Adempimenti | DPIA | Vulnerability Assessment | Servizio DPO | News | Consulenti | Prezzi | Contattaci
- Numero verde 800 62 89 74
COME RISPETTARE LE REGOLE
Chi è tenuto al rispetto delle Norme ePrivacy per le Comunicazioni Elettroniche
Il Titolare del Trattamento proprietario di un sito web è tenuto a conformarsi ai requisiti previsti dalle Norme ePrivacy per le Comunicazioni Elettroniche, sebbene ciò non sia necessariamente il caso in cui siano coinvolte più parti.
Come pianificare e decidere quale tipo di cookie utilizzare?
In un servizio online bisogna sempre fare un “controllo dei cookie” ovvero: bisogna già sapere quali tipi di cookie si utilizzano nei servizi pre esistenti e, in caso di nuovi, specificare quali cookie si utilizzeranno, individuare quelli strettamente necessari, e assicurarsi di disporre di accordi adeguati con terze parti.
Come dovremmo condurre un controllo sui cookie?
Quando si esegue un controllo dei cookie, è necessario:
- per i cookie già presenti, identificare quelli che operano nel sito web utilizzando una combinazione di strumenti basati su browser e revisione del codice lato server;
- Verificare la finalità di ciascuno dei cookie che si usano o si intendono utilizzare;
- Verificare se i cookie sono collegati ad altre informazioni sugli utenti;
- Verificare se l’utilizzo dei cookie comporta anche (o comporterà) l’elaborazione di dati personali;
- identificare quali dati ciascun cookie detiene o altrimenti elabora;
- Verificare il tipo di cookie – se di sessione o persistente;
- Distinguere tra quali cookie sono strettamente necessari e quali non lo sono (e richiederebbero pertanto informazioni e consenso chiari e completi);
- Assicurare che il meccanismo di consenso consenta agli utenti di controllare l’impostazione di tutti i cookie non essenziali;
- Determinare la durata di qualsiasi cookie persistente e se la durata è giustificabile per lo scopo dichiarato;
- Determinare se ciascun cookie è un cookie di prima o terza parte
- Ricontrollare che le informazioni sulla privacy forniscano informazioni precise e chiare su ciascun cookie;
- Verificare quali informazioni vengono condivise con terze parti e quali informazioni vengono comunicate agli utenti;
- Documentare i risultati e le azioni di follow-up e creare un periodo di revisione adeguato.
Per eseguire le informazioni sopra descritte è possibile impiegare lo strumento COOKIE CHECKER
Come l’impiego dei cookie viene comunicato agli interessati
Per conformarsi ai requisiti informativi di Norme ePrivacy per le Comunicazioni Elettroniche, è necessario assicurarsi che gli utenti visualizzino informazioni chiare sui cookie.
In ogni caso, aumentando i livelli di consapevolezza e controllo degli utenti, si otterrà anche un consenso valido.
Il Titolare del Trattamento deve fornire informazioni sui cookie in modo tale che l’utente possa vederli e riconoscerli al primo accesso. Ciò avviene di solito all’interno del meccanismo stesso di consenso dei cookie.
Si deve considerare in che modo il design del servizio online influisce sulla visibilità del link alla tua politica.
Ad esempio, un collegamento nella parte inferiore di una pagina Web concisa che non ha contenuto “above the fold” sarà molto più visibile e accessibile di un collegamento a piè di pagina di una pagina Web densa di 10.000 parole. In questo caso, un collegamento nell’intestazione sarebbe più appropriato.
I modi per aumentare l’importanza delle informazioni sui cookie includono:
- formattazione: es modifica della dimensione del collegamento alle informazioni o l’utilizzo di un carattere diverso, ovvero rendere distinguibile dal “testo normale” e da altri collegamenti;
- posizionamento: spostare semplicemente il collegamento dal piè di pagina in un punto più probabile per attirare l’attenzione;
- formulazione: rendere il collegamento ipertestuale semplice ed intuitivo;
- informazioni chiare e comprensive per tutti gli utenti.
Cosa succede se i minori accedono al sito web
Le regole non sono diverse se i minori accedono al sito web. Il Titolare del Trattamento deve fornire informazioni chiare e complete sull’utilizzo dei cookie, garantire l’acquisizione del consenso per quelli che non sono strettamente necessari.Tuttavia, se è probabile che i minori accedano al servizio online, il Titolare dovrà garantire che, sia le informazioni fornite, sia il meccanismo di consenso utilizzato siano appropriati per i minori.
Come va richiesto il consenso nella pratica?
È necessario assicurarsi che qualsiasi meccanismo di consenso messo in atto consenta agli utenti di avere il controllo su tutti i cookie impostati dal sito Web, non solo sul proprio.Ad esempio, se si desidera impostare contenuti di terze parti come pixel di tracciamento e beacon dai social network, è necessario assicurarsi che agli utenti vengano fornite informazioni su questi e controlli appropriati per indicare se acconsentono o meno.
In pratica, ciò può essere impegnativo poiché al momento non tutti i meccanismi di consenso consentono agli utenti di disabilitare direttamente i cookie di terze parti, ma le Norme ePrivacy per le Comunicazioni Elettroniche prevedono che l’utente abbia il controllo su tutti i cookie.
Bisogna quindi determinare quali cookie sono impostati nel sito Web, in particolare il numero e il tipo di cookie di terze parti coinvolti. Una delle considerazioni prima di incorporare un cookie di terze parti dovrebbe quindi essere se il meccanismo di consenso consente all’utente di controllare se i cookies sono settati o no.
Possiamo usare finestre di messaggio (popup) e tecniche simili?
Finestre di messaggio come banner, popup, barre dei messaggi, barre di intestazione o tecniche simili potrebbero inizialmente sembrare un’opzione facile per raggiungere la conformità.Tuttavia, è necessario considerare attentamente la loro implementazione, in particolare per quanto riguarda le implicazioni per l’esperienza dell’utente.
Ad esempio, una finestra di messaggio progettata per la visualizzazione su un browser desktop o laptop può essere difficile da leggere o interagire con l’utente quando utilizza un dispositivo mobile, il che significa che i consensi ottenuti non sarebbero validi. Allo stesso modo, lunghi elenchi di caselle di controllo potrebbero sembrare un modo per rendere il tuo meccanismo di consenso adeguatamente granulare, ma questo approccio comporta rischi diversi in quanto i tuoi utenti potrebbero semplicemente non interagire con il meccanismo o potrebbero non comprendere le informazioni che si sta fornendo.
Il consenso può essere richiesto in questo modo, purché la posizione sia assolutamente chiara per gli utenti. Molti siti Web utilizzano abitualmente pop-up o “splash page” per rendere gli utenti consapevoli delle modifiche al sito o per chiedere il loro feedback. Tecniche simili potrebbero essere un modo utile per evidenziare l’uso dei cookie e il consenso
Possiamo contare sul consenso basato sulle impostazioni?
Alcuni cookie vengono distribuiti quando un utente effettua una scelta rispetto alle impostazioni di un sito. In questi casi, il consenso potrebbe essere richiesto come parte del processo attraverso il quale l’utente conferma ciò che desidera fare o come desidera che il sito funzioni.
Si possono utilizzare dei “cookie di preferenza” o “cookie dell’interfaccia utente”, ricordando ad esempio la versione a cui un utente desidera accedere, ad esempio una versione di un sito in una lingua specifica o la dimensione del carattere da utilizzare o essere la dimensione del testo che vogliono visualizzare, la combinazione di colori che preferiscono o anche il “saluto personalizzato” che vedono ogni volta che visitano il sito.
Se questa funzione è abilitata dalla memorizzazione di un cookie, questo deve essere spiegato all’utente, ricordandogli che tramite la loro scelta, stanno dando il consenso a impostare il cookie. L’accordo per il cookie potrebbe quindi essere perfettamente integrato con la scelta che l’utente sta già facendo.
Possiamo utilizzare i “termini e condizioni” per ottenere il consenso per i cookie?
No. Il consenso deve essere separato da altre questioni e non può essere raggruppato in termini e condizioni o note sulla privacy.
È necessario ottenere il consenso fornendo all’utente informazioni specifiche separate su ciò che viene loro chiesto di accettare qualsiasi tentativo di ottenere il consenso raggruppato in termini e condizioni non sarà conforme.
Possiamo usare i “muri dei cookie”?
Un muro di cookie – a volte chiamato “muro di monitoraggio” – richiede agli utenti di “confermare” o “accettare” l’impostazione dei cookie prima di poter accedere al contenuto di un servizio online.
Il GDPR afferma però che il consenso deve essere dato liberamente e quindi in alcuni casi questo approccio non è appropriato.
E’ possibile pre-abilitare eventuali cookie non essenziali?
No. Abilitare un cookie non essenziale senza che l’utente esegua un’azione positiva prima che sia impostato sul proprio dispositivo non rappresenta un consenso valido. In questo modo, stai togliendo la scelta all’utente.
Es. “Continuando a utilizzare il nostro sito Web, acconsenti al nostro utilizzo dei cookie”.
Ciò non rappresenta un consenso valido, anche se il meccanismo include anche un pulsante “OK” o “Accetta”.
Ciò è dovuto al fatto che il sito Web ha deciso che verranno impostati cookie non essenziali e che successivamente cerca l’accordo dell’utente, ma fornisce all’utente solo un’opzione per “continuare” piuttosto che un’autentica scelta libera se desidera accettare o rifiutare i cookie.
Le ipotesi seguenti non sono conformi alle Norme ePrivacy per le Comunicazioni Elettroniche:
Cosa succede se utilizziamo cookie di terze parti?
Il servizio online può consentire a terzi di impostare cookie sul dispositivo di un utente. Ad esempio, se includi contenuti di terze parti (ad esempio una rete pubblicitaria o un servizio di streaming video), tali terze parti potrebbero leggere e scrivere i propri cookie sui dispositivi degli utenti.
Laddove il tuo sito Web imposti cookie di terze parti, sia il Titolare del Trattamento che la terza parte hanno la responsabilità di garantire che gli utenti siano chiaramente informati sui cookie e di ottenere il consenso. E’ ovviamente molto più difficile per una terza parte, che ha meno controllo diretto sull’interfaccia con l’utente, raggiungere questo obiettivo.
È anche importante ricordare che è probabile che gli utenti affrontino eventuali dubbi o reclami nei confronti della persona con la quale possono identificare o intrattenere rapporti, in questo caso con l’azienda che gestisce il sito Web. È quindi nell’interesse di entrambe le parti lavorare insieme.
Se progetti e sviluppi siti Web o tecnologie simili, devi anche considerare attentamente i requisiti delle Norme ePrivacy per le Comunicazioni Elettroniche affinché i sistemi progettati consentano ai tuoi clienti di conformarsi alla legge. Quando si progetta e si sviluppano nuovi servizi online, o si aggiorna il software, è necessario assicurarsi di tenere conto sia dei requisiti delle Norme ePrivacy per le Comunicazioni Elettroniche sia dei più ampi requisiti di protezione dei dati, in particolare quanto previsto dall’articolo 25 del GDPR sulla protezione dei dati (Privacy by Design).
Come si applicano le esenzioni ai diversi tipi di cookie?
Esempio di finalità di cookies ritenuti come strettamente necessari
| Tipologia Esenzione cookie | Si ? | No X |
|---|---|---|
| Input dell’utente | ?Sì, a seconda della limitazione dello scopo. Se il tuo servizio online utilizza un cookie di sessione per tracciare l’input dell’utente per specifiche funzioni del tuo servizio (ad es. Un carrello della spesa o la compilazione di un modulo), è possibile considerare come “strettamente necessari” l’impiego del cookie a condizione che venga utilizzato solo per questo scopo | |
| Autenticazione | ?Sì, a seconda della limitazione dello scopo. Se si utilizzano cookie di sessione proprietari per scopi di autenticazione è possibile considerare come “strettamente necessari” l’impiego del cookie a condizione che vengano utilizzati solo a tale scopo, non per monitorare il comportamento o tracciare l’utente | |
| Sicurezza | ?Sì, a seconda della limitazione dello scopo. I cookie proprietari utilizzati a fini di sicurezza possono essere considerati come “strettamenti necessari”; ad esempio, i cookie utilizzati per rilevare ripetuti tentativi di accesso non riusciti. Possono anche avere una durata maggiore rispetto a un cookie di sessione. Tuttavia, i cookie che riguardano la sicurezza di altri servizi online oltre al proprio richiedono il consenso. Questo perché la funzionalità richiesta dall’utente è relativa al tuo servizio, non a quella di altri. | |
| Streaming di contenuti |
?Sì, a seconda della limitazione dello scopo.Se il tuo servizio è un fornitore di contenuti online che utilizza streaming media, puoi fare affidamento sull’esenzione strettamente necessaria per i cookie relativi al video o all’audio. Questo perché il supporto di streaming fa parte del servizio richiesto dall’utente.
Però laddove un servizio online includa semplicemente contenuti in streaming ospitati da un fornitore di contenuti online di terze parti (ad esempio, laddove un sito Web incorpori video di YouTube, anche quelli del proprio canale YouTube), l’esenzione potrebbe non essere applicabile |
|
| .Gestione della rete |
?Sì, a seconda della limitazione dello scopo.
Se si utilizzano i cookie di sessione a fini di bilanciamento del carico, si possono considerare come strettamente necessari. Ciò vale solo quando i cookie hanno il solo scopo di identificare a quale server nel pool verrà indirizzata la comunicazione |
|
| Preferenza dell’utente | ?Sì, a seconda della limitazione dello scopo. I cookie di sessione utilizzati per memorizzare le preferenze di un utente possono fare affidamento sull’esenzione strettamente necessaria, a condizione che non siano collegati a un identificatore persistente.In alcuni casi, l’esenzione può applicarsi anche ai cookie persistenti, ma all’utente devono essere fornite informazioni sufficienti in una posizione di rilievo, ad esempio i cookie utilizzati come parte di un meccanismo di consenso dei cookie, che ricordano le preferenze dei cookie dell’utente per un periodo di tempo (ad es. 90 giorni), possono essere esentati.In alternativa, l’atto di interagire con il meccanismo di consenso può essere sufficiente per ottenere il consenso per qualsiasi cookie relativo a tale meccanismo, a condizione che all’utente vengano fornite informazioni chiare e complete sul fatto che un cookie persistente verrà impostato sul proprio dispositivo per lo scopo di ricordare la preferenza del consenso sui cookie | |
| Plugin dei social media | X Consenso Richiesto. E’ necessario il consenso per tutti i cookie impostati dai social plugin.A meno che i plug-in non siano configurati solo per impostare i cookie sui dispositivi utilizzati dai membri connessi della piattaforma di social media, è probabile che sia richiesto il consenso in tutte le circostanze in quanto non si può presumere che tutti i visitatori saranno anche membri di qualsiasi social network | |
| Tracciamento dei social media | X Consenso Richiesto. .Qualsiasi utilizzo di web beacon, pixel di tracciamento, codice JavaScript o tecnologie simili da una piattaforma di social media o di terze parti non è esente dai requisiti di consenso | |
| Pubblicità online | X Consenso Richiesto. Ciò include tutti i cookie di terze parti utilizzati nella pubblicità online, anche per scopi come limite di frequenza, affiliazione di annunci, rilevamento di frodi sui clic, ricerche di mercato, miglioramento del prodotto, debug e qualsiasi altro scopo | |
| Tracciamento tra dispositivi |
X Consenso Richiesto. Laddove si impieghi cookie o tecniche di fingerprinting del dispositivo per collegare l’account di un utente a un determinato dispositivo o dispositivi
.Questo perché questo scopo non è strettamente necessario per fornire la funzionalità richiesta dall’utente |
Cosa succede se i nostri utenti cambiano idea sui cookie?
Una volta ottenuto il consenso, gli utenti o gli abbonati possono revocare tale consenso in qualsiasi momento. Dovresti quindi assicurarti che il meccanismo di consenso abbia la capacità tecnica di consentire agli utenti di ritirare il proprio consenso con la stessa facilità con cui lo hanno dato, altrimenti non sarà conforme ai requisiti di consenso del GDPR.
È inoltre necessario fornire informazioni su come è possibile revocare il consenso e su come rimuovere i cookie che sono già stati impostati, ad es. Nel proprio meccanismo di consenso o nella propria politica sulla privacy o sui cookie.Le conseguenze della revoca di tale consenso potrebbero essere chiarite, ad esempio, spiegando l’impatto sulla funzionalità del sito Web.
Con quale frequenza dovremmo ottenere il consenso?
Dovresti assicurarti che ogni volta che i visitatori del tuo sito web vengano forniti con informazioni chiare sui cookie che utilizzi e che ti vengano fornite scelte e controlli su quelli non essenziali.
Tuttavia, a seconda delle circostanze, potrebbe non essere necessario chiedere un nuovo consenso ogni volta che qualcuno visita. Saranno coinvolti numerosi fattori, come la frequenza delle visite o gli aggiornamenti di contenuti o funzionalità.Un esempio di dove è necessario ottenere un nuovo consenso è quando si impostano cookie non essenziali da una nuova terza parte.
Questo perché il consenso che l’utente in precedenza ha dato si applicherà solo alle parti specificate al momento originale. Quando il servizio imposta i cookie da una nuova terza parte, è necessario assicurarsi che gli utenti acconsentano a ciò.
È importante sottolineare che le informazioni chiare e complete fornite nella richiesta di consenso non devono includere riferimenti ambigui o poco chiari a “partner” o “terze parti”. Ciò significherebbe che il consenso non è valido, in quanto non è specifico e pertanto l’utente non è pienamente informato.
Come dovremmo tenere un registro delle preferenze dell’utente?
Alcuni utenti visiteranno il tuo sito Web regolarmente e altri visiteranno raramente, con una gamma di altri in mezzo.È quindi necessario decidere un intervallo appropriato tra quando si richiede agli utenti di selezionare la loro preferenza (se si tratta di consenso o rifiuto) e anche quando scade tale preferenza (dopo di che viene data nuovamente l’opzione agli utenti).
Non ci si aspetta che tu richieda ripetutamente ai tuoi utenti di specificare le loro preferenze come ovvio, indipendentemente dal fatto che ciò comporti il consenso per i cookie non essenziali o il rifiuto.Questi sono problemi che dovrai determinare come fornitore di servizi.
Un sito Web decide di utilizzare un meccanismo di consenso dei cookie che consente all’utente di consentire o rifiutare i cookie non essenziali. Quando gli utenti acconsentono all’impostazione di questi cookie, il sito Web registra questa preferenza nel proprio cookie persistente, che viene memorizzato sui dispositivi degli utenti e impostato per scadere ad un certo punto in futuro.
Se l’utente visita di nuovo prima della data di scadenza, non dovrà “riconsegnare” i cookie, poiché il cookie delle preferenze del sito riconosce di aver acconsentito in precedenza. D’altra parte, se l’utente visita di rado, il cookie potrebbe scadere prima della sua prossima visita, il che significa che in futuro dovrà essere nuovamente d’accordo.L’intervallo esatto per la scadenza di un cookie persistente è una questione che BISOGNA considerare, in relazione alle circostanze del tuo servizio online e a ciò che stai cercando il consenso dell’utente.Inoltre, se si utilizza un meccanismo di consenso di terze parti e questo record consente il consenso in forma digitale, sarà necessario assicurarsi che questi dati siano adeguatamente protetti (e, se sono coinvolti dati personali, di aver preso in considerazione anche eventuali obblighi ai sensi del GDPR – tale come se la terza parte sia un responsabile del trattamento o congiunto).
Quanto dovrebbero durare i nostri cookie?
Ciò dipenderà dallo scopo del cookie., è necessario assicurare che l’utilizzo del cookie sia:proporzionato in relazione al risultato previsto; eliminato a ciò che è necessario per raggiungere il tuo scopo.