Tutti gli articoli del nostro blog

Controllo e gestione dei cookie – Un maggiore controllo dei cookie nell’UE e negli USA

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui tu, come titolare di un sito web, devi ottenere e conservare il consenso ai cookie dei visitatori provenienti dall’UE.

Aggiornato in data 15 settembre 2023

Gli sforzi per disciplinare la sorveglianza online e proteggere la privacy digitale si sono concretizzati nell’UE con il Regolamento generale sulla protezione dei dati (GDPR), e negli Stati Uniti con il California Consumer Privacy Act (CCPA).

In questo blogpost diamo un’occhiata al controllo dei cookie nell’UE e negli USA, comprese le linee guida dell’EDPB per il consenso valido nell’UE, i browser web più rispettosi della privacy e le piattaforme di gestione del consenso.

Nell’UE, l’uso di cookie e tracker sui siti web è disciplinato dal Regolamento generale sulla protezione dei dati (GDPR), che si applica in tutti gli stati membri dell’Unione Europea, e sui quali l’Italia ha adottato nuove linee guida nel giugno 2021.

Ma cosa sono i cookie? I siti web utilizzano diverse categorie di cookie per tracciare l’attività dell’utente e memorizzarne i dati. Questi piccoli file di testo che i siti web immettono sul computer dell’utente possono essere utilizzati per vari scopi, come l’autenticazione, la gestione delle sessioni, la memorizzazione delle preferenze, il monitoraggio dell’attività dell’utente e la personalizzazione dei contenuti.

Tra le diverse categorie di cookie rientrano quelli di sessione, che sono cookie temporanei utilizzati per l’autenticazione e la gestione della sessione e a garantire certe funzionalità, o contengono i dati relativi al login o al “carrello” e-commerce o al servizio o prodotto che hai intenzione di acquistare su un dato sito web visitato. 

Ci sono poi i cookie persistenti, che vengono memorizzati sul dispositivo dell’utente per un periodo di tempo più lungo e continuano ad operare anche dopo aver chiuso il browser di navigazione.

Tra questi ultimi troviamo i cookie di profilazione. I cookie di profilazione sono un tipo di cookie di tracciamento utilizzato per monitorare i dati relativi alle abitudini di navigazione web e profilare l’attività degli utenti su un sito web. Sono comunemente utilizzati dagli operatori di marketing online per indirizzare utenti specifici con pubblicità e contenuti personalizzati, nonché per tracciare il comportamento degli utenti sui vari siti web. Questi cookie possono essere utilizzati per costruire un profilo dettagliato del comportamento online di un utente e degli interessi di un individuo, che viene poi utilizzato per inviare messaggi pubblicitari o contenuti mirati. L’utilizzo di cookie di profilazione può essere una strategia di marketing molto efficace in quanto possono creare campagne pubblicitarie mirate in base all’utente. Tuttavia, se non viene utilizzata secondo i parametri stabiliti dalle normative di riferimento vigenti, può portare a serie conseguenze e a sanzioni ingenti.

Il GDPR regola il trattamento dei dati personali delle persone all’interno dell’UE; sebbene esistano diverse categorie di cookie, oggi la maggior parte di esse raccoglie dati personali degli utenti, quando questi visitano i siti web. In questo senso conformità a GDPR e gestione dei cookie sono intrinsecamente legate poiché la prima è strettamente dipendente da come la seconda viene effettuata.

Il GDPR prescrive ai siti web di ottenere il consenso dell’utente prima di attivare i cookie che elaborano i dati personali.

I siti web non sono autorizzati ad attivare i cookie e i tracker che processano i dati personali, a meno che l’utente non vi abbia preventivamente acconsentito; l’unica eccezione è costituita dai cookie che possono essere considerati strettamente necessari per le funzionalità di base del sito web.

Cookie control in EU through the GDPR and Cookiebot.
Il controllo dei cookie nell’UE con il Regolamento generale sulla protezione dei dati (GDPR)

Con dati personali si intende qualsiasi genere di informazioni direttamente o indirettamente riconducibili a una persona vivente, rendendo così possibile l’identificazione di un utente.

Nella definizione sono inclusi, tra le altre cose, nomi, indirizzi e-mail, numeri di previdenza sociale, ma anche indirizzi IP, specifiche del browser, cronologia delle ricerche e ID univoci, impostati dalla maggior parte dei cookie sul browser dell’utente in seguito a una sua visita al sito web.

Se il tuo sito web ha visitatori provenienti dall’UE e utilizzi cookie che trattano i dati personali, devi:

  • richiedere il consenso prima di attivare i cookie e i tracker che trattano dati personali,
  • permettere agli utenti di prestare un consenso chiaro ed esplicito al trattamento dei loro dati personali,
  • assicurarti che i consensi degli utenti siano specifici, ovvero che gli utenti possano accettare alcuni cookie e rifiutarne altri,
  • informare gli utenti su come utilizzi i cookie e sulle finalità per cui il tuo sito web tratta i dati personali,
  • documentare tutti i consensi ottenuti,
  • rinnovare i consensi almeno una volta all’anno.

Il tuo sito web è conforme al GDPR? Verificalo gratuitamente con il test di conformità di Cookiebot.

Le linee guida dell’EDPB sul consenso valido

Il Comitato europeo per la protezione dei dati (EDPB) è il principale organo di controllo del GDPR nell’UE, che periodicamente adotta linee guida ed emette decisioni sulle modalità di applicazione del GDPR da parte delle autorità nazionali per la protezione dei dati di ogni paese membro dell’UE.

Il 4 maggio 2020l’EDPB ha adottato delle linee guida sul consenso valido che definiscono molto chiaramente ciò che costituisce un consenso al trattamento dei dati personali sui siti web conforme al GDPR… e ciò che invece non è a norma.

Le linee guida dell’EDPB chiariscono che:

  • Il consenso deve essere un’indicazione libera, specifica, consapevole e inequivocabile della volontà dell’utente, ovvero un’azione chiara e affermativa da parte dell’utente che deve avere luogo prima che l’attivazione dei cookie sia consentita sul tuo sito web,
  • Le caselle preselezionate sui cookie banner non sono consentite, vale a dire che i cookie devono essere già deselezionati per default nel momento in cui gli utenti arrivano sul tuo sito web,
  • Lo scorrimento e la continuazione della navigazione sul sito web (consenso implicito) non costituiscono un valido consenso: gli utenti devono selezionare e abilitare attivamente i cookie tramite un cookie banner, prima che il tuo sito web sia autorizzato a trattare i loro dati personali,
  • I cookie wall (cioè rendere il consenso dell’utente una condizione necessaria per l’accesso al tuo dominio) non costituiscono un consenso valido, in quanto il consenso dell’utente deve essere espresso liberamente e in modo specifico per ciascuna delle diverse finalità di trattamento.

Il quadro legale italiano è stato recentemente aggiornato nel giugno 2021, attraverso l’emanazione di nuove linee guida sui cookie e sugli altri sistemi di tracciamento.

Prova gratuitamente Cookiebot per 14 giorni… o per sempre se il tuo sito web è di piccole dimensioni.

Una gestione dei cookie efficace ed efficiente si realizza facilmente con l’impiego di una CMP – Consent Management Platform – come Cookiebot CMP.

Cookiebot offre un servizio con al centro una piattaforma di gestione dei cookie e del consenso che rende il tuo sito web conforme al GDPR, al CCPA e ad altre leggi sulla protezione dei dati in tutto il mondo.

Logo banner powered by Cookiebot by Usercentrics
Controllo dei cookie specifico con la piattaforma di gestione del consenso (CMP) di Cookiebot.

Cookiebot opera rilevando tutti i cookie e i tracker in funzione sul tuo dominio, grazie alla nostra impareggiabile tecnologia di scansione che trova anche i più nascosti cavalli di Troia di terze parti.

Cookiebot blocca automaticamente tutti i cookie e il trattamento dei dati personali sul tuo dominio fino a quando gli utenti non abbiano prestato il loro consenso specifico ai tracker che intendono attivare – assicurando così che il tuo sito web soddisfi pienamente i requisiti del GDPR sul consenso preventivo.

Cookiebot offre anche la piena conformità al CCPA per i siti web.

Per saperne di più sulla conformità al CCPA, in California Consumer Privacy Act, leggi qui.

Negli Stati Uniti, l’uso dei cookie e il trattamento dei dati personali non sono regolamentati a livello federale, come invece avviene nell’UE con il GDPR.

Al contrario, alcuni stati federati hanno un proprio insieme di leggi che disciplinano la raccolta di informazioni personali e la privacy digitale, mentre altri stati non prevedono una vera e propria protezione per gli utenti.

Il principale atto legislativo statunitense che comprende il controllo dei cookie è il California Consumer Privacy Act (CCPA), entrato in vigore nel mese di gennaio 2020.

Cookie control in the US with CCPA.
Il controllo dei cookie negli USA con il California Consumer Privacy Act (CCPA).

Il CCPA garantisce ai consumatori il diritto di richiedere la comunicazione delle categorie e delle specifiche informazioni personali che una società ha raccolto su di loro. Concede inoltre ai consumatori il diritto di richiederne la cancellazione, nonché di opporsi alla vendita dei loro dati a terze parti.

Il CCPA prescrive che gli utenti siano informati su quali cookie sono in funzione su un sito, su che tipologie di informazioni personali raccolgono e con quali finalità. Stabilisce inoltre che i siti web informino gli utenti in merito alle terze parti con cui condividono le loro informazioni personali.

Il Regno Unito ha lasciato l’Unione Europea nel gennaio 2020, ed entro la fine di quest’anno non sarà più soggetto al Regolamento generale sulla protezione dei dati personali dell’UE.

Tuttavia, il Regno Unito ha adottato nuove leggi sulla protezione dei dati che rispecchiano il GDPR e che garantiranno un equivalente regime di protezione dei dati.

L’Information Commissioner’s Office (ICO) è la principale autorità per la protezione dei dati nel Regno Unito, responsabile dell’applicazione e del controllo delle leggi sulla protezione dei dati del paese.

Le leggi britanniche sulla protezione dei dati dopo la Brexit sono l’UK-GDPR e il Data Protection Act del 2018.

Nell’estate del 2019 l’ICO ha aggiornato le sue linee guida per l’utilizzo dei cookie e dei tracker, imponendo un controllo dei cookie molto più rigoroso nel Regno Unito.

Quando si parla della gestione dei cookie di un sito web, il consenso implicito come lo conosciamo oggi – il soft opt-in che permette ai siti web di considerare come consenso la continuazione della navigazione da parte degli utenti – non soddisfa i requisiti per un consenso valido, secondo quanto stabilito dall’ICO.

Cookie control in the UK with UK-GDPR and Data Protection Act
Il controllo dei cookie nel Regno Unito con l’UK-GDPR e il Data Protection Act del 2018.

Al contrario, gli utenti devono dare il loro consenso affermativo a tutto ciò che non corrisponde a cookie necessari (essendo ovvero elementi non essenziali, come li chiama ICO) ed è responsabilità legale dei siti web avere un sistema di gestione dei cookie che permetta ai propri utenti di esprimere un consenso di questo tipo.

Secondo le nuove linee guida dell’ICO, le caselle preselezionate (o cose simili) possono legalmente essere utilizzate soltanto per quanto riguarda i cookie necessari.

Ciò significa che i cookie di preferenza, statistici e di marketing devono rispettare le stesse regole: perché il consenso possa essere considerato valido, devono rimanere tutti deselezionati e richiedere un opt-in affermativo.

In altri termini, adesso gli utenti devono poter scegliere di spuntare le caselle dei cookie di preferenza, statistici e di marketing, affinché queste categorie di cookie possano essere attivate.

Le linee guida dell’ICO precisano che:

  • Gli utenti devono adottare un’azione chiara ed affermativa per acconsentire ai cookie non essenziali,
  • i siti web e le app devono indicare chiaramente agli utenti quali cookie verranno impostati e cosa faranno – compresi quelli di terze parti,
  • le caselle preselezionate o soluzioni equivalenti, come i cursori impostati su “on”, non possono essere utilizzate per i cookie non essenziali,
  • gli utenti devono avere il controllo di tutti i cookie non essenziali,
  • i cookie non essenziali non possono essere impostati sulle landing page prima di ottenere il consenso dell’utente.

Documentati sulle linee guida aggiornate dell’ICO sui cookie.

L’autodifesa digitale è una delle opzioni che molte persone scelgono in preda all’esasperazione quando vengono a conoscenza della triste verità sull’attuale sconfortante condizione della privacy su internet.

Questo genere di autodifesa digitale è essenzialmente una versione di protezione della privacy in cui ognuno deve cavarsela da solo, scaricando il browser giusto che provvede a bloccare automaticamente i cookie.

I browser che rispettano la privacy, come Epic, Brave o Firefox, propongono il controllo dei cookie attraverso un sistema di blocco dei cookie generico e trasversale che blocca tutti i cookie, anche quelli necessari e innocui.

Il lato negativo è che spesso hanno effetti negativi sul funzionamento dei siti web, perché bloccano i cookie che supportano le funzionalità di base dei vari domìni. Questo blocco completo dei cookie è la modalità predefinita sia di Epic che di Brave, mentre Firefox utilizza un elenco di tracker realizzato da Disconnect per determinare quali cookie bloccare.

3 browsers.PNG
I browser rispettosi della privacy possono essere una valida soluzione, ma presentano anche alcuni lati negativi.

Questa autodifesa digitale non è praticabile come soluzione definitiva ai problemi di privacy del capitalismo della sorveglianza, dal momento che la maggior parte delle persone non ha il tempo o le competenze tecniche per navigare nel vasto mercato di strumenti di privacy, browser, VPN e ad-blocker.

Ma c’è anche un altro modo di proteggere la privacy sulle nostre infrastrutture digitali…

Il controllo dei cookie attraverso un sistema di gestione dei cookie come Cookiebot è una tecnologia che noi – ovviamente – sosteniamo in pieno, ritenendola parte essenziale di una soluzione sostenibile per la protezione della privacy.

L’utilizzo di una soluzione di consenso specifica per ogni sito web (implementata attraverso il cloud e integrata direttamente sul dominio) non solo evita il malfunzionamento dei siti web, dando loro la possibilità di distinguere tra le diverse categorie di cookie, ma ha anche le caratteristiche per essere del tutto conforme al GDPR e al CCPA.

La piattaforma di gestione del consenso di Cookiebot rende il tuo sito pienamente conforme al Regolamento generale sulla protezione dei dati (GDPR) e al California Consumer Privacy Act (CCPA).

Un proprietario di un sito web interessato alla gestione dei cookie può utilizzare Cookiebot per:

  • far scansionare i suoi domini alla ricerca di tutti i cookie e tracker analoghi,
  • abilitare il consenso preventivo degli utenti attraverso un cookie personalizzabile,
  • procurarsi una dichiarazione dei cookie,
  • disporre del link “Non vendere le mie informazioni personali” sul suo sito web,
  • riuscire ad essere pienamente conforme al GDPR e al CCPA,
  • proteggere la privacy dei suoi utenti contro il tracciamento indesiderato e non consensuale da parte di terzi.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre se il tuo sito è di dimensioni contenute.

FAQ

Cos’è la gestione dei cookie nell’UE?

L’uso dei cookie sui siti web nell’UE è disciplinato dal Regolamento generale sulla protezione dei dati (GDPR), che controlla come i siti web, le aziende e le organizzazioni sono autorizzati a trattare i dati personali degli utenti all’interno dell’UE. Il GDPR prevede che i siti web debbano ottenere il consenso chiaro ed esplicito degli utenti prima di poter attivare i cookie che trattano dati personali. Il GDPR dà inoltre agli utenti il diritto di accedere ai dati raccolti, nonché il diritto di farli rettificare e/o cancellare.

Per saperne di più sul GDPR e sul consenso ai cookie, leggi qui.

Cos’è la gestione dei cookie negli USA?

L’uso dei cookie sui siti web negli Stati Uniti non è regolamentato a livello federale. Tuttavia, il California Consumer Privacy Act (CCPA) è una legge statale che disciplina la raccolta, l’elaborazione e la condivisione delle informazioni personali dei cittadini residenti in California. Il CCPA richiede alle aziende di informare gli utenti sul tipo di informazioni personali che raccolgono, e su come, per quali scopi e con chi le condividono. Le aziende devono inoltre permettere agli utenti di opporsi alla vendita dei loro dati a terzi.

Per saperne di più sul CCPA e sui cookie, leggi qui.

Cos’è la gestione dei cookie nel Regno Unito?

L’uso dei cookie sui siti web nel Regno Unito è stato disciplinato dal GDPR europeo, finché il Regno Unito era ancora membro dell’Unione Europea. Tuttavia, dopo che il Regno Unito ha lasciato l’UE, sono le leggi nazionali sulla protezione dei dati a regolamentare il trattamento dei dati personali nel paese. L’UK-GDPR e il Data Protection Act del 2018 impongono ai siti web di richiedere e ottenere il consenso dell’utente prima di poter attivare cookie che trattano dati personali.

Clicca sui due seguenti link per saperne di più sull’UK-GDPR e sul Data Protection Act del 2018.

Cos’è una piattaforma di gestione del consenso?

Una piattaforma per la gestione del consenso – o “CMP” – è una tecnologia che i siti web utilizzano per ottenere legittimamente il consenso degli utenti al trattamento dei loro dati personali, in genere attraverso i cookie e i tracker in funzione sul dominio. Le piattaforme di gestione del consenso aiutano i siti web ad essere conformi alle leggi sulla protezione dei dati personali, come il GDPR dell’UE, che prevede il consenso dell’utente come prerequisito per l’attivazione dei cookie che trattano i dati personali.

Scansiona il tuo sito web e scopri se è conforme al GDPR dell’UE.

 

La soluzione più utilizzata per l’uso conforme dei cookie e del tracciamento online

Utilizzata su
2,3 milioni
di siti internet
Gestisce
7,1 miliardi
di consensi degli utenti al mese
Supporta oltre
47
lingue diverse

Risorse

Una panoramica sui cookie

La guida dell’ICO su come si presenta un corretto uso dei cookie per i proprietari e gli operatori dei siti web

Traferimenti di dati tra l’’UE e il Regno Unito dopo la Brexit

Multa record contro Facebook nell’accordo sulla privacy della FTC

Google deve pagare una multa per la raccolta dei dati dei bambini

 

Pepco
Rural King
Orbico
Credit Exchange
Canon
Bauhaus

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.