Cos’è la Privacy Policy?
Cosa deve contenere per essere conforme a GDPR?
Ogni sito web che tratta dati personali, per adeguarsi al GDPR, deve contenere un’informativa privacy, detta anche “Privacy Policy”. Si tratta di un documento che informa gli utenti del sito sulle modalità di trattamento dei dati e sulle finalità.
La Privacy Policy deve essere chiara e completa e per essere valida deve:
-
riportare la data effettiva del documento:
descrivere i dati personali raccolti, le modalità e le finalità del trattamento (ad esempio marketing, fini statistici etc.);
-
elencare i terzi fornitori con cui condividi queste informazioni (i vari widget e integrazioni che usi nel tuo sito, ad esempio i pulsanti social o i servizi di statistica);
-
indicare qual è la base giuridica del trattamento (consenso, contratto, legittimo interesse, obbligo di legge, interessi vitali o interesse pubblico);
-
informare gli utenti sui diritti relativi ai propri dati (come il diritto di accesso, rettifica, cancellazione, o il diritto ad opporsi al trattamento dei propri dati personali).
-
Ovviamente deve contenere anche l’identità del titolare del trattamento cioè l’indicazione di chi stabilisce «perché» e «come» devono essere trattati i dati personali raccolti.
Bisogna inoltre sempre assicurarsi che tale informativa sia aggiornata, priva di ambiguità, facilmente accessibile e comprensibile.
Cookie Policy e Cookie Banner. Cosa sono e quando sono necessari
I siti web che utilizzano cookie devono predisporre di una Cookie Policy. Si tratta di un documento che spiega quale tipologia di cookie è attiva sul sito web, a cosa servono i cookie utilizzati e quali dati tracciano.
Cosa sono i cookie?
In estrema sintesi i cookie sono piccole informazioni sugli utenti del sito che vengono memorizzati sul computer per migliorare la navigazione degli utenti che tornano a visitare il sito web in questione.
Esistono 3 tipologie di cookie:
-
I cookie tecnici: Sono cookie che appartengono al titolare del sito e servono per far funzionare il sito o le sue applicazioni stesso o per raccogliere statistiche anonime e aggregate.
-
I cookie di profilazione: Sono cookie che appartengono al titolare del sito e che possono creare un profilo specifico dell’utente sulla base dei suoi interessi, preferenze e abitudini.
-
I cookie di terze parti: Sono cookie che appartengono a fornitori esterni e sui quali il titolare dell’applicazione non ha il controllo diretto.
I siti che fanno uso di Cookie devono avere una Cookie Policy che indichi quali cookie sono utilizzati e con quali finalità (ad esempio tecnici, di profilazione etc) ed elencare le categorie e le finalità dei cookie di terze parti che vengono installati.
Quando è necessario un Cookie Banner?
Il Cookie Banner è un avviso di consenso ai cookie che viene mostrato sul sito alla prima visita dell’utente.
Ha lo scopo di informare gli utenti della presenza di cookie e di chiederne il consenso all’installazione.
Il Cookie Banner serve solo se il sito web rilascia cookie di profilazione. Se il tuo sito web ha solo cookie tecnici, necessari per il funzionamento del sito stesso, non è necessario chiedere alcun consenso all’utente.
In caso di cookie di profilazione è necessario inoltre bloccare preventivamente tutti i codici che installano o che potrebbero installare cookie soggetti all’obbligo di consenso preventivo e rilasciarli solo dopo che gli utenti hanno prestato il proprio consenso.
Le nuove linee guida del Garante sull’uso dei cookie
Dal 10 gennaio 2022 il Garante Privacy Italiano ha introdotto delle nuove linee guida sull’uso dei Cookie.
Tali regole prevedono per il Cookie Banner:
-
pulsanti accetta e rifiuta (o una “x” con funzione di rifiuto, un pulsante “continua senza accettare” ecc.);
-
consenso per categoria;
-
finalità di trattamento;
-
menzione del diritto di revocare il consenso;
link alla Cookie Policy.
-
la cookie Policy deve essere accessibile da ogni pagina, non solo dal banner;
-
l’interesse legittimo non costituisce una base giuridica valida per i cookie;
-
il consenso allo scorrimento non è più valido;
-
i cookie wall non sono ammessi (a meno che non vengano offerte delle alternative per fruire dei contenuti);
-
è possibile chiedere nuovamente di prestare il consenso se sono passati almeno 6 mesi dall’ultima acquisizione.
Il Garante specifica, inoltre, che per poter considerare l’azione di un utente come un consenso valido all’installazione dei cookie, a questa azione deve corrispondere un “evento informatico inequivoco, documentabile” e “riconoscibile e registrabile da parte del titolare”.
Per questo, serve un registro preferenze cookie che includa:
-
chi ha fornito il consenso:
-
quando e come è stato acquisito il consenso;
-
il modulo presentato all’utente;
-
le preferenze espresse;
-
un riferimento a documenti legali e condizioni in essere nel momento in cui hai ottenuto il consenso.
La procedura per tutto il ciclo di vita di un archivio prevede:
– La gestione delle quattro fasi di creazione, consultazione, archiviazione, distruzione;
– Il luogo di conservazione/archivio fisico e, laddove necessario, la gestione dell’accesso in forma controllata. La procedura va integrata con altra relativa alla gestione delle chiavi e dei badge per l’accesso ai locali o agli archivi contenenti tali archivi;
– La responsabilità sotto la quale viene conservato l’archivio (funzione/area/ufficio);
– Le misure messe in atto onde evitare il danneggiamento o la perdita dei documenti dovuti al rischio di eventi quali allagamento/umidità, incendio, presenza di roditori, eccetera.
Aggiornamento cookie 2023:
-
Il pulsante “rifiuta” deve essere visualizzato sul primo livello (non su “altre azioni”
-
Le caselle pre-selezionate non devono essere utilizzate
-
L’opzione di rifiuto non può essere nascosta in un link
-
I colori e i contrasti ingannevoli dei pulsanti non possono essere utilizzati
-
I siti web non possono usare il linguaggio del “legittimo interesse” per ingannare gli utenti (quando i cookie sono essenziali per le funzioni di base del sito web)
-
Non è un obbligo avere una “icona fluttuante” su ogni pagina web