Controllo dei cookie – Maggiore controllo dei cookie in EU e USA

Cookie control is tightened in UK and US

Aggiornato in data 23 giugno 2020.

Gli sforzi per disciplinare la sorveglianza online e proteggere la privacy digitale si sono concretizzati nell’UE con il Regolamento generale sulla protezione dei dati (GDPR), e negli Stati Uniti con il California Consumer Privacy Act (CCPA).

In questo blogpost diamo un’occhiata al controllo dei cookie nell’UE e negli USA, comprese le linee guida dell’EDPB per il consenso valido nell’UE, i browser web più rispettosi della privacy e le piattaforme di gestione del consenso.

Nell’UE, l’uso di cookie e tracker sui siti web è disciplinato dal Regolamento generale sulla protezione dei dati (GDPR), che si applica in tutti gli stati membri dell’Unione Europea.

Il GDPR regola il trattamento dei dati personali delle persone all’interno dell’UE; la maggior parte dei cookie, oggi, raccoglie dati personali degli utenti, quando questi visitano i siti web.

Il GDPR prescrive ai siti web di ottenere il consenso dell’utente prima di attivare i cookie che elaborano i dati personali.

I siti web non sono autorizzati ad attivare i cookie e i tracker che processano i dati personali, a meno che l’utente non vi abbia preventivamente acconsentito; l’unica eccezione è costituita dai cookie che possono essere considerati strettamente necessari per le funzionalità di base del sito web.

Cookie control in EU through the GDPR and Cookiebot. — Il controllo dei cookie nell’UE con il Regolamento generale sulla protezione dei dati (GDPR)

Con dati personali si intende qualsiasi genere di informazioni direttamente o indirettamente riconducibili a una persona vivente, rendendo così possibile l’identificazione di un utente.

Nella definizione sono inclusi, tra le altre cose, nomi, indirizzi e-mail, numeri di previdenza sociale, ma anche indirizzi IP, specifiche del browser, cronologia delle ricerche e ID univoci, impostati dalla maggior parte dei cookie sul browser dell’utente in seguito a una sua visita al sito web.

Se il tuo sito web ha visitatori provenienti dall’UE e utilizzi cookie che trattano i dati personali, devi:

Richiedere il consenso prima di attivare i cookie e i tracker che trattano dati personali,
Permettere agli utenti di prestare un consenso chiaro ed esplicito al trattamento dei loro dati personali,
Assicurarti che i consensi degli utenti siano specifici, ovvero che gli utenti possano accettare alcuni cookie e rifiutarne altri,
Informare gli utenti su come utilizzi i cookie e sulle finalità per cui il tuo sito web tratta i dati personali,
Documentare tutti i consensi ottenuti,
Rinnovare i consensi almeno una volta all’anno.

Il tuo sito web è conforme al GDPR? Verificalo gratuitamente con il test di conformità di Cookiebot.

Per saperne di più sul GDPR e sul consenso ai cookie, leggi qui.

Le linee guida dell’EDPB sul consenso valido

Il Comitato europeo per la protezione dei dati (EDPB) è il principale organo di controllo del GDPR nell’UE, che periodicamente adotta linee guida ed emette decisioni sulle modalità di applicazione del GDPR da parte delle autorità nazionali per la protezione dei dati di ogni paese membro dell’UE.

Il 4 maggio 2020 l’EDPB ha adottato delle linee guida sul consenso valido che definiscono molto chiaramente ciò che costituisce un consenso al trattamento dei dati personali sui siti web conforme al GDPR… e ciò che invece non è a norma.

Le linee guida dell’EDPB chiariscono che:

Il consenso deve essere un’indicazione libera, specifica, consapevole e inequivocabile della volontà dell’utente, ovvero un’azione chiara e affermativa da parte dell’utente che deve avere luogo prima che l’attivazione dei cookie sia consentita sul tuo sito web,
Le caselle preselezionate sui cookie banner non sono consentite, vale a dire che i cookie devono essere già deselezionati per default nel momento in cui gli utenti arrivano sul tuo sito web,
Lo scorrimento e la continuazione della navigazione sul sito web (consenso implicito) non costituiscono un valido consenso: gli utenti devono selezionare e abilitare attivamente i cookie tramite un cookie banner, prima che il tuo sito web sia autorizzato a trattare i loro dati personali,
I cookie wall (cioè rendere il consenso dell’utente una condizione necessaria per l’accesso al tuo dominio) non costituiscono un consenso valido, in quanto il consenso dell’utente deve essere espresso liberamente e in modo specifico per ciascuna delle diverse finalità di trattamento.

Per saperne di più sulle linee guida dell’EDPB sul consenso valido, leggi qui.

Non sei sicuro che il tuo sito web sia conforme al GDPR? Verificalo con il test di conformità gratuito di Cookiebot.

Prova gratuitamente Cookiebot per 30 giorni… o per sempre se il tuo sito web è di piccole dimensioni.

Cookiebot è una piattaforma di gestione del consenso che rende il tuo sito web conforme al GDPR, al CCPA e ad altre leggi sulla protezione dei dati in tutto il mondo.

Cookiebot opera rilevando tutti i cookie e i tracker in funzione sul tuo dominio, grazie alla nostra impareggiabile tecnologia di scansione che trova anche i più nascosti cavalli di Troia di terze parti.

Controllo dei cookie specifico con la piattaforma di gestione del consenso (CMP) di Cookiebot.

Cookiebot blocca automaticamente tutti i cookie e il trattamento dei dati personali sul tuo dominio fino a quando gli utenti non abbiano prestato il loro consenso specifico ai tracker che intendono attivare – assicurando così che il tuo sito web soddisfi pienamente i requisiti del GDPR sul consenso preventivo.

Cookiebot offre anche la piena conformità al CCPA per i siti web.

Prova Cookiebot gratuitamente per 30 giorni… o per sempre se il tuo sito web non è troppo grande.

Per saperne di più sul GDPR e il consenso dei cookie, leggi qui.

Per saperne di più sulla conformità al CCPA, leggi qui.

Negli Stati Uniti, l’uso dei cookie e il trattamento dei dati personali non sono regolamentati a livello federale, come invece avviene nell’UE con il GDPR.

Al contrario, alcuni stati federati hanno un proprio insieme di leggi che disciplinano la raccolta di informazioni personali e la privacy digitale, mentre altri stati non prevedono una vera e propria protezione per gli utenti.

Il principale atto legislativo statunitense che comprende il controllo dei cookie è il California Consumer Privacy Act (CCPA), entrato in vigore nel mese di gennaio 2020.

Cookie control in the US with CCPA. — Il controllo dei cookie negli USA con il California Consumer Privacy Act (CCPA).

Il CCPA garantisce ai consumatori il diritto di richiedere la comunicazione delle categorie e delle specifiche informazioni personali che una società ha raccolto su di loro. Concede inoltre ai consumatori il diritto di richiederne la cancellazione, nonché di opporsi alla vendita dei loro dati a terze parti.

Il CCPA prescrive che gli utenti siano informati su quali cookie sono in funzione su un sito, su che tipologie di informazioni personali raccolgono e con quali finalità.

Il CCPA stabilisce inoltre che i siti web informino gli utenti in merito alle terze parti con cui condividono le loro informazioni personali.

Per saperne di più sul California Consumer Privacy Act (CCPA), leggi qui.

Per saperne di più sulla conformità al CCPA con Cookiebot, leggi qui.

Il Regno Unito ha lasciato l’Unione Europea nel gennaio 2020, ed entro la fine di quest’anno non sarà più soggetto al Regolamento generale sulla protezione dei dati personali dell’UE.

Tuttavia, il Regno Unito ha adottato nuove leggi sulla protezione dei dati che rispecchiano il GDPR e che garantiranno un equivalente regime di protezione dei dati.

Per saperne di più su Brexit e sul controllo dei cookie nel Regno Unito, leggi qui.

L’Information Commissioner’s Office (ICO) è la principale autorità per la protezione dei dati nel Regno Unito, responsabile dell’applicazione e del controllo delle leggi sulla protezione dei dati del paese.

Le leggi britanniche sulla protezione dei dati dopo la Brexit sono l’UK-GDPR e il Data Protection Act del 2018.

Nell’estate del 2019 l’ICO ha aggiornato le sue linee guida per l’utilizzo dei cookie e dei tracker, imponendo un controllo dei cookie molto più rigoroso nel Regno Unito.

Quando si parla della gestione dei cookie di un sito web, il consenso implicito come lo conosciamo oggi – il soft opt-in che permette ai siti web di considerare come consenso la continuazione della navigazione da parte degli utenti – non soddisfa i requisiti per un consenso valido, secondo quanto stabilito dall’ICO.

Cookie control in the UK with UK-GDPR and Data Protection Act — Il controllo dei cookie nel Regno Unito con l’UK-GDPR e il Data Protection Act del 2018.

Al contrario, gli utenti devono dare il loro consenso affermativo a tutto ciò che non corrisponde a cookie necessari (essendo ovvero elementi non essenziali, come li chiama ICO) ed è responsabilità legale dei siti web avere un sistema di gestione dei cookie che permetta ai propri utenti di esprimere un consenso di questo tipo.

Secondo le nuove linee guida dell’ICO, le caselle preselezionate (o cose simili) possono legalmente essere utilizzate soltanto per quanto riguarda i cookie necessari.

Ciò significa che i cookie di preferenza, statistici e di marketing devono rispettare le stesse regole: perché il consenso possa essere considerato valido, devono rimanere tutti deselezionati e richiedere un opt-in affermativo.

In altri termini, adesso gli utenti devono poter scegliere di spuntare le caselle dei cookie di preferenza, statistici e di marketing, affinché queste categorie di cookie possano essere attivate.

Le linee guida dell’ICO precisano che:

Gli utenti devono adottare un’azione chiara ed affermativa per acconsentire ai cookie non essenziali,
I siti web e le app devono indicare chiaramente agli utenti quali cookie verranno impostati e cosa faranno – compresi quelli di terze parti,
Le caselle preselezionate o soluzioni equivalenti, come i cursori impostati su “on”, non possono essere utilizzate per i cookie non essenziali,
Gli utenti devono avere il controllo di tutti i cookie non essenziali,
I cookie non essenziali non possono essere impostati sulle landing page prima di ottenere il consenso dell’utente.

Documentati sulle linee guida aggiornate dell’ICO sui cookie.

L’autodifesa digitale è una delle opzioni che molte persone scelgono in preda all’esasperazione quando vengono a conoscenza della triste verità sull’attuale sconfortante condizione della privacy su internet.

Questo genere di autodifesa digitale è essenzialmente una versione di protezione della privacy in cui ognuno deve cavarsela da solo, scaricando il browser giusto che provvede a bloccare automaticamente i cookie.

I browser che rispettano la privacy, come Epic, Brave o Firefox, propongono il controllo dei cookie attraverso un sistema di blocco dei cookie generico e trasversale che blocca tutti i cookie, anche quelli necessari e innocui.

Il lato negativo è che spesso hanno effetti negativi sul funzionamento dei siti web, perché bloccano i cookie che supportano le funzionalità di base dei vari domìni. Questo blocco completo dei cookie è la modalità predefinita sia di Epic che di Brave, mentre Firefox utilizza un elenco di tracker realizzato da Disconnect per determinare quali cookie bloccare.

3 browsers.PNG — I browser rispettosi della privacy possono essere una valida soluzione, ma presentano anche alcuni lati negativi.

Questa autodifesa digitale non è praticabile come soluzione definitiva ai problemi di privacy del capitalismo della sorveglianza, dal momento che la maggior parte delle persone non ha il tempo o le competenze tecniche per navigare nel vasto mercato di strumenti di privacy, browser, VPN e ad-blocker.

Ma c’è anche un altro modo di proteggere la privacy sulle nostre infrastrutture digitali…

Il controllo dei cookie attraverso un sistema di gestione dei cookie come Cookiebot è una tecnologia che noi – ovviamente – sosteniamo in pieno, ritenendola parte essenziale di una soluzione sostenibile per la protezione della privacy.

L’utilizzo di una soluzione di consenso specifica per ogni sito web (implementata attraverso il cloud e integrata direttamente sul dominio) non solo evita il malfunzionamento dei siti web, dando loro la possibilità di distinguere tra le diverse categorie di cookie, ma ha anche le caratteristiche per essere del tutto conforme al GDPR e al CCPA.

La piattaforma di gestione del consenso di Cookiebot rende il tuo sito pienamente conforme al Regolamento generale sulla protezione dei dati (GDPR) e al California Consumer Privacy Act (CCPA).

Un proprietario di un sito web interessato al controllo dei cookie può utilizzare Cookiebot per:

far scansionare i suoi domini alla ricerca di tutti i cookie e tracker analoghi,
abilitare il consenso preventivo degli utenti attraverso un cookie personalizzabile,
procurarsi una dichiarazione dei cookie,
disporre del link “Non vendere le mie informazioni personali” sul suo sito web,
riuscire ad essere pienamente conforme al GDPR e al CCPA,
proteggere la privacy dei suoi utenti contro il tracciamento indesiderato e non consensuale da parte di terzi.

Prova Cookiebot gratuitamente per 30 giorni… o per sempre se il tuo sito è di dimensioni contenute.

FAQ

Cos’è il controllo dei cookie nell’UE?

L’uso dei cookie sui siti web nell’UE è disciplinato dal Regolamento generale sulla protezione dei dati (GDPR), che controlla come i siti web, le aziende e le organizzazioni sono autorizzati a trattare i dati personali degli utenti all’interno dell’UE. Il GDPR prevede che i siti web debbano ottenere il consenso chiaro ed esplicito degli utenti prima di poter attivare i cookie che trattano dati personali. Il GDPR dà inoltre agli utenti il diritto di accedere ai dati raccolti, nonché il diritto di farli rettificare e/o cancellare.

Per saperne di più sul GDPR e sul consenso ai cookie, leggi qui.

Cos’è il controllo dei cookie negli USA?

L’uso dei cookie sui siti web negli Stati Uniti non è regolamentato a livello federale. Tuttavia, il California Consumer Privacy Act (CCPA) è una legge statale che disciplina la raccolta, l’elaborazione e la condivisione delle informazioni personali dei cittadini residenti in California. Il CCPA richiede alle aziende di informare gli utenti sul tipo di informazioni personali che raccolgono, e su come, per quali scopi e con chi le condividono. Le aziende devono inoltre permettere agli utenti di opporsi alla vendita dei loro dati a terzi.

Per saperne di più sul CCPA e sui cookie, leggi qui.

Cos’è il controllo dei cookie nel Regno Unito?

L’uso dei cookie sui siti web nel Regno Unito è stato disciplinato dal GDPR europeo, finché il Regno Unito era ancora membro dell’Unione Europea. Tuttavia, dopo che il Regno Unito ha lasciato l’UE, sono le leggi nazionali sulla protezione dei dati a regolamentare il trattamento dei dati personali nel paese. L’UK-GDPR e il Data Protection Act del 2018 impongono ai siti web di richiedere e ottenere il consenso dell’utente prima di poter attivare cookie che trattano dati personali.

Clicca sui due seguenti link per saperne di più sull’UK-GDPR e sul Data Protection Act del 2018.

Cos’è una piattaforma di gestione del consenso?

Una piattaforma per la gestione del consenso – o “CMP” – è una tecnologia che i siti web utilizzano per ottenere legittimamente il consenso degli utenti al trattamento dei loro dati personali, in genere attraverso i cookie e i tracker in funzione sul dominio. Le piattaforme di gestione del consenso aiutano i siti web ad essere conformi alle leggi sulla protezione dei dati, come il GDPR dell’UE, che prevede il consenso dell’utente come prerequisito per l’attivazione dei cookie che trattano i dati personali.

Scansiona il tuo sito web e scopri se è conforme al GDPR dell’UE.