I cookie sono piccoli file che i siti Web memorizzano sui computer dei visitatori. Questi file possono servire a molti scopi, come mantenere gli utenti collegati a un sito web e tracciare il loro comportamento su Internet.
Sebbene i cookie di Internet siano generalmente innocui, possono anche consentire ai siti web di invadere la privacy dei loro visitatori. Comprensibilmente, molti governi di tutto il mondo hanno emanato nuove leggi per regolamentare l'uso dei cookie online.
Ad esempio, l'Unione Europea e lo Stato della California hanno entrambi istituito norme che impongono ai siti web di spiegare chiaramente come utilizzano i cookie e di dare agli utenti la possibilità di rifiutarli. Se la vostra organizzazione ha un sito web, probabilmente siete tenuti a rispettare queste leggi.
In questa guida scoprirete cos'è la conformità ai cookie, le leggi che la richiedono, le conseguenze della mancata conformità e le tecniche e gli strumenti per mantenere il vostro sito web completamente conforme ai cookie.
Che cos'è la conformità ai cookie?
La conformità ai cookie è il processo per assicurarsi di utilizzare i cookie solo nei modi consentiti dalla Direttiva ePrivacy(Legge sui cookie dell'UE), dal Regolamento generale sulla protezione dei dati dell'UE (GDPR).GDPR), dal California Consumer Privacy Act(CCPA) e da qualsiasi altra legge sulla privacy applicabile.
Per essere conformi alla normativa sui cookie, è necessario monitorare attentamente il modo in cui il proprio sito web utilizza i cookie e informare chiaramente i visitatori sui cookie che il sito intende utilizzare.
Le normative citate in precedenza offrono le migliori pratiche generali che spiegano come utilizzare i cookie in modo conforme alla privacy. Tuttavia, all'interno di queste leggi avete un certo margine di manovra per decidere come mantenere il vostro sito web in conformità, ed è qui che le cose possono complicarsi.
Quali leggi richiedono la conformità ai cookie?
Le principali leggi e normative che richiedono la conformità ai cookie sono il GDPR, la Direttiva ePrivacy e il CCPA. Tuttavia, i loro requisiti non sono identici e potrebbe essere necessario adeguare le proprie prassi in materia di cookie per conformarsi ad essi. Di seguito vi spieghiamo cosa richiede ciascuna normativa e cosa dovete fare al riguardo.
GDPR e Direttiva ePrivacy
Il Regolamento generale sulla protezione dei datiGDPR) è la legislazione più completa in materia di protezione dei dati che qualsiasi organo di governo abbia approvato fino a questo momento. Tuttavia, menziona i cookie direttamente solo una volta, nel Considerando 30.
La Direttiva ePrivacy (ePD) è stata modificata nel 2009 e da allora è nota come "legge europea sui cookie".
L'effetto più rilevante della legge sui cookie è stata la proliferazione dei popup di consenso ai cookie . Inoltre, integra (e in alcuni casi scavalca) il GDPR, affrontando caratteristiche essenziali della riservatezza delle comunicazioni elettroniche e dell'ampia tracciabilità degli utenti di Internet.
Insieme, il GDPR e la Direttiva ePrivacy non riguardano solo i cookie. Tuttavia, per l'utente medio di Internet, l'impatto più evidente della normativa è il modo in cui influisce sulle aziende che utilizzano i cookie.
In primo luogo, hanno suddiviso i biscotti in diverse categorie:
- Cookie strettamente necessari, ovvero quelli che consentono di mantenere l'accesso al sito da parte dell'utente o di conservare il contenuto del suo carrello della spesa.
- cookie di preferenza o funzionali, come quelli che tengono traccia delle lingue preferite in diverse sessioni di navigazione
- Cookie statistici che tracciano il modo in cui i visitatori utilizzano un sito web per migliorarne le prestazioni
- Cookie di marketing che consentono agli inserzionisti di visualizzare annunci mirati
Oltre a questo, i regolamenti richiedono ai siti web di:
- Utilizzare solo i cookie strettamente necessari fino a quando il sito non acquisisce il consenso specifico dell'utente a fare altrimenti
- Spiegare chiaramente lo scopo e l'uso di ciascun cookie prima che l'utente possa dare il proprio consenso.
- Mantenere registrazioni accurate sul consenso ai cookie dell'utente consenso ai cookie
- Permettere l'accesso ai contenuti indipendentemente dal consenso ai cookie
- Fornire un facile consenso ai cookie ritiro consenso ai cookie a tutti gli utenti.
Se non riuscite a svolgere uno di questi compiti, significa che non siete conformi alle leggi dell'UE, indipendentemente dal fatto che siate o meno un'organizzazione con sede nell'UE.
Il GDPR e la Direttiva ePrivacy si applicano alle aziende all'interno e all'esterno dell'UE, del Regno Unito, della Norvegia, delle Isole, del Lichtenstein e della Svizzera. Secondo l'articolo 3 del GDPR: il GDPR si applica a tutte le aziende dell'UE che trattano dati personali.
Si applica anche alle aziende al di fuori dell'UE che:
- Offrire beni o servizi di qualsiasi tipo a persone nell'Unione Europea
- Monitorare il comportamento di chiunque nell'UE
Se soddisfate uno di questi criteri, dovete seguire tutte le rigide linee guida per la conformità ai cookie dell'UE o incorrere in sanzioni.
CCPA
La legge sulla privacy dei consumatori della California è entrata in vigore nel 2020 ed è stata notevolmente ampliata dalla legge sui diritti alla privacy della California nel 2021.
Come il GDPR, questi atti non riguardano solo i cookie. Tuttavia, includono disposizioni significative che regolano il modo in cui le aziende possono utilizzare i cookie per tracciare i residenti in California.
I requisiti del CCPA sono relativamente simili a quelli del GDPR : i siti web devono:
- Fornire informazioni dettagliate su cosa e perché vengono utilizzati i cookie e su cosa viene fatto con i dati dei cookie.
- Facilitare la disattivazione dei cookie da parte degli utenti
- Fornire agli utenti minorenni un modo semplice per revocare il consenso a specifici cookie.
C'è un ulteriore requisito che si discosta dal GDPR:
I siti web devono offrire un chiaro pulsante "Non vendere i miei dati personali" e "Non condividere i miei dati personali" per consentire all'utente di impedire la vendita o la condivisione dei propri dati personali.
Di conseguenza, il sito deve creare un modo per tracciare gli utenti che hanno optato per la vendita e la condivisione dei dati.
Infine, ai sensi del CCPA, i siti devono offrire agli utenti un modo altrettanto comodo per ritirare il proprio consenso nel caso in cui cambino idea.
Ciò significa implementare un servizio di opt-out aggiuntivo che possa essere facilmente individuato, spesso inserendo un link in fondo alla pagina. Dovrebbe consentire agli utenti di rinunciare alla vendita - o alla condivisione - dei loro dati attraverso i cookie, optando per categorie specifiche di cookie, ad esempio cookie pubblicitari o cookie analitici, in modo che non vengano impostati sui dispositivi degli utenti.
Come per il GDPR, il CCPA, così come è stato scritto, si applica a tutte le aziende che si rivolgono ai residenti dello Stato e che soddisfano determinate soglie. Pertanto, anche se la vostra azienda non ha sede in California, potrebbe essere necessario che sia conforme al CCPA se ha un traffico proveniente dallo Stato.
Tipi di conformità ai cookie
Se avete bisogno di essere conformi ai cookie, potete scegliere tra tre metodi. Queste soluzioni di conformità ai cookie sono adatte a diversi casi d'uso, a seconda dei cookie coinvolti.
Conformità all'Opt-out
Con l'opt-out compliance, si informano gli utenti dell'utilizzo dei cookie e si offre loro la possibilità di saperne di più sul processo. Se scelgono di saperne di più, possono selezionare i cookie che desiderano mantenere e rinunciare agli altri.
Questo metodo deve essere utilizzato con cautela, in quanto è conforme al CCPA ma non necessariamente al GDPR , poiché inserisce i cookie nel dispositivo dell'utente senza il suo preventivo consenso.
Conformità all'Opt-in
La conformità dei cookie opt-in è leggermente diversa.
Un avviso di opt-in offrirà agli utenti due pulsanti: uno che accetta tutti i cookie e uno che li nega. Gli utenti devono selezionare attivamente una casella per confermare l'accettazione dei cookie.
Inoltre, la conformità ai cookie di tipo opt-in non consente ai siti web di rilasciare cookie o raccogliere dati sugli utenti prima che questi abbiano dato il loro esplicito consenso.
Questo metodo è conforme al GDPR e al CCPA (quando un sito web raccoglie dati di minori).
Avviso sui cookie senza opzioni di Opt-in o Opt-out
Con questo metodo, si fornisce una chiara spiegazione dei cookie utilizzati dal sito e si informa il visitatore che, utilizzando il sito, accetta tali cookie.
L'utente non ha la possibilità di rinunciare a questi cookie. Di conseguenza, questo metodo non è conforme al GDPR o al CCPA.
Quali sono le conseguenze della non conformità?
La mancata osservanza delle suddette leggi sulla privacy ha conseguenze diverse a seconda del luogo in cui si vive. Ad esempio, se non vi trovate nell'UE o in California, non siete direttamente soggetti alla giurisdizione di tali leggi.
La mancata conformità al CCPA e al GDPR vi riguarda solo se vi rivolgete a clienti in queste aree o se soddisfate determinati requisiti di soglia.
Ecco due esempi per dipingere meglio il quadro:
Supponiamo che gestite un ristorante in Idaho. Il vostro sito web si rivolge agli abitanti del luogo per incoraggiarli a effettuare un ordine o una prenotazione. In questo caso, probabilmente non dovrete conformarvi né al CCPA né al GDPR perché non vi rivolgete a utenti dell'UE o della California né tracciate le loro informazioni.
Per contro, immaginate di gestire un sito di notizie con sede a New York e di pubblicare articoli che potrebbero indirizzare il traffico dall'UE o dalla California.
In questo caso, avete due opzioni:
Potete bloccare il traffico da questi luoghi per assicurarvi di non trattare accidentalmente le loro informazioni o rispettare le leggi in materia.
Conseguenze GDPR
Se queste norme si applicano al vostro caso, le conseguenze della mancata conformità possono essere molto pesanti. Il GDPR comporta sanzioni pecuniarie significative, per cui, a seconda del tipo di violazione, potreste andare incontro a..:
- Multe fino a 20 milioni di euro
- Ammende fino al 2%-4% del fatturato annuo mondiale dell'azienda dell'anno precedente.
Il regolamento prevede l'applicazione della multa più alta, con accuse più gravi che comportano multe maggiori.
Anche le violazioni minori possono comportare multe di migliaia di euro e rischi per la reputazione.
Conseguenze del CCPA
Il CCPA impone anche multe molto salate.
I casi di non conformità possono portare a multe di 2.500 dollari per violazione non intenzionale.
Le violazioni intenzionali possono portare a multe di 7.500 dollari per ogni incidente. Ciò significa che ogni cliente le cui informazioni vengono elaborate o conservate in violazione del CCPA aggiunge almeno 2.500 dollari al totale della multa.
Inoltre, se violate il CCPA ed esponete i vostri visitatori a una violazione dei dati, ogni persona colpita ha il diritto di citare in giudizio la vostra organizzazione per un massimo di 750 dollari o per i danni effettivi, a seconda di quale sia il valore più alto.
Se avete dubbi sulla conformità ai cookie, è più sicuro prendere provvedimenti per seguire le leggi piuttosto che rischiare.
Come ottenere la conformità ai cookie
Una volta stabilito il tipo di conformità ai cookie più adatto alle vostre esigenze, potete adottare le misure necessarie per implementarlo. Il processo di base è simile per tutte e tre le tipologie.
Per essere conformi ai cookie, è necessario assicurarsi di ricevere il consenso prima di utilizzarliGDPR), oppure implementare un meccanismo di opt-out semplice (CCPA).
Il consenso opt-in previsto GDPR deve essere:
- Acquisito prima dell' utilizzo di qualsiasi cosa, tranne i cookie essenziali
- Liberamente forniti dal visitatore, senza che siano richiesti prima dell'accesso ai servizi o ai contenuti
- Documentati in modo chiaro e conservati per riferimenti futuri.
- Rinnovato per garantire che il visitatore continui ad acconsentire ai cookie
Ciò significa che è necessario raccogliere il consenso attraverso un banner sui cookie banner prima di salvare un singolo cookie non essenziale sul computer di un visitatore.
Inoltre, per essere completamente conformi al GDPR in materia di cookie, è necessario soddisfare tre criteri:
- Sul vostro sito web viene visualizzato un banner di consenso ai cookie con un linguaggio semplice.
- Tutte le informazioni consenso ai cookie vengono memorizzate in un database sicuro.
- Rendete facile per i visitatori ritirare il consenso.
Verifica del sito web
Se non siete sicuri di essere conformi ai cookie, dovete verificare il vostro sito web.
- In primo luogo, scansionate il vostro sito per individuare tutti i cookie che tentano di essere salvati su un computer. Per saperne di più, potete leggere la nostra guida sull'esecuzione di controlli sui cookie.
- Una volta identificati tutti i cookie utilizzati dal sito, è necessario impostare un banner di consenso ai cookie e un blocco dei cookie. Potete programmare il vostro banner o lavorare con uno strumento che raccolga il consenso per vostro conto.
- Infine, dovrete scrivere e pubblicare la vostra politica sui cookie e aggiornarla regolarmente.
Strumenti automatizzati per la conformità ai cookie
Non dovete gestire da soli la vostra conformità ai cookie. È possibile utilizzare strumenti per la conformità dei cookie per semplificare il processo e monitorare i cookie con meno problemi. Un'ottima soluzione per la conformità dei cookie vi aiuterà:
- Creare una politica sui cookie
- Visualizza un cookie banner personalizzato che si adatta al design del sito.
- Regolare la politica e il banner in modo che siano visualizzati nelle lingue preferite dai visitatori.
- Registrare e salvare le preferenze degli utenti per il futuro
- Categorizzare automaticamente i cookie offerti dal sito in base alle tipologie GDPR
- Bloccare i cookie dal proprio sito in base alle preferenze degli utenti
Grazie a tutte queste funzioni, non dovrete più pensare ai vostri cookie. Al contrario, potete affidarvi al vostro gestore di cookie per gestire tutto al posto vostro.
Il nostro gestore diconsenso ai cookie vi permette di tenere traccia di tutti i vostri cookie in un unico posto e di mantenere sempre aggiornata la vostra informativa sui cookie.
Garantire la conformità ai cookie con Termly
Passo 1: inserire l'URL del proprio sito web nello scanner qui sotto
Fase 2: Esamineremo il vostro sito e classificheremo la maggior parte dei vostri cookie
Fase 3: Genereremo la tua politica dei cookie e un cookie banner personalizzabile
Infografica sulla conformità ai cookie
Riassunto
La conformità ai cookie è fondamentale per i potenziali clienti della California o dell'UE. Mantenere la conformità a leggi come il GDPR e il CCPA protegge i vostri utenti da violazioni dei dati e della privacy e vi aiuta a evitare multe per mancata conformità.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
