Logo Logo
Cookiebot

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui tu, come titolare di un sito web, devi ottenere e conservare il consenso ai cookie dei visitatori provenienti dall'UE.

Prova ora il nostro test di conformità gratuito per verificare se l'utilizzo dei cookie e del tracking online sul tuo sito web è conforme a GDPR/ePR.

EDPB guidelines on valid consent, compliance with Cookiebot

Aggiornato in data 2 settembre 2020.


Il Comitato europeo per la protezione dei dati (EDPB) ha emanato delle linee guida per la conformità al GDPR, chiarendo ciò che costituisce un valido consenso sui siti web e dichiarando illegale l'uso dei "cookie wall".

L'EDPB è la massima autorità di vigilanza sul GDPR nell'UE; le sue linee guida fungono da guida per l’applicazione del regolamento da parte delle autorità nazionali per la protezione della privacy in ciascun paese membro dell’Unione Europea.

In questo articolo illustriamo i concetti chiave delle linee guida dell’EDPB, cosicché tu possa assicurarti che il tuo sito web sia uno spazio sicuro e conforme per gli utenti che lo visitano.


Panoramica generale


Le linee guida dell’EDPB in breve

Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida per la conformità al GDPR, le quali definiscono ciò che costituisce un consenso valido per il trattamento dei dati personali nell'UE e ribadiscono la non conformità dell'uso dei "cookie wall" come strumento per ottenere il consenso.

Queste linee guida dell'EDPB consolidano come applicazione unitaria del GDPR ciò che diverse autorità nazionali per la protezione dei dati, nonché la sentenza della CGUE su Planet49, avevano già stabilito in modo indipendente. È fondamentale tenerne conto, in quanto le linee guida dell'EDPB orientano le modalità di attuazione del GDPR da parte delle autorità di protezione dei dati di ogni stato membro dell'UE.

Leggi qui le linee guida del 05/2020 sul consenso valido.

Verifica gratuitamente se il tuo sito web è conforme alle linee guida dell'EDPB e al GDPR.

Prova Cookiebot gratuitamente per 30 giorni... o per sempre se il tuo sito web è di piccole dimensioni.


Le linee guida EDPB sul consenso valido

Per poter essere considerato valido ai sensi del GDPR, il consenso deve essere:

Nelle sue linee guida, l'EDPB precisa che "un'indicazione inequivocabile del consenso dell'utente" deve essere fornita con un'azione chiara e affermativa da parte dell'utente.

Azioni dell’utente, quali lo scorrimento su un sito web o attività analoghe (che costituirebbero un consenso implicito), non soddisfano i requisiti minimi dettati dal GDPR per la validità del consenso.

Alla luce delle linee guida dell’EDPB, non ti sarà più consentito dichiarare nel cookie banner del tuo sito che la continuazione della navigazione o dello scorrimento sul dominio verrà considerata come consenso all’utilizzo di cookie che elaborano dati personali, visto che ciò non rappresenta una valida forma di consenso secondo il GDPR.

È invece necessario che il cookie banner del tuo sito sia interattivo e che il sito stesso si astenga dall'attivare cookie che raccolgono dati personali, fino a quando l’utente non abbia selezionato le categorie di cookie che intende accettare (il cosiddetto consenso preventivo).

Le linee guida dell’EDPB dichiarano inoltre che le caselle di opt-in preselezionate non rispettano il GDPR, visto che nemmeno esse ottemperano al requisito dell'azione chiara e affermativa.

A questo proposito, le linee guida dell'EDPB integrano il precedente giuridico stabilito dalla Corte di giustizia dell'Unione europea (CGUE) nel caso di Planet49 nell'ottobre 2019.

La decisione della CGUE ha sancito che non sono ammesse le caselle preselezionate sui cookie banner, in quanto non soddisfano il requisito secondo cui il consenso deve essere un'azione libera e affermativa.

Per saperne di più sulla CGUE e sul caso Planet49, leggi qui.

Prova ora Cookiebot gratuitamente... rimane gratis per sempre se il tuo sito web ha dimensioni contenute.



EDPB guidelines clarify GDPR compliance in EU.

Le linee guida dell'EDPB illustrano come il GDPR deve essere interpretato e applicato nell'UE.



Le linee guida dell’EDPB sui cookie wall

Le linee guida dell'EDPB chiariscono inoltre che i cookie wall sono un modo non conforme per l'ottenimento del consenso da parte dei siti web.

I cookie wall agiscono subordinando l'accesso ai siti web al consenso dell'utente per il trattamento dei suoi dati personali, quando invece le direttive dell'EDPB affermano esplicitamente che ciò non costituisce un consenso valido.

Dal momento che i cookie wall operano forzando il consenso degli utenti alla memorizzazione dei cookie o accedendo ai cookie già memorizzati in cambio dell'accesso ai servizi e alle funzionalità, i cookie wall, come mezzo per ottenere il consenso, non rispettano il requisito del GDPR secondo cui un consenso è valido se è concesso liberamente e si fonda su una vera e propria scelta.

Vuoi saperne di più sui cookie wall?


Cosa comportano le linee guida EDPB per il mio sito web?

Le linee guida dell'EDPB consolidano quello che è sempre stato l'intento del GDPR: conferire agli utenti diritti reali e applicabili per la tutela dei propri dati e della privacy.

Nelle sue linee guida sul consenso, l'EDPB afferma con chiarezza che non sarà tollerato alcun comportamento atto a non dare agli utenti un concreto potere sui loro dati personali (come, ad esempio, costringere gli utenti a fornire il consenso o non informarli a dovere).

In altri termini, il tuo sito web non è autorizzato ad attivare i cookie che trattano dati personali, a meno che l'utente non ne abbia manifestato il consenso in modo chiaro ed esplicito.

Per il tuo sito internet, ciò significa che:

Se il tuo sito web utilizza una soluzione per il consenso che attiva i cookie sulla base del continuato scorrimento, di un clic o della navigazione sul tuo sito web (cioè di qualsiasi attività che non sia l'interazione diretta ed esplicita con il banner di consenso), utilizza caselle preselezionate o cookie wall, devi modificare queste impostazioni.

Le linee guida dell'EDPB costituiscono il fondamento di tutte le applicazioni del GDPR a livello nazionale da parte delle rispettive autorità di protezione dei dati di ogni paese membro dell'UE. Quindi, se il tuo sito web ha sede in uno stato dell’UE, o anche soltanto elabora dati personali concernenti cittadini europei, sei tenuto a rispettare le linee guida dell'EDPB sulla conformità al GDPR.


Le linee guida dell’EDPB e il test di conformità al GDPR

Non sei sicuro che il tuo sito web soddisfi i requisiti del GDPR per l'uso legittimo dei cookie e dei tracker? Hai il dubbio che il tuo dominio non rispetti le linee guida dell'EDPB per un consenso valido?

Controlla se il tuo sito web è conforme alle linee guida dell'EDPB e ai requisiti del GDPR utilizzando il test di conformità gratuito di Cookiebot.

Cookiebot esegue una scansione gratuita del tuo sito web, individuando tutti i cookie e i tracker in funzione sul tuo dominio.

Potresti scoprire che il tuo sito ha molti più cookie di quanti tu ne conosca, perché–

Il 72% dei cookie viene caricato segretamente da tracker di terze parti, rendendoli quasi impossibili da rilevare senza un'adeguata tecnologia di scansione.

Il 18% dei cookie sui siti web è costituito da cavalli di Troia, ossia tracker che vengono caricati da una profondità pari ad altri otto cookie.

Il 50% di tutti i cavalli di Troia cambia tra una visita e l'altra, per cui gli utenti rischiano che i loro dati personali vengano raccolti da diverse terze parti sul tuo sito web, quando visitano nuovamente il tuo dominio.

Fonte: Beyond the Front Page, uno studio del 2020 sui cookie dei siti internet.

Verifica gratuitamente la conformità del tuo sito web al GDPR e alle linee guida dell'EDPB

Per saperne di più sul GDPR e il consenso dei cookie, leggi qui

Visita il sito web dell'EDPB

Prova ora Cookiebot gratuitamente


Cookiebot e le linee guida dell'EDPB


Cookiebot è la piattaforma per la gestione del consenso più diffusa al mondo che rende il tuo sito web conforme a tutte le principali leggi sulla protezione dei dati.

La soluzione di Cookiebot è di tipo plug and play, senza necessità di implementazione manuale o integrazione in loco con il tuo dominio.

È sufficiente implementare Cookiebot dal cloud in tutta semplicità per proteggere la privacy dei tuoi utenti da abusi di dati da parte di terzi.

Cookiebot effettua scansioni approfondite del tuo intero sito web, al fine di individuare tutti i cookie e i tracker in funzione - anche i cavalli di troia nascosti - e li blocca tutti automaticamente fino a quando i tuoi utenti non ne abbiano dato il loro consenso preventivo, in piena conformità con il GDPR.

La soluzione per il consenso di Cookiebot è pienamente conforme alle linee guida dell'EDPB sul consenso valido, offrendo:




Cookiebot CMP enabling compliance with EDPB guidelines

Il banner interattivo di Cookiebot con il consenso specifico, in conformità con le linee guida dell’EDPB sul GDPR.



Prova ora Cookiebot gratuitamente per 30 giorni… o per sempre, se il tuo sito non è troppo grande.



Cookiebot CMP for GDPR and EDPB guidelines compliance



Le linee guida EDPB in dettaglio


Le linee guida dell'EDPB del 05/2020 sul consenso valido sono un documento dettagliato di 33 pagine adottato il 4 maggio 2020.

Nella parte restante di questo articolo, esamineremo più da vicino ciascuna delle principali sezioni delle linee guida dell'EDPB che definiscono il consenso valido secondo il GDPR:

Leggi qui le linee guida dell'EDPB in versione integrale.


Cos’è l’EDPB?

Il Comitato europeo per la protezione dei dati (EDPB) è la principale autorità di vigilanza responsabile dell'applicazione uniforme del Regolamento generale sulla protezione dei dati (GDPR) nell'UE.

L'EDPB è stato istituito con la promulgazione del GDPR nel 2018 ed è composto dai rappresentanti delle autorità nazionali per la protezione dei dati di ogni paese membro dell'UE.

Il compito dell'EDPB consiste nell'adottare linee guida generali e nell'assumere decisioni che chiariscano come il GDPR debba essere interpretato da siti web, aziende e organizzazioni, ai fini di una piena conformità.

Le linee guida e le decisioni dell'EDPB sono la colonna portante dell'attuazione del GDPR negli stati membri dell'UE, dove ogni autorità nazionale per la protezione dei dati è responsabile dell'applicazione del GDPR.


Consenso valido


Nel momento in cui ottiene il consenso degli utenti all’attivazione di cookie che trattano dati personali, il tuo sito web deve assicurarsi che tale consenso sia espresso liberamente – del resto, questo è un concetto chiave per il consenso valido ai sensi del GDPR.

Nel caso in cui all’utente non venga data la possibilità di effettuare una reale scelta, o questi si senta obbligato a dare il proprio consenso, temendo altrimenti conseguenze negative in caso di mancato consenso (come ad esempio limitazioni nell’uso di un servizio o la negazione dello stesso), allora il consenso non può essere considerato valido.

Il tuo sito web non è autorizzato a “raggruppare” il consenso, vale a dire che, se il consenso viene presentato come parte non negoziabile di termini e condizioni, si presume che non sia stato prestato liberamente.

Di conseguenza, il consenso non sarà considerato valido se l'utente non è in grado di negarlo o revocarlo senza conseguenze (quali, ad esempio, una minore qualità dei servizi o il mancato accesso).


Condizionalità del consenso


Come accennato in precedenza, secondo quanto stabilito dalle linee guida dell’EDPB, raggruppare il consenso con altri elementi non è una pratica conforme.

Rendere il consenso una condizione, ad esempio, per l'accettazione dei termini o delle condizioni, o per la prestazione di un servizio per il quale i dati personali trattati dai cookie e dai tracker non sono necessari, viene considerato una forma di consenso non valida.

Il GDPR contiene sei basi giuridiche per il trattamento dei dati personali, di cui la prima è con il consenso dell'utente e la seconda è per l'esecuzione di un contratto.

Le linee guida dell'EDPB affermano chiaramente che queste due basi giuridiche non possono essere accorpate o confuse: vale a dire che, se il tuo sito web si basa sul consenso dell'utente per l'utilizzo di cookie e tracker che trattano dati personali, tale consenso non può essere condizionato alla prestazione di un servizio che non ha bisogno dei dati personali per essere eseguito (cfr. Art. 7 par. 4 del GDPR per ulteriori informazioni).

Questa è la parte delle linee guida dell'EDPB che sostanzialmente esclude l'uso dei cookie wall come modalità conforme per ottenere il consenso, in quanto un consenso forzato non viene dato liberamente (e quindi non è valido).

La costrizione ad accettare la raccolta di dati personali non necessaria ostacola il libero consenso, come si evince dalle linee guida dell'EDPB.

Per saperne di più sui cookie wall, leggi qui.


Consenso granulare


La maggior parte dei siti web nel mondo ha in funzione tanti diversi cookie, ognuno dei quali raccoglie dati differenti per scopi differenti per conto di differenti provider.

Le linee guida dell'EDPB sottolineano che, se il tuo sito web tratta i dati personali per più di una finalità, gli utenti devono poter scegliere liberamente quale/i scopo/i accettare - anziché dover acconsentire a un pacchetto di finalità di trattamento.

Per il tuo sito, questo significa che devi essere a conoscenza di tutti i cookie e delle loro diverse finalità, per poter così offrire agli utenti la possibilità di selezionare l’attivazione di alcuni cookie, rifiutandone al contempo altri: ciò prende il nome di consenso granulare.



Cookiebot and EDPB guidelines compliance.

Il consenso granulare di Cookiebot, in piena conformità con le linee guida EDPB 05/2020.



Consenso specifico


Il consenso valido, come precisano le linee guida dell’EDPB, deve essere specifico, vale a dire una chiara determinazione di una finalità specifica, esplicita e legittima per l’attività di elaborazione in oggetto.

Per rispettare il requisito del GDPR che prevede che il consenso sia specifico, il tuo sito internet deve essere caratterizzato da:

  1. Specificazione dello scopo come salvaguardia contro il cosiddetto function creep (cioè l'utilizzo dei dati personali per più finalità senza il consenso specifico dell'utente per ciascuna di esse),
  2. Granularità nelle richieste di consenso,
  3. Netta separazione delle informazioni relative all'ottenimento del consenso per le attività di trattamento dei dati da quelle relative ad altre questioni.


Consenso informato


Le linee guida dell'EDPB chiariscono che il consenso valido deve essere informato, il che significa che gli utenti devono sapere e capire a cosa stanno acconsentendo.

Il tuo sito web, affinché il consenso possa definirsi informato, come requisito minimo deve contenere le seguenti informazioni:

  1. L’identità tua e del tuo sito web,
  2. La finalità di ciascuna delle attività di trattamento per cui sul sito viene richiesto il consenso,
  3. Quali tipologie di dati vengono raccolti e utilizzati sul tuo sito web,
  4. L’esistenza del diritto alla revoca del consenso,
  5. Informazioni sull'utilizzo dei dati per l'adozione di decisioni automatizzate,
  6. I possibili rischi connessi al trasferimento dei dati, dovuti alla mancanza di una decisione di adeguatezza e di adeguate garanzie, come descritto nell'articolo 46 del GDPR.

Le informazioni ai tuoi utenti devono essere scritte in un linguaggio semplice e chiaro, che sia facilmente comprensibile da una persona comune (e non solo da avvocati o simili figure professionali).



EDPB guidelines clarify GDPR compliance. Try Cookiebot for free.

Il cookie banner di Cookiebot con un testo chiaro e comprensibile, in conformità con le linee guida EDPB sul consenso informato.




Revoca del consenso


Se il tuo sito web ha bisogno del consenso per il trattamento dei dati personali effettuato mediante l'uso di cookie e tracker, devi essere pronto a rispettare l'eventuale scelta degli utenti di ritirare tale consenso. È un requisito del GDPR.

Gli utenti devono poter revocare il loro consenso con la stessa facilità con cui lo hanno prestato. È infatti una condizione per la validità del consenso che l’utente debba poter ritirare il consenso in modo altrettanto semplice in un secondo momento.

Gli utenti devono avere la possibilità di revocare il loro consenso liberamente e senza conseguenze, ovvero ad esempio senza vedersi negato l'accesso a un sito web o subire un declassamento dei servizi.

Tutte le attività di trattamento dei dati personali che hanno avuto luogo dopo il consenso dell’utente, ma prima della revoca dello stesso, rimangono legittime.


Condizioni ulteriori per l'ottenimento di un consenso valido


L'onere della prova per dimostrare il consenso dell'utente al trattamento dei dati personali è a carico del proprietario e/o gestore del sito web.

Ciò significa che dovrai essere in grado di dimostrare che l'utente ha dato il suo consenso al tuo sito web per l'impostazione dei cookie e dei tracker che raccolgono dati personali. La documentazione del consenso deve essere conservata in modo sicuro.

L’EDPB suggerisce, come best practice, di aggiornare i consensi ad intervalli regolari e appropriati.


Diritti dell'interessato


Infine, ricorda che i tuoi utenti godono di alcuni diritti garantiti dal GDPR, che devi rispettare in ogni momento per essere conforme.

Questi diritti sono:


Cookiebot e la conformità al GDPR


La piattaforma per la gestione del consenso di Cookiebot assicura il rispetto di tutti i requisiti di conformità al GDPR che il tuo sito web deve soddisfare quando utilizza cookie che trattano i dati personali di utenti situati nell'UE.

Cookiebot:

Per saperne di più sulla conformità al GDPR, leggi qui

Scopri le caratteristiche di Cookiebot

Visualizza i piani e i prezzi di Cookiebot

Fai il test gratuito di Cookiebot per la conformità al GDPR

Prova ora Cookiebot gratuitamente


FAQ


Cos’è l’EDPB?

Il Comitato europeo per la protezione dei dati (EDPB) è il più alto organo di vigilanza responsabile dell'applicazione e dell'attuazione del Regolamento generale sulla protezione dei dati (GDPR) nell'UE. L'EDPB è costituito da rappresentanti delle autorità di protezione dei dati di ogni paese membro dell'UE e ha la funzione principale di adottare linee guida generali e di prendere decisioni sulle corrette modalità di interpretazione e applicazione del GDPR.

Prova ora Cookiebot gratuitamente per 30 giorni... o per sempre, se il tuo sito web è di piccole dimensioni.


Cosa dicono le linee guida dell’EDPB?

Le linee guida dell'EDPB di maggio 2020 sul consenso valido chiariscono cosa si intende per consenso valido quando si fa affidamento sul consenso dell'utente per il trattamento dei dati personali, ad esempio attraverso l'uso di cookie e tracker sui siti web. Le linee guida dell'EDPB vietano l'uso dei cookie wall (consenso forzato) e specificano cosa devono fare i siti web per ottenere un valido consenso al trattamento dei dati personali.

Controlla la conformità del tuo sito web con il test di conformità al GDPR gratuito di Cookiebot.


Cos’è il consenso valido secondo l’EDPB?

Le linee guida dell’EDPB del 05/2020 chiariscono che il consenso valido deve essere libero, informato e specifico, in modo da essere un’indicazione inequivocabile della volontà dell’utente. Questo significa che il tuo sito web deve lasciare agli utenti una reale scelta in merito al consenso per tutti i diversi cookie e tracker, prima di poter procedere alla loro attivazione e al trattamento dei dati personali. Lo scorrimento e la continuazione della navigazione sui siti web non costituiscono un consenso valido, così come ai cookie banner non è permesso avere caselle preselezionate.

Per saperne di più sulla conformità al GDPR con Cookiebot, leggi qui.


Come posso rendere il mio sito internet conforme al GDPR?

In primo luogo, ti è necessario conoscere tutti i cookie e i tracker attivi sul tuo sito web, in modo da poter informare gli utenti sul loro tipo, scopo, durata e provider. In secondo luogo, devi bloccare tutti i cookie (ad eccezione di quelli necessari) fino a quando gli utenti non abbiano dato il loro consenso chiaro e affermativo indicando a cosa intendono permettere l'attivazione. In terzo luogo, ti occorrerà documentare tutti i consensi in modo sicuro e richiederne annualmente il rinnovo. Infine, devi fare in modo che l'utente possa revocare il suo consenso con la stessa facilità con cui lo ha inizialmente accordato.

Per saperne di più su GDPR e sul consenso ai cookie, leggi qui.


Risorse


Comitato europeo per la protezione dei dati (EDPB)

Linee guida EDPB 05/2020 sul consenso valido (in inglese)

Cos’è il GDPR?

GDPR e consenso ai cookie

Beyond the Front Page, uno studio del 2020 sui cookie e il tracciamento sui siti web (in inglese)

Nuovo Google Consent Mode 

Cookiebot si integra perfettamente con il nuovo Google Consent Mode

Rendi conforme l'uso dei cookie e del tracciamento online sul tuo sito ora!

Provalo gratuitamente