Se il vostro sito web utilizza cookie e altre tecnologie per monitorare gli utenti, dovete fornire un messaggio di notifica dei cookie. Queste caselle pop-up o banner sui cookie informano gli utenti su quali cookie sono attivi sul vostro sito web e sul tipo di dati personali che i cookie raccolgono.
È possibile utilizzarli anche per ottenere il consenso degli utenti all'inserimento di cookie sui loro dispositivi.
Continuate a leggere per saperne di più sui messaggi di notifica dei cookie, su quando sono necessari e su come creare i vostri. Se non siete sicuri di cosa significhi tutto questo, leggete la nostra guida approfondita sui cookie per maggiori informazioni sui cookie in generale.
Che cos'è un messaggio di notifica dei cookie?
I messaggi sui cookie nei siti web si riferiscono al testo contenuto nei pop-up o nei banner che gli utenti ricevono quando visitano siti web con cookie. Ricordano agli utenti che un sito web utilizza i cookie e che hanno il diritto di rifiutarli.
Le aziende utilizzano anche i pop-up dei cookie per ottenere il consenso degli utenti all'uso dei cookie.
Questi messaggi sono richiesti da alcune leggi sulla privacy e sui cookie, come il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea.
Perché è necessario un messaggio cookie?
Ci sono molti motivi per cui è necessario inserire un messaggio sui cookie nel proprio sito web.
Che siate negli Stati Uniti, nell'Unione Europea o in un altro Paese o area, dovete inserire messaggi sui cookie nel vostro sito se fate marketing a persone che vivono in Paesi o regioni con leggi severe sui cookie.
Ad esempio, dovete conformarvi al GDPR dell'UE se vi rivolgete a consumatori dello Spazio economico europeo (SEE), anche se la vostra azienda e il server del vostro sito web hanno sede negli Stati Uniti. Il GDPR si applica a tutti i siti web che offrono servizi o prodotti ai cittadini dell'UE o che raccolgono informazioni personali da cittadini dell'UE.
Negli Stati Uniti
Sebbene non esistano leggi sui cookie negli Stati Uniti, alcuni Stati hanno leggi che regolano l'uso dei cookie per i loro residenti, come il California Consumer Privacy Act (CCPA).
Esistono anche alcune leggi federali, come il Children's Online Privacy Protection Act (COPPA), che regolano l'utilizzo dei cookie da parte delle aziende in particolari circostanze.
La legge sulla privacy dei consumatori della California (CCPA)
Il CCPA protegge i dati degli utenti californiani dalle violazioni della privacy. Come il GDPR, regola l'uso delle informazioni personali, compresi i cookie.
A differenza del GDPR, il CCPA non richiede che un'organizzazione ottenga il consenso degli utenti per la raccolta e il trattamento dei loro dati personali. Tuttavia, l'organizzazione deve dare agli utenti il diritto di rinunciare alla vendita di informazioni personali se raccoglie e vende le informazioni personali degli utenti a terzi.
Il consenso è richiesto anche per circostanze specifiche, come la raccolta e l'utilizzo di dati personali di minori di 16 anni e il trasferimento di informazioni.
La legge sulla protezione della privacy online dei bambini (COPPA)
Come il CCPA, il COPPA protegge il diritto alla privacy dei minori. Si applica a tutti i siti web e alle aziende online che raccolgono, utilizzano o divulgano informazioni personali dei bambini e richiede di informare direttamente i genitori sulla raccolta dei cookie.
A differenza del GDPR, non richiede l'inserimento di messaggi sui cookie. Tuttavia, nella vostra politica sulla privacy online dovete indicare quanto segue:
- Informazioni di contatto (ad esempio, nome, numero di telefono, indirizzo e indirizzo e-mail) di tutti gli operatori che gestiscono o raccolgono informazioni personali attraverso il vostro sito o servizio.
- Descrizione delle informazioni che l'operatore raccoglie dai bambini, che dovrebbe includere se l'operatore consente ai bambini di rendere pubbliche le loro informazioni personali, le pratiche di divulgazione di tali informazioni da parte dell'operatore e il modo in cui l'operazione utilizzerà tali informazioni.
- Come i genitori possono rivedere o richiedere la cancellazione dei dati personali dei propri figli. Dovreste anche indicare come i genitori possono limitare l'ulteriore raccolta o utilizzo dei dati dei loro figli.
Nell'UE
I messaggi sui cookie sono richiesti per legge dal Regolamento generale sulla protezione dei datiGDPR) e dalla Direttiva ePrivacy dell'UE.
GDPR
Il GDPR dell'UE è la legge sui cookie più severa al mondo. È entrato in vigore il 15 maggio 2018 e si applica a tutti i siti web che si rivolgono ai consumatori del SEE.
Sebbene la parola "cookie" sia menzionata solo una volta nelle 88 pagine che lo compongono, il GDPR rappresenta una svolta per l'utilizzo dei cookie. A differenza dei precedenti mandati in materia di privacy, come la Direttiva ePrivacy, il GDPR rende obbligatorio per i siti web ottenere il consenso degli utenti prima di inserire i cookie nei loro browser.
Perché il consenso sia valido, deve essere:
- Specifico e non ambiguo
- Liberamente dato, il che significa che deve essere dato volontariamente.
- Informato, il che significa che il sito deve informare l'utente sui cookies prima di inserirli nel suo browser
- Espressa attraverso un'azione esplicita e affermativa
Questo requisito di consenso attivo espresso attraverso un'azione chiara e affermativa è in netto contrasto con la legge sui cookie dell'UE o la direttiva ePrivacy del 2002, che consentiva un consenso passivo o implicito.
Il consenso passivo, noto anche come browsewrap, si ha quando un sito web presuppone l'accettazione da parte dell'utente dei termini di servizio o dell'Informativa sulla privacy del sito stesso, basandosi semplicemente sul fatto che l'utente continua a utilizzare il sito o il servizio.
Poiché l'utente non può scegliere o acconsentire ai cookie prima che questi vengano inseriti nel suo browser, non può fornire un consenso valido ai sensi del GDPR. Pertanto, i messaggi sui cookie con consenso passivo non sono conformi al GDPR.
Regolamento ePrivacy
Il Regolamento ePrivacy è una versione rivista dell'attuale Direttiva ePrivacy, comunemente nota anche come Legge sui Cookie. Come il GDPR, il regolamento opera nell'UE ma richiede la conformità di qualsiasi sito web o organizzazione che si rivolge a utenti dell'UE.
È destinato a lavorare con il GDPR per stabilire il quadro riformato dell'UE in materia di protezione dei dati, ma non è ancora entrato in vigore. Una volta ultimato, il Regolamento ePrivacy amplierà il GDPR e stabilirà regole più semplici per i cookie.
Non sappiamo ancora quali saranno tutte queste regole, ma la Commissione europea ha dichiarato che non sarà necessario il consenso per i cookie che non violano la privacy. Questi includono i cookie che migliorano l'esperienza dell'utente, come quelli utilizzati per ricordare la cronologia del carrello della spesa.
Resto del mondo
Esistono anche altri Paesi con una legislazione simile.
Canada
A differenza della California e dell'UE, il Canada non ha una legislazione che regolamenta specificamente i cookie. Tuttavia, la normativa sui cookie fa parte delle leggi canadesi contro lo spam e sulla privacy.
Secondo la legge federale canadese antispam ("CASL"), è illegale installare programmi o software sul computer di un'altra persona durante un'attività commerciale senza aver prima ottenuto il suo esplicito consenso.
Come il GDPR, il CASL richiede che il consenso dell'utente sia ottenuto in un modo particolare. Una persona - definita come una società, un'organizzazione, un individuo, una partnership, un fiduciario, un curatore, un'associazione o un rappresentante legale - deve dichiarare esplicitamente quanto segue prima di ottenere il consenso esplicito:
- Perché si chiede il consenso della persona
- L'identità della persona che richiede il consenso
Tuttavia, il CASL stabilisce anche che si ritiene che una persona abbia dato un consenso esplicito all'installazione dei cookie se è ragionevole credere che abbia acconsentito attraverso il suo comportamento. Purtroppo, al momento non ci sono molte indicazioni su quale tipo di comportamento sia considerato "ragionevole": l'unico esempio fornito dal regolatore del CASL è che non si ritiene che una persona abbia acconsentito se ha disabilitato i cookie attraverso il proprio browser.
La legge canadese sulla privacy(PIPEDA) richiede generalmente il consenso per la raccolta, l'utilizzo e la divulgazione di informazioni personali. Il modo più sicuro per ottenere questo consenso è un consenso esplicito e informato, come ad esempio le notifiche dei cookie.
Tutto sommato, questo suggerisce che la normativa canadese sui cookie è molto meno severa di quella della California e dell'UE.
Singapore
La legge di Singapore sulla protezione dei dati, il Personal Data Protection Act (PDPA), regola il trattamento dei dati personali e il marketing. Stabilisce come le organizzazioni utilizzano, raccolgono e smaltiscono i dati personali dei cittadini di Singapore.
Come il GDPR, il PDPA stabilisce che è necessario ottenere il consenso dell'utente prima di raccogliere o utilizzare i suoi dati personali. Pertanto, è necessario includere i seguenti dettagli quando si ottiene il consenso dell'utente:
- Motivo del trattamento dei dati personali degli utenti.
- Qualsiasi altra finalità del trattamento dei dati degli utenti che non sia stata resa nota in precedenza.
- Su richiesta degli utenti, è necessario fornire le informazioni di contatto di una persona che agisca per conto dell'organizzazione che richiede i dati degli utenti. Questa persona dovrà rispondere alle domande degli utenti sulla raccolta, l'utilizzo o la divulgazione dei loro dati.
Tuttavia, a differenza del GDPR, il PDPA accetta il consenso implicito o presunto in determinate circostanze. Queste includono:
- Consenso presunto: il consenso può essere implicito o presunto se l'utilizzo, la raccolta o la divulgazione dei dati personali degli utenti è necessaria per adempiere a un contratto tra l'organizzazione e l'utente.
- Consenso presunto tramite notifica: le aziende possono presumere il consenso se forniscono una notifica dello scopo dietro la raccolta, l'uso o la divulgazione dei dati personali. Allo stesso tempo, devono anche concedere agli utenti un periodo di tempo ragionevole per rinunciare. Il consenso si riterrà dato se gli utenti non rinunciano entro tale periodo.
Il PDPA di Singapore è più simile al CASL canadese che al GDPR , poiché accetta il consenso implicito o presunto.
Cosa deve esserci in un messaggio per i cookie?
Per essere conforme al GDPR, il vostro messaggio sui cookie deve essere conforme a quanto segue:
- Informare gli utenti che il sito web utilizza i cookie.
- Elencare i tipi di cookie presenti sul sito web (ad esempio, essenziali, funzionali, di marketing).
- Fornire agli utenti maggiori informazioni sulle modalità di utilizzo dei cookie da parte del sito web, includendo collegamenti all'informativa sulla privacy o all'informativa sui cookie del sito. Può anche contenere informazioni su come gli utenti possono scegliere di non utilizzare i cookie o modificare le loro impostazioni.
- Ottenere il consenso attivo degli utenti all'uso dei cookie.
Ad esempio, il messaggio di The Guardian sui cookie qui sotto fa tutte e tre queste cose.
Il banner del Guardian:
- Informa gli utenti che il sito utilizza i cookie. Utilizza un carattere grande e accattivante per "It's your choice". Ciò induce l'utente a leggere per scoprire perché c'è un banner e a quale scelta si riferisce.
- Fornisce agli utenti informazioni su come The Guardian utilizza i cookie. I dettagli si trovano alla voce "È una tua scelta".
- Ottiene il consenso attivo degli utenti all'uso dei cookie. Ciò avviene attraverso i pulsanti "Sì, sono contento" e "Gestisci i miei cookie".
Dove è necessario visualizzare la notifica dei cookie?
Per garantire la conformità, è necessario inserire un messaggio di notifica dei cookie in ogni pagina del sito web.
Se lo si posiziona solo sulla pagina iniziale, gli utenti che si trovano su un'altra pagina non potranno vedere il messaggio di notifica. Di conseguenza, non sapranno che il vostro sito web utilizza i cookie e non potrete ottenere il loro consenso all'inserimento dei cookie sul loro dispositivo.
Come creare un messaggio cookie
Creare pop-up di notifica dei cookie partendo da zero può essere difficile, soprattutto se non si ha il tempo e l'energia per assicurarsi che i messaggi siano conformi alla legislazione in materia.
Ecco alcuni modi per iniziare a creare un messaggio di notifica dei cookie.
Soluzione gestita (consigliata)
Il il modo più sicuro e rapido per garantire la conformità per assicurarsi di essere in regola con i requisiti sui cookie è quello di dotarsi di una soluzione gestita come il consenso ai cookie Manager diTermly..
Potente ma facile da usare, il nostro consenso ai cookie Manager è uno strumento basato sul browser che richiede un impegno minimo da parte vostra.
Utilizzare Termly per creare una notifica di cookie
- Passo 1: inserire l'URL del sito web nello scanner di Termly
- Fase 2: Esamineremo il vostro sito e classificheremo la maggior parte dei vostri cookie.
- Fase 3: Generiamo la vostra politica sui cookie e il banner di notifica dei cookie personalizzabile
Tutto ciò che dovete fare è inserire le informazioni del vostro sito web e premere il pulsante "Crea consenso ai cookie". Esamineremo il vostro sito web alla ricerca di cookie, li organizzeremo in categorie appropriate, scriveremo una politica sui cookie personalizzata per la vostra azienda e genereremo un banner di consenso ai cookie che potrete visualizzare sul vostro sito con facilità.
Soluzione per i plugin
Se siete proprietari di un sito WordPress, prendete in considerazione la possibilità di scaricare un plugin per i messaggi sui cookie. Questi strumenti vi forniranno messaggi e pop-up personalizzabili sui cookie che vi aiuteranno a rispettare i requisiti sui cookie.
A differenza del fai-da-te o dei modelli, i plugin sono già dotati di codifica, colori, sincronizzazione delle pagine di WordPress e formattazione, quindi è sufficiente modificare il testo e l'aspetto per adattarlo al proprio marchio.
Soluzione fai-da-te (non consigliata)
Questa opzione prevede la stesura del testo legale richiesto e la codifica della visualizzazione e della funzione del messaggio di notifica. Non è consigliata se non si ha familiarità con le leggi sulla privacy o con la codifica. Se si sceglie questa opzione, si dovrebbe prendere in considerazione l'utilizzo di un modello di informativa sui cookie per semplificare il processo di conformità ai cookie.
Conclusione
I messaggi di notifica dei cookie sono ora un requisito previsto dal GDPR, dal CCPA e da altre leggi sulla privacy. Per questo motivo, dovete riunirvi con il vostro team e scegliere una soluzione per i messaggi di notifica dei cookie che vi aiuti a rispettare le leggi sulla privacy applicabili agli utenti del vostro sito web. Questo non solo vi proteggerà dal contraccolpo del GDPR, del COPPA, del CCPA e di altre leggi, ma vi preparerà anche alle prossime leggi sui cookie, come il regolamento ePrivacy dell'UE.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
