookie di tipo tecnico, ovvero che sono indispensabili al funzionamento del sito, non necessitano del consenso dell’utente all’installazione pur rimanendo l’obbligo di citarne l’uso nell’informativa cookie. Per tutti gli altri tipi di cookie è necessario mostrare all’utente un banner che chieda l’autorizzazione all’uso e, fino a consenso ottenuto, è necessario bloccarne l’installazione.

Solitamente questa è una funzionalità aggiuntiva che si coordina con il cookie banner per stabilire se e quando installare una determinata tipologia di cookie.

È necessario accertarsi della corretta attivazione della funzionalità di blocco preventivo per evitare che, pur in presenza di un diniego da parte dell’utente, i cookie vengano comunque installati, rendendo il sito non conforme.

 

La Cookie policy è un documento scaricabile o una pagina web che ha lo scopo di spiegare all’utente nel dettaglio:

  • quali sono le tipologie di cookie installate dal sito web o ecommerce
  • chi sono i soggetti terzi che gestiscono cookie tramite il sito web o ecommerce (cookie terze parti)
  • quali sono le finalità di utilizzo dei cookie.

La Cookie policy deve essere predisposta in tutte le lingue in cui il tuo sito web è disponibile. Deve poter essere sempre raggiungibile durante la navigazione, quindi è utile mettere un link a questo documento nel footer del sito web, oltre che nel cookie banner stesso.

 

Viene mostrato al primo accesso al sito e a seguire finché l’utente non ha effettuato una scelta relativa all’accettazione o meno dei cookie.

Il Cookie banner:

  • Deve mostrare un’informativa breve sull’uso dei cookie e sulle relative finalità
  • Deve contenere un link all’informativa cookie con i dettagli di approfondimento
  • Deve fornire l’accesso a un pannello di preferenze che consenta all’utente di selezionare se e quali cookie accettare (quantomeno per categorie)
  • Deve contenere un comando per accettare tutti i cookie e uno per chiudere il banner senza prestare il consenso.

 

Le nuove linee guida del Garante Privacy richiedono esplicitamente di documentare le preferenze all’utilizzo dei cookie. Questo perché i cookie possono trattare dati personali, e valgono i requisiti sul registro dei consensi derivanti dal GDPR.

Perché il titolare del sito web possa dimostrare di aver ottenuto un consenso valido è pertanto necessario:

  • Raccogliere una prova del consenso
  • Tenerne traccia in un apposito Registro dei consensi

Il Registro dei consensi cookie deve includere tutte le informazioni utili a provare i consensi prestati, pertanto sono generalmente contemplati i seguenti dettagli, riferiti al momento in cui il consenso è stato prestato o negato:

  • Un riferimento univoco (token): tale informazione è memorizzata anche nel browser dell’utente, che dovrà fornirla per poter rintracciare i dettagli dei consensi cookie rilasciati;
  • Le tipologie di cookie per le quali è stato prestato o negato il consenso;
  • Un riferimento temporale che identifichi data e ora del rilascio dei consensi;
  • L’indirizzo IP dell’utente;
  • il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
  • un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.

I form web di raccolta dati

I form di raccolta dati personali

Un form di iscrizione alla newsletter, un form di contatto, un form di registrazione all’area riservata… sono solo alcuni esempi di modulo che rientrano nella categoria della “raccolta di dati”. Se tra i dati raccolti ci sono anche dati personali (considera che anche solo l’email è considerata dato personale) allora devono rispettare le prescrizioni imposte dal Regolamento UE 2016/679 (GDPR) al fine di tutelarne la proprietà e l’uso.

Il GDPR prevede che i dati personali siano trattati nell’osservanza dei suoi principi fondamentali: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

 

Il consenso al trattamento dati nei form: quando è obbligatorio e quando non lo è

Perché sia considerato lecito, il trattamento dei dati deve rientrare in uno dei casi previsti all’articolo 6 del GDPR.

Quando si trattano dati con finalità di marketing (anche l’invio di una newsletter lo è), è necessario aver acquisito il consenso al trattamento da parte dell’interessato.

Tale consenso deve essere informato, per una finalità specifica, libero, revocabile e documentabile (art. 5 del GDPR).

Per contro, se il form di raccolta dati è finalizzato a misure precontrattuali o contrattuali, o per adempiere a un obbligo legale, la raccolta del consenso non è prevista e il trattamento è comunque lecito.

La necessità di predisporre la raccolta del consenso nasce quindi dalla definizione dell’uso che verrà fatto dei dati e dall’interpretazione corretta del GDPR.

 

L’informativa privacy

L’art. 13 del GDPR “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato” stabilisce la necessità di predisporre un apposito documento che, con linguaggio comprensibile e senza dilungarsi fornisca le seguenti informazioni:

  • l’interessato (ovvero la persona fisica);
  • il titolare e l’eventuale responsabile del trattamento;
  • l’eventuale nominativo del DPO (Data Protection Officer);
  • la finalità del trattamento;
  • la base giuridica del trattamento,
  • la tipologia di dati raccolti;
  • se il trattamento comporta operazioni automatizzate (come la profilazione);
  • l’eventuale trasferimento a terzi dei dati;
  • le modalità di conservazione dei dati;
  • le tempistiche della conservazione;
  • l’eventuale trasferimento all’estero dei dati;
  • i diritti dei quali beneficia l’interessato.

 

Il registro consensi

Come già specificato, il consenso dell’interessato rappresenta una delle condizione di liceità del trattamento: non è necessario che sia prestato in forma scritta ma il Titolare deve poter provare che l’interessato ha prestato il consenso al trattamento dei propri dati personali.

Per agevolare il Titolare del trattamento nella gestione dei consensi raccolti, quali prove da esporre all’occorrenza alle autorità competenti, diventa utile (se non indispensabile nel caso in cui ci si trovi a dover gestire un numero significativo di consensi, revoche e variazioni) adottare un Registro dei Consensi.

Tale strumento conterrà:

  • L’indirizzo IP dell’interessato
  • Data e ora della raccolta (timestamp)
  • Indirizzo completo della pagina web dove la raccolta è stata effettuata
  • Il codice della form in essere al momento della raccolta
  • Il riferimento all’informativa privacy in vigore in quel momento
  • Eventuali altre informazioni necessarie a dimostrare la corretta raccolta del consenso e il successivo lecito utilizzo dei dati.

Una soluzione informatizzata di tale registro viene definita Consent Management Platform (CMP) o Consent Solution.

Riepilogando

I due schemi seguenti permettono di identificare velocemente quali requisiti il proprio sito deve rispettare per essere conforme alla Cookie law e alle principali leggi relative al trattamento dei dati personali.

 

COOKIE Blocco preventivo Informativa cookie Banner cookie Registro cookie
Nessun cookie        
Solo cookie tecnici   SI    
Cookie funzionalità semplici e/o di profilazione SI SI SI SI
Cookie non classificati SI SI SI SI

 

FORM RACCOLTA DATI Casella consenso Informativa privacy Registro consensi
Nessun dato personale      
Dati personali con finalità precontrattuali e/o contrattuali o per fornire un servizio richiesto   SI SI
Dati personali con altre finalità (es. marketing, newsletter, …) SI SI SI

 

Microteam aiuta aziende, professionisti e commercianti che trattano dati personali a farlo in conformità alle principali normative nazionali ed estere.

Se desideri saperne di più, ecco alcuni approfondimenti:

> Cookie web conformi alla cookie law

> Form di raccolta dati personali conformi al GDPR

> Conformità al GDPR dei trattamenti dati effettuati nella tua attività

Se hai trovato interessante questo articolo, condividilo con la tua rete di contatti.