Tutti gli articoli del nostro blog

Cookie: disclaimer vs consenso

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui tu, in quanto titolare di un sito web, devi ottenere e conservare il consenso dei visitatori provenienti dall’UE.

Aggiornato in data 30 marzo 2020.

Disclaimer e banner per i cookie non sono la stessa cosa.

Certo, i due termini possono essere usati intercambiabilmente, ma c’è una sostanziale differenza tra di loro in materia di conformità alla vigente normativa europea sulla protezione dei dati – il Regolamento generale sulla protezione dei dati – e alle varie interpretazioni nazionali della Direttiva ePrivacy.

In questo blogpost esamineremo:

Cookie disclaimers and cookie banners are two different things, and they don't always offer real GDPR compliance and consent
  • la differenza tra un cookie disclaimer non conforme e un cookie banner conforme,
  • cosa dice il GDPR sull’uso dei cookie,
  • esempi di banner di consenso ai cookie fatti male,
  • esempi di banner per i cookie fatti bene.

I disclaimer (letteralmente “clausole di esclusione di responsabilità”) per i cookie appartengono al passato. O almeno così dovrebbe essere ma, in realtà, internet è ancora pieno di disclaimer per i cookie arcaici e obsoleti i quali, oltre a confondere e stressare gli utenti, non sono conformi alla vigente legge europea sulla protezione dei dati – il Regolamento europeo sulla protezione dei dati (GDPR).

Un cookie banner, detto anche banner di consenso ai cookie, invece, rappresenta un metodo sostenibile e in linea con il GDPR/ePR per proteggere la privacy degli utenti del tuo sito web – a condizione che sia realizzato e implementato correttamente.

Il banner di consenso è una tecnologia che permette ai tuoi utenti di decidere autonomamente quali categorie di cookie e di tracciamento intendono autorizzare sul tuo dominio; allo stesso tempo, questa tecnologia consente anche a te, come proprietario del sito web, di essere pienamente conforme al GDPR.

Come vedremo più avanti, Cookiebot CMP offre cookie banner pienamente conformi alle leggi sulla privacy.

Prova Cookiebot CMP oggi stesso: è gratuito per 14 giorni, e addirittura per sempre se il tuo sito web ha meno di 50 sottopagine!

La sentenza della CGUE sul consenso valido nell’UE

Il 1° ottobre 2019 la Corte di Giustizia dell’Unione Europea (CGUE), massima autorità giuridica dell’UE, nel caso di Planet49, ha stabilito che l’unica forma di consenso valido per il trattamento dei dati degli utenti nell’UE è il consenso esplicito.

Ciò significa che, a prescindere dal tipo di dati da te trattati (siano essi personali o sensibili in base al GDPR), indipendentemente dal fatto che il trattamento avvenga tramite cookie statistici o analitici, i tuoi utenti finali devono esprimere un consenso esplicito e affermativo prima che tu possa procedere a qualsiasi raccolta o trattamento.

Logo banner powered by Cookiebot by Usercentrics
Un banner per il consenso ai cookie conforme a GDPR/ePR, realizzato da Cookiebot CMP.

Nella pratica, ciò significa che nell’UE non è consentito avere caselle preselezionate in corrispondenza di alcuna categoria di cookie, ad eccezione di quelli strettamente necessari per le funzionalità di base del tuo sito.

Per saperne di più sulla sentenza della CGUE sul consenso valido nell’UE, clicca qui.

Il Regolamento generale sulla protezione dei dati è un regolamento (ovvero una legislazione uniformemente vincolante per tutti i paesi dell’UE) che disciplina le modalità di trattamento dei dati personali da parte di aziende, siti web e altri soggetti.

Il GDPR stabilisce che nessun trattamento dei dati degli utenti è consentito in mancanza del consenso preventivo. Il tuo sito web, quindi, non è legalmente autorizzato ad avere cookie abilitati automaticamente prima di aver ricevuto il consenso degli utenti, ferma restando l’eccezione relativa ai cookie strettamente necessari per il funzionamento del sito stesso.

Prima della sentenza della CGUE sul caso Planet49, c’erano diversi tipi di consenso considerati validi nell’UE. Se il tuo sito trattava dati personali non sensibili (come invece, ad esempio, sarebbero i dati sulla salute e sull’orientamento sessuale o religioso), allora era sufficiente il consenso implicito. Significava, in poche parole, che se gli utenti rimanevano sul sito e continuavano a scorrere, tale azione costituiva un’espressione di consenso secondo la legge.

In base alla sentenza della CGUE sul caso Planet49, invece, la tipologia dei dati raccolti e trattati non è rilevante nel determinare la natura del consenso necessario. L’unica forma di consenso valida è quella esplicita: il banner deve presentare caselle vuote su cui l’utente deve attivamente cliccare per accettare ciascuna categoria di cookie, tranne quelli necessari.

Non-compliant cookie disclaimer found somewhere on the Internet.
Prima della sentenza della CGUE sul caso Planet49, il consenso implicito (soft opt-in) era considerato valido.

In sintesi, perché il tuo sito web sia conforme al GDPR, devi:

  1. ottenere un consenso chiaro e inequivocabile da parte dei tuoi utenti,
  2. essere in possesso del consenso prima di procedere a qualsiasi trattamento dei dati personali,
  3. specificare tutti i tipi di cookie e di altre tecnologie di tracciamento presenti e in funzione sulle tue pagine,
  4. evitare di preselezionare le caselle corrispondenti ai diversi tipi di cookie, tranne quelli necessari,
  5. permettere all’utente di prestare e revocare in modo semplice il consenso alle diverse categorie di cookie,
  6. poter documentare in modo sicuro e confidenziale ogni consenso,
  7. ricordare che il consenso deve essere rinnovato annualmente. Tuttavia, alcune direttive nazionali sulla protezione dei dati raccomandano un rinnovo più frequente, ad esempio ogni sei 6 mesi. Controlla cosa dicono le linee guida per la protezione dei dati nel tuo paese per assicurarti la conformità.

Essere conformi al GDPR è importante, in quanto significa proteggere la privacy degli utenti del tuo sito web.

La non conformità, al contrario, può rivelarsi anche piuttosto onerosa, comportando sanzioni pari a un massimo di 20 milioni di euro o al 4% del fatturato annuo globale di un’azienda, a seconda di quale dei due importi sia più elevato.

I disclaimer per i cookie sono per definizione un qualcosa di negativo, se consideriamo che sono quei pop-up che non garantiscono all’utente una reale scelta in merito al consenso.

A bad and illegal cookie disclaimer found on the Internet.
Un vecchio cookie disclaimer scorretto e illegale trovato su internet.

Questo disclaimer per i cookie ha valore esclusivamente informativo. Non concede all’utente alcuna scelta sul consenso e non rivela i cookie e il tracking presenti sul sito, né le loro finalità e proprietà.

Un utente attento che incontra questo disclaimer su un sito non ha altra scelta se non quella di ritornare alla pagina precedente o di andare avanti alla cieca sul sito.

I più attenti avranno anche già notato che questo cookie disclaimer non garantisce che i cookie non essenziali, come quelli di terze parti a fini di marketing, non siano già stati impostati e attivati al momento dell’arrivo sulla pagina di destinazione.

E probabilmente invece è proprio così, considerando che si tratta di un sito che utilizza un cookie disclaimer…

Un messaggio sui cookie che non permette alcuna scelta di consenso preventivo e consapevole è un messaggio che non tutela veramente la privacy degli utenti, e che nemmeno è in linea con i requisiti del Regolamento generale sulla protezione dei dati (GDPR).

Il seguente cookie disclaimer non è conforme perché si basa soltanto sul consenso implicito (soft opt-in), ora illegale a seguito della decisione della CGUE.

An illegal cookie disclaimer using the unlawful implied consent.
Un disclaimer non conforme che utilizza il consenso implicito, ora illegale.

I banner di consenso ai cookie – quelli che permettono un consenso preventivo e informato – sono per definizione positivi, ma anch’essi possono essere implementati in modo sbagliato.

È possibile implementare il banner di consenso dei Cookiebot CMP e comunque non essere conformi al GDPR. Il seguente esempio è un’implementazione non conforme del banner di consenso ai cookie:

Il cookie banner di Cookiebot implementato in modo non conforme.
Un vecchio cookie banner di Cookiebot CMP implementato in modo non conforme.

Il banner per i cookie qui sopra è uno dei nostri. Tuttavia, è stato implemento in modo tale da non permettere agli utenti di deselezionare le caselle relative ai cookie di terze parti a fini di marketing, come quelli di DoubleClick (una società di Google).

Secondo il GDPR e la sentenza Planet49 della CGUE, i siti internet devono avere i cookie di preferenza, i cookie statistici e i cookie di marketing deselezionati di default, cosicché gli utenti possano sceglierli in autonomia. Solo i cookie necessari possono essere preselezionati.

In questo banner di consenso, tuttavia, tutte e tre le categorie di cookie sono attivate fin dall’inizio, lasciando all’utente soltanto la possibilità di revocare il suo presunto consenso; i cookie di terze parti, inoltre, sono attivati automaticamente all’arrivo sulla landing page: queste caratteristiche non sono conformi al GDPR.

Un altro cookie banner di Cookiebot implementato in modo non conforme.
Un altro vecchio cookie banner di Cookiebot CMP implementato in modo non conforme.

Ecco qui un altro banner non conforme. Stesso problema di sopra. Tutte e tre le categorie di cookie sono preselezionate, il che non rispetta la sentenza della CGUE sul consenso valido nell’UE.

Cookiebot CMP offre un alto livello di personalizzazione e di autonomia ai propri clienti per quanto riguarda il layout e la configurazione dei cookie banner. Il nostro banner è progettato per essere utilizzato in molteplici contesti diversi tra loro, oltre a garantire piena conformità alle diverse leggi e normative nazionali sulla privacy.

Questo margine di personalizzazione, tuttavia, fa anche sì che i nostri clienti possano non essere effettivamente conformi al GDPR per quanto concerne il consenso preventivo e il non attivare alcun cookie prima che esso sia stato ottenuto.

Per accertarti che il tuo sito web sia conforme al GDPR/ePR, sei tenuto a lasciare deselezionate tutte le categorie di cookie (tranne quelli necessari) in modo tale che gli utenti possano scegliere in autonomia se accettarli (opt-in), fornendo quindi in quel caso il loro consenso preventivo.

Qui in Usercentrics, azienda madre di Cookiebot CMP, ovviamente abbiamo a cuore che le cose vengano fatte nel modo giusto.

Combattiamo ogni giorno per proteggere la privacy, e quindi l’implementazione corretta e conforme della nostra tecnologia è una cosa a cui teniamo molto.

Logo banner powered by Cookiebot by Usercentrics
Un banner di consenso conforme a GDPR/ePR e alla sentenza della CGUE, realizzato da Cookiebot CMP.

Questo cookie banner è implementato in modo corretto e conforme sul sito web che se ne avvale. Le categorie di cookie non preselezionate rendono questo banner conforme al GDPR/ePR e alla sentenza della Corte di Giustizia dell’Unione Europea dell’ottobre 2019.

Essere conformi alla legge europea sulla protezione dei dati ha molti vantaggi: primo tra tutti, ti permette di tutelare la privacy dei tuoi utenti in modo sostenibile.

Prova ora Cookiebot CMP gratuitamente.

Risorse

Regolamento generale sulla protezione dei dati (GDPR)

La sentenza della CGUE sul consenso valido nell’UE

Linee guida aggiornate dell’ICO (in inglese)

La homepage dell’ICO (in inglese)

Linee guida aggiornate della CNIL (in inglese o francese)

La homepage della CNIL (in inglese o francese)

GDPR (testo di legge ufficiale)

Direttiva ePrivacy 2009 (testo di legge ufficiale)

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.

    Rendi conforme l’uso dei cookie e del tracciamento online sul tuo sito ora!

    PROVALO GRATUITAMENTE