I Cookie e la GDPR

Masse di professionisti del web si sono avvicendati sul chi fosse più aggiornato sulla nuova legge per la Regolamentazione della Privacy in vigore dal prossimo 25 Maggio.

Plugin su plugin, anche a pagamento, si sono fatti avanti per cercare di parare un qualche cosa che prima, invece, bisognava conoscere in modo approfondito. Per conoscere bisogna leggere: leggere da chi le cose le fa perché sono il suo core business.

Cookie e GDPR sono complementari non alternativi

La gestione dei dati esula dalla gestione dei Cookie.
L’utente che atterra sul nostro sito ha la necessità di sapere che cosa succede: esattamente come prima!
Nulla è cambiato nonostante qualcuno sostenga che il tutto non può più essere implicito con lo scorrimento del banner o con un clic all’esterno di esso ma deve necessariamente avere un consenso chiaro e inequivocabile.

Si tratta di un consenso dimostrabile al Garante, non all’utente.  Questo consenso è riferito ai dati sensibili. Il banner di Iubenda è un esplicito invito a prendere atto che il sito utilizza cookie. Ne consegue che se lasciate le cose come stanno, senza utilizzo del banner, siete fuori legge. Se farete in maniera che il banner debba essere, per forza di cose, visualizzato, cliccato ed accettato, sarete in regola.

Dati ricevuti da elementi di contatto

Cosa diversa invece è la richiesta o l’immissione di dati quali
• iscrizione alla newsletter
• commenti a contenuti
• e-commerce
• e tutto quello che concerne un rilascio di dati certi

In questo caso serve il consenso registrato e dimostrare al Garante di averlo ricevuto.
I vari strumenti quali Mailchimp o WooCommerce, par fare degli esempi, si sono già attrezzati in merito.

Ci sono degli interessanti spunti che potete leggere attraverso contenuti scritti da specialisti dello strumento o direttamente sul loro sito ufficiale.

Per WooCommerce vi segnalo un post di Business Bloomer
Per Mailchimp vi segnalo la pagina facebook di Maura Cannaviello

Cosa cambia per il web marketing?

Di per sé poco se le cose sono state fatte con cognizione di causa sin dall’inizio.
La paura più grande per i professionisti del web è proprio questa: come faremo a profilare gli utenti dopo il 25 Maggio?
La risposta è semplice: esattamente come prima! La Cookie Law esiste da molti anni.

Potrei azzardare che la Legge sia stata fatta per i più addormentati, per quelli che si chiedono come mai se guardano una cosa poi quella cosa corre loro dietro come un’ape sul miele. Per loro viene specificato che il sito che stanno visitando ha la possibilità di monitorare le loro preferenze, ed eventualmente proporre ulteriori vantaggi se non desiderino completare un acquisto o un’iscrizione in quel momento per qualsiasi ragione.
Questo tracciamento non ha niente a che vedere con la gestione dei dati: non viene richiesto nulla e nulla viene ricondotto al riconoscimento di una data persona. Ancor di più se si utilizza l’IP anonimo su Google Analytics.

GDPR è tutta qui

Tracciamo come sempre dedicando un’attenzione in più agli utenti.
• Una volta conseguiti dei dati, seppur minimi, i dati vanno registrati e conservati in un luogo sicuro.
Scrivete una Policy ad hoc e non copiata di qua e di là dove specificate esattamente all’utente che cosa succede quando vi lascia dei dati, che cosa ne fate, in che modo, chi ne è responsabile, chi ne è titolare, come richiedere la cancellazione dei propri dati, come modificarli, cosa succede se vengono manomessi.

Cookies e GDPR non sono un problema Condividi il Tweet

GDPR e IUBENDA

Vi riporto quanto Iubenda scrive nella newsletter inviata a tutti i suoi abbonati.
Spero vi possa fare un po’ di chiarezza.

Non è necessario elencare i cookie nome per nome o fornire un sistema di opt-out integrato sul tuo sito

Chiariamo alcuni equivoci comuni

Gentile Utente,

con il 25 maggio alle porte, il GDPR è sulla bocca di tutti, e molti si chiedono quali saranno gli effetti sugli obblighi legati all’utilizzo dei cookie. Per questo motivo, vogliamo cogliere l’occasione per chiarire alcuni dei malintesi più comuni relativi ai cookie e al GDPR sulla base delle richieste ricevute dai nostri utenti nel corso delle ultime settimane. Purtroppo su questo argomento circolano online anche molte informazioni fuorvianti, e quindi ci è sembrato opportuno chiarire questo aspetto.

Per un approfondimento generale consulta la nostra guida GDPR →

Quindi, in che modo il GDPR disciplina l’utilizzo dei cookie?

La risposta breve è che non lo fa – l’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law). In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora insieme” con il GDPR, invece di essere abrogata da quest’ultimo. Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy, che opererà insieme con il GDPR per regolamentare i requisiti per l’uso dei cookie. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.

È necessario elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati dal mio sito web?

No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome. Tuttavia, il gestore del sito è tenuto ad indicare chiaramente le loro categorie e finalità. Questa decisione da parte del legislatore è probabilmente motivata dalla volontà di evitare che ogni gestore di siti web sia costretto a monitorare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al suo controllo. Ciò sarebbe infatti irragionevole, nonché inutile per l’utente finale.

Ulteriori dettagli disponibili qui →

Quest’articolo delinea un quadro giuridico più ampio in materia, citando le disposizioni delle autorità di Italia, Regno Unito, Spagna e Belgio →

Devo fornire agli utenti un meccanismo per gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente dal mio sito web?

No, la Cookie Law non ti obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal tuo sito, ma solo a:

  • predisporre un meccanismo chiaro per ottenere un consenso informato e attivo;
  • fornire un metodo per la revoca del consenso;
  • garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.

Questo significa che il meccanismo di opt-out non deve essere ospitato direttamente dal tuo sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo accettabile per gestire e revocare il consenso.

La nostra soluzione va oltre, indicando non solo le opzioni a disposizione all’interno del browser, ma anche gli strumenti offerti da soggetti terzi e i link ai moduli di consenso messi a disposizione direttamente dalle terze parti, che sono in ultima analisi i responsabili della gestione dell’opt-out in relazione ai propri strumenti di tracciamento.

Qui trovi ulteriori informazioni sui requisiti imposti dalla Cookie Law →

Devo registrare i consensi ai cookie per ogni utente?

La Cookie Law non impone la tenuta di un registro dei consensi, ma stabilisce la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati. Il modo più semplice per soddisfare questo requisito è quello di adottare una soluzione cookie che utilizzi un meccanismo di blocco preventivo in quanto, in questo caso, i codici che installano cookie sono eseguiti solo dopo aver ottenuto il consenso. In questo modo, infatti, il fatto stesso che i codici siano stati eseguiti è una prova sufficiente del consenso.

Ulteriori informazioni disponibili qui → 

Conclusioni

GDPR e Cookie Law sono complementari, si supportano a favore dell’utente che naviga all’interno del sito.
Questa nuova regolamentazione, forse, metterà un po’ di ordine nel marasma della Rete.
Sostengo in ogni caso che la differenza, come sempre, la faranno i navigatori e non una legge che, pur buona che sia, lascia sempre un’interpretazione discutibile.

AGGIORNAMENTO AL 31 MAGGIO 2018

Ho scoperto un nuovo plugin molto interessante che permette di interagire e registrare tutti i trattamenti riguardanti la gestione dei Cookie sui siti in regola con il regolamento GDPR.
Il plugin lo trovate qui:
https://www.gdprsoluzionetotale.it/index.php/soluzione-online
ed è stato realizzato da Canio Caprarella.

Ecco in cosa consiste la Soluzione OnLine:
• Audit di acquisizione dati sui servizi offerti dal sito e sulla tipologia di raccolta, con descrizione del sito web, della forma di business, dell’ente, del titolare, del provider.
• Analisi del sito, delle parti di acquisizione dati.
• Valutazione d’impatto sulla protezione dei dati (DPIA)
• Lettera di incarico del DPO (Data Protection Officer),
• ettera di incarico del Responsabile Esterno.
• Registro conforme al GDPR e personalizzato sulle specifiche esigenze
• Privacy Informativa agli utenti, da inserire sul sito in forma personalizzata.
• Plug-in per i maggiori CMS, gestione Registro consensi, Registro utenti, Gestione cookies, Gestione data breach, Gestione oblio, Gestione portabilità.
• Istallazione e set-up plug-in.
• Corso rapido per la gestione del plug-in, del registro, dei cookies

Le soluzioni Consent Solution + Internal Privacy Management a 29€/mese si equivalgono.
Una costa 348€ (iubenda) l’altra 350€ (gdprsoluzionetotale)
Si tratta di capire quale servizio possa essere più comodo per gestire la soluzione più adatta a voi.

È interessante vero? Lo condividi?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

code

Mi aiuti a condividerlo?