Legal: Privacy e Cookie Policy per la tua piattaforma

Che tu abbia un sito web, un e-commerce o un blog, sai bene che devi dotarti di una privacy e cookie policy per rispondere all’obbligo di protezione dei dati personali regolato dal GDPR (General Data Protection Regulation) entrato in vigore il 25 maggio 2018 in tutti i Paesi UE.

Chi non prende questa misura cautelativa sul serio va incontro a delle conseguenze; per questo, ho chiesto all’avvocato Michela Belnudo, esperta di compliance e GDPR, di chiarirci le idee così da tutelare l’interesse degli utenti del nostro sito web e proteggerci da eventuali sanzioni.

Michela, puoi spiegarci meglio qual è la funzione della privacy e cookie policy e come agisce a tutela di un utente che naviga su un sito web?

La privacy policy o informativa sulla privacy è il documento tramite il quale il titolare del trattamento dei dati, ovvero la persona fisica o giuridica che gestisce il sito/app permette all’interessato – ovvero l’utente che visita o utilizza il suo sito/app – di conoscere le modalità̀ e finalità del trattamento dei dati personali raccolti.

Se il sito/app raccoglie dati personali, il titolare è tenuto a informare gli utenti tramite una privacy policy.

Con la privacy policy si rende sostanzialmente noto all’utente del sito quali e quanti dati raccoglie il sito stesso; in che modalità i dati verranno trattati; per quali finalità e per quanto tempo i dati verranno conservati; chi ha accesso agli stessi; a chi possono venire comunicati e/o trasferiti, nonché come gli stessi verranno protetti.

La cookie policy è la parte della privacy policy dedicata ai cookie. I cookie sono porzioni di informazioni che il sito Web inserisce nei dispositivi di navigazione quando si visita una pagina. I cookie permettono di conservare informazioni sulle preferenze dei visitatori, sono utilizzati al fine di verificare il corretto funzionamento del sito e di migliorarne le funzionalità personalizzando il contenuto delle pagine in base al tipo del browser utilizzato, oppure per semplificarne la navigazione automatizzando le procedure (es. Login, lingua sito), ed infine per l’analisi dell’uso del sito da parte dei visitatori.

I cookie, quindi, sono in grado di tracciare il comportamento dell’utente e, di conseguenza, costituiscono un potenziale rischio per la privacy.

Lo scopo delle informative è, in ultima analisi, quello di fornire la massima trasparenza nei confronti degli utenti, relativamente alle informazioni che il sito raccoglie e a come le usa, oltre a garantire forme di consenso informato dell’utente, nei casi di raccolta di informazioni sensibili tramite i cookie.

Quali sono i rischi che corre chi non si dota di una privacy e cookie policy corretta?

L’Unione Europea con la direttiva ePrivacy (nota anche come Cookie Law), nel 2002 imponeva ai singoli Paesi aderenti di uniformare la legislazione interna in merito al tema del trattamento dei dati nelle comunicazioni elettroniche. L’adeguamento normativo del 2009, andava ulteriormente a vincolare gli Stati, obbligandoli a legiferare sul consenso informato dell’utente nei casi di raccolta di informazioni sensibili attraverso i cookie.

Poco dopo il recepimento della suddetta direttiva da parte dell’Italia nel 2012, ancora nel 2014, il Garante della Privacy emanava un provvedimento stabilendo i dettami per l’acquisizione del consenso che deve essere, oggi, preventivo ed esplicito fatta eccezione per i cosiddetti cookie tecnici come, ad esempio, la selezione automatica della lingua, i suggerimenti dei dati personali nei form da compilare o per le credenziali di login.

Il risultato di questo provvedimento determina che la possibilità di raccogliere dati relativi agli accessi effettuati sul proprio sito web è strettamente correlata all’adozione di una cookie law e quindi di una privacy policy, che informi l’utente circa le modalità di registrazione ed utilizzo dati a opera del proprietario.

Le sanzioni legate alla Cookie Law sono davvero aspre.

Nel caso in cui un sito sia sprovvisto di cookie policy, o la medesima contenga inadempienze alla legge in materia, le sanzioni gravanti sul proprietario di quel sito web possono essere davvero salate e dagli effetti fortemente pregiudizievoli.

Le fattispecie che si realizzano in ipotesi di violazione degli obblighi previsti dalla cookie law possono essere così riassunte: omessa informativa o informativa inidonea; installazione di cookie sui terminali degli utenti senza il loro preventivo consenso; omessa o incompleta notificazione al Garante.

Tutte prevedono sanzioni amministrative pecuniarie che possono arrivare fino a 120.000,00 euro.

Più in generale, comunque, Il Reg. EU 679/2016, cd. GDPR, ha portato ad un’implementazione circa l’attenzione e il relativo valore dei dati personali a diritti inviolabili dei cittadini, con conseguente e proporzionale inasprimento delle sanzioni per violazione della privacy.
Dalle violazioni privacy derivano responsabilità amministrative, civili e penali.

Le violazioni della privacy dalle quali derivano sanzioni di natura amministrativa e pecuniaria sono quelle previste per la violazione stessa del GDPR.
I soggetti che possono essere coinvolti nella violazione della privacy, con conseguente comminazione di relative sanzioni, sono il titolare del trattamento, il responsabile del trattamento e l’organo di certificazione.
L’autorità preposta all’emissione delle sanzioni è il Garante per la Privacy.

Il regolamento europeo suddivide le violazioni della privacy in due categorie:

• la violazione legge privacy di tipo meno grave prevede un’ammenda fino a 10 milioni di euro, o una sanzione amministrativa fino al 2 % del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa, ad esempio, la mancanza del registro del trattamento (del titolare o del responsabile del trattamento), l’omessa nomina del DPO, nei casi di obbligatorietà della stessa, la mancata redazione della valutazione d’impatto (DPIA), e ancora l’omessa notifica di data breach, ma anche le ipotesi di violazione degli obblighi dell’organo di certificazione;
• le violazioni della privacy più gravi, invece sono quelle che prevedono una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa, ad esempio, la mancata acquisizione del consenso al trattamento, le ipotesi di violazione dei diritti dell’interessato, la mancanza o inidoneità dell’informativa privacy e della cookie policy, come detto prima, la violazione delle disposizioni circa il trasferimento dei dati a Paesi Terzi.

Il GDPR non indica un importo minimo delle sanzioni, ma stabilisce dei criteri per cui la sanzione deve essere effettiva, dissuasiva e proporzionata.

Va precisato che le violazioni della privacy possono comportare anche conseguenze in sede civile, quando si generi un danno per l’interessato i cui dati siano stati violati.
Si pensi, ad esempio, all’ipotesi in cui l’interessato abbia subìto come conseguenza una discriminazione o un danno all’identità, ma anche pregiudizio alla reputazione, e ancora quando oggetto della violazione sono dati sensibili.
Le violazioni nei casi più gravi possono anche comportare veri e propri illeciti di natura penale.

Quali sono i principali accorgimenti da prendere, per creare una privacy e cookie policy corretta?

Come già accennato, la Privacy Policy, per garantire la sua funzione, deve necessariamente contenere tutte queste informazioni:

1. quali e quanti dati raccoglie il sito;
2. in che modalità tratta i dati;
3. per quali finalità raccoglie i dati;
4. per quanto tempo conserva i dati;
5. come protegge i dati;
6. chi ha accesso ai dati;
7. a chi possono venire comunicati e trasferiti i dati;
8. i dati del Titolare, il suoi Responsabili e il Responsabile della Protezione Dati o DPO.

L’informativa deve poter essere accessibile da ogni pagina, modulo o form del sito, per cui il consiglio è quello di creare una pagina privacy specifica e mettere un link nel footer del sito (barra sempre presente in basso) e in tutti i moduli di richiesta dati e/o consenso. È bene, inoltre, ricordarsi di inserire i dettagli del Titolare ed il nominativo del DPO nel Footer del sito.

Per predisporre una corretta Cookie Policy, effettivamente funzionale al suo scopo, bisogna definire quali cookie vengono utilizzati nel sito e a cosa servono, distinti in:

1. Cookie tecnici di “navigazione” o di “sessione” (quelli strettamente necessari all’uso del sito);
2. Cookie Analytics, assimilabili a quelli tecnici che rilevano dati statistici in forma aggregata (es. nr. visitatori, orari, area geografica ecc.);
3. Cookie di profilazione (quelli che rilevano un comportamento di un utente direttamente dal tuo sito);
4. Cookie di profilazione di terze parti (quelli che rilevano un comportamento dell’utente rilevando dispositivo o indirizzo IP anche da parte di siti esterni al tuo).

Il banner dei cookie deve quindi avere:

• dimensioni tali da rendere il banner facilmente visibile o, in alternativa, espandibile;
• font più evidente rispetto a quello del sito e con un colore di fondo contrastante rispetto allo sfondo del sito e al testo del banner stesso;
• deve comparire immediatamente alla prima visita dell’utente sul sito.

Infine, l’informativa dei cookie deve essere parte integrante o, comunque, riconducibile (tramite link) all’informativa generale di cui sopra e deve contenere:

• una descrizione generale di cosa sono i cookie e come possono essere gestiti tramite le impostazioni del browser;
• la spiegazione di come viene prestato il consenso (scroll-down, tasto OK o X e link);
• la descrizione delle categorie di cookie tecnici e analytics e le relative finalità;
• la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;
• la descrizione delle finalità dei cookie di terza parte. Per ognuna di queste (identificabile anche tramite il nome commerciale, ad esempio: Facebook, Google ecc.) la descrizione della finalità del cookie oltre al link all’informativa e al modulo di consenso della terza parte con la quale si è stipulato un accordo (spesso on-line) per l’installazione dei cookie sul proprio sito e al link all’informativa degli intermediari (solitamente il concessionario di pubblicità del sito) se presenti.

Come comportarsi con la privacy e cookie policy se, sulla propria piattaforma, sono stati implementati servizi terzi?

Succede spesso che una pagina web contenga cookie provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa, come ad esempio banner pubblicitari, immagini, video, etc.
In tutti questi casi, si parla dei cosiddetti cookie terze parti, che di solito sono utilizzati a fini di profilazione.

In suddette circostanze, la normativa europea e italiana prevedono che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio valido consenso all’inserimento dei cookie sul suo terminale.

Il gestore del sito è quindi, normativamente obbligato ad informare adeguatamente l’utente.

In particolare, il Garante per la protezione dei dati personali ha stabilito che quando si accede alla home page o ad un’altra pagina di un sito web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati.

Se il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando, è necessario inoltre prevedere un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti terzi.

Inoltre, è fondamentale l’indicazione che, proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Si tenga presente che è comunque possibile navigare senza questa tipologia di cookie.

Infatti, i cookie di terze parti non sono, generalmente, indispensabili per navigare, quindi è possibile rifiutarli per default, attraverso apposite funzioni del browser, come l’utilizzo della modalità di “navigazione anonima”. Nei browser di ultima generazione è presente addirittura l’opzione Do Not Track.

Quali sono le differenze tra i vari tipi di cookie? È obbligatorio permettere all’utente di scegliere per quali cookie autorizzare l’installazione sul proprio browser?

In base al proprietario, i Cookie possono essere classificati nel modo seguente:

a. Cookie propri: Sono quelli inviati al computer o al dispositivo dell’utente da un’apparecchiatura o dominio gestito dall’editor stesso, e dal quale si offre la piattaforma o il servizio richiesto dall’utente;
b. Cookie di terze parti: Sono quelli inviati al computer o al dispositivo dell’utente da un’apparecchiatura o dominio non gestito dall’editor ma da un altro soggetto che tratta i dati ottenuti attraverso i cookie.

In base alle finalità, i Cookie possono essere classificati nel modo seguente:

• Cookie strettamente necessari (tecnici): Sono quelli che consentono all’utente la navigazione attraverso una pagina web, piattaforma o applicazione, e l’utilizzo delle diverse opzioni o servizi esistenti sulla stessa, quali, ad esempio, il controllo del traffico, l’identificazione dei dati o della sessione, l’accesso a sezioni o contenuti ad accesso limitato, la memorizzazione degli elementi che integrano un ordine, l’esecuzione di un processo di acquisto di un ordine, la gestione del pagamento, il controllo di eventuali frodi collegate alla sicurezza del servizio. I cookie tecnici, essendo strettamente necessari, vengono scaricati di default quando consentono di visualizzare la piattaforma o prestare il servizio richiesto dall’utente.
  Questi cookie sono fondamentali per poter navigare sul sito Web e utilizzare alcune funzionalità. Senza i cookie strettamente necessari, i servizi online che normalmente sono offerti dal sito, potrebbero non essere accessibili se la loro erogazione si basa esclusivamente su cookie di questa natura. Non è necessario fornire il consenso per i cookie tecnici, poiché sono indispensabili per assicurare i servizi richiesti. È possibile bloccare o rimuovere i cookie tecnici modificando la configurazione delle opzioni del proprio browser. Tuttavia, eseguendo queste operazioni, è possibile che non si riesca ad accedere a determinate aree del sito web o ad utilizzare alcuni dei servizi offerti.
• Cookie di funzionalità o personalizzazione: Questi cookie consentono di memorizzare le informazioni affinché l’utente acceda al servizio o alla piattaforma con determinate caratteristiche che possono differenziare la sua esperienza da quella di altri utenti, come, ad esempio, la lingua, il numero di risultati visualizzati quando l’utente effettua una ricerca, l’aspetto o il contenuto del servizio in base al tipo di browser utilizzato o alla regione da cui l’utente accede al servizio, ecc. La mancata accettazione di questi Cookie può causare prestazioni lente della pagina web o raccomandazioni non adattate.
• Cookie di analisi: Sono quelli che consentono di quantificare il numero di utenti, le sezioni visitate sulla piattaforma e le modalità di interazione con essa, per effettuare misurazioni e analisi statistiche relative all’uso che ne viene fatto da parte degli utenti, con l’obiettivo di introdurre migliorie in base all’analisi dei dati sull’utilizzo che gli utenti fanno della piattaforma o del servizio. Sono assimilati ai cookie tecnici se il servizio è anonimizzato.
• Cookie di pubblicità comportamentale: Sono quelli che memorizzano le informazioni sul comportamento degli utenti, ottenute tramite l’osservazione costante delle abitudini di navigazione, il che consente di sviluppare un profilo specifico per mostrare annunci pubblicitari basati su tale profilo. Questi cookie consentono la gestione, nella maniera più efficace possibile, degli spazi pubblicitari che, a seconda dei casi, l’editor ha incluso direttamente o in collaborazione con terze parti.
• Cookie per l’analisi delle prestazioni: È possibile che da parte del gestore del sito o dei fornitori di servizi vengano inseriti dei cookie per le prestazioni nel tuo dispositivo di navigazione. I cookie per le prestazioni raccolgono informazioni anonime relative al modo in cui gli utenti utilizzano il sito Web e le sue varie funzionalità.
• Cookie di profilazione e marketing: Sono utilizzati esclusivamente da terze parti diverse dal titolare del sito per raccogliere informazioni sul comportamento degli utenti durante la navigazione e sugli interessi e abitudini di consumo, anche al fine di fornire pubblicità personalizzata.

La durata dei cookie installati può essere limitato alla sessione di navigazione (cookie di sessione) o estendersi per un tempo maggiore anche dopo che l’utente ha abbandonato il sito visitato (cookie permanenti).
Per i soli cookie tecnici e analytics non è necessario chiedere un consenso, basta il classico banner “informativo” con rimando all’Informativa estesa.
Per i cookie di profilazione raccolti direttamente dal sito è necessario chiedere un consenso partendo dal classico banner che informa della presenza di questi cookie.
Per i cookie di profilazione di terze parti è necessario chiedere un esplicito e specifico consenso.
Se però, per la profilazione, si usa ad esempio solo Google Analytics (come la maggior parte dei siti) rendendo anonimo l’indirizzo IP il consenso non sarebbe necessario.

Vuoi rimanere aggiornato sugli aspetti legali correlati al tuo business e alla tua attività?

Share on Facebook

Tweet

Follow us

Save

Seguimi sui miei canali