Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Come ottenere una cookie policy per sito web a norma del GDPR

23/03/2022

Come generare una cookie policy per sito web a norma del GDPR



Pubblicare una cookie policy per sito web a norma è molto importante per evitare le sanzioni del Garante Privacy.Questa guida è stata redatta dai nostri avvocati esperti in privacy per permettere a web agency e titolari di siti web o e-commerce di pubblicare questo documento in base alla c.d. "cookie law" e al GDPR.

La guida tiene conto della seguente normativa:

 

  • direttive europee
  • normativa italiana
  • linee guida europee
  • linee guida del Garante Privacy
  • best practise acquisite dai nostri legali.

E ovviamente tenendo conto di quanto previsto dal GDPR.

 

 

 

SOMMARIO
 

 

Premessa su come generare una cookie policy a norma GDPR
La "cookie law": la legge della tua informativa cookie
Cosa sono i cookie e le sue funzioni
Il ruolo del consenso e della privacy
Come ottenere il consenso ai cookie di profilazione
Vietato rilasciare i cookie di profilazione senza il consenso dell'utente
Presentare un banner cookie al primo accesso sul sito web o ecommerce 
Modificare le scelte sui cookie
Il contenuto della informativa cookie
Conclusioni su come generare una cookie policy a norma
Con LegalBlink generi una cookie policy a norma GDPR



Premessa su come generare una cookie policy a norma GDPR



La Guida tiene in particolare conto delle Linee guida sull'uso dei cookie del Garante Privacy pubblicate il 10 luglio 2021.

A novembre 2020 il Garante Privacy ha pubblicato una bozza di Linee guida sull’uso dei cookie.

Il documento era stato oggetto di una c.d. “consultazione pubblica” tra gli operatori (anche LegalBlink aveva presentato le proprie osservazioni, molte delle quali si ritrovano nella versione finale delle Linee guida sui cookie pubblicate dal Garante Privacy).


Le Linee guida del Garante Privacy sono molto importanti perchè delineano come i siti web dovranno gestire i cookie rilasciati sui terminali degli utenti.


Per questo motivo i legali di LegalBlink hanno preparato la presente Guida, dedicata a web agency e titolari di siti web ed ecommerce.

 

La "cookie law": la legge della tua cookie policy



Per "cookie law" si intende la legge che regola la cookie policy del tuo sito web.

Il quadro normativo è in continua evoluzione.

Ad oggi, è costituito da:

 

  • disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003, n. 196 (il Codice della Privacy)
  •  GDPR
  • Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020″
  • Linee Guida del Garante Privacy, pubblicate nel 2014 e aggiornate nel 2021.



Il nostro generatore di informativa cookie tiene conto di tutte queste leggi e orientamenti.

In questa guida capirai come utilizzare il nostro potente generatore per pubblicare una informativa cookie a norma.
 




Cosa sono i cookie e le loro funzioni



Per generare una cookie policy è importante sapere cosa sono i cookie e comprendere le loro diverse funzioni..



Cosa sono i cookie



Le Linee guida del Garante Privacy definiscono i cookie come: 

 

stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionanoed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.



Pertanto, i cookie sono piccoli file che vengono installati sui terminali dell’utente da parte del sito web o e-commerce o da terze parti (per il tramite del sito stesso).

Questi file vengono installati quando l’utente visita un determinato sito.


I terminali possono essere, per esempio:

 

  • computer
  • tablet
  • smartphone
  • ovvero ogni altro dispositivo in grado di archiviare informazioni. 



Le funzionalità dei cookie


I cookie assolvono a vari scopi, quali:

 

  • monitoraggio di sessioni
  • memorizzazione delle scelte dell’utente
  • gestire la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.



I cookie possono differenziarsi quindi in:

 

  • cookie tecnici. Sono quelli che permettono al sito di funzionare correttamente
  • cookie di profilazione. Per le Linee guida sui cookie essi sono: 
 

“utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete”.



In buona sostanza, i cookie di profilazione servono a:


 

  • proporre pubblicità personalizzata in base agli interessi manifestati dall’utente durante la sua navigazione in rete
  • fornire servizi personalizzati
  • scopi di analisi statistica sulla navigazione dell’utente in rete.

 


Il ruolo del consenso e della privacy



Il rilascio dei cookie tecnici può avvenire senza il consenso dell’utente.


Questi cookie, infatti, sono necessari al sito per funzionare e quindi non ha senso richiedere il consenso dell’utente per prestare un servizio (la navigazione sul sito) richiesto dall’utente stesso.
 

Invece, i cookie di profilazione possono essere installati solo previo consenso dell’utente.


Il consenso è quindi l’unica base giuridica che legittima il rilascio dei cookie di profilazione.

L'informativa cookie del tuo sito deve indicare se rilasci cookie tecnici oppure di profilazione.


I cookie di profilazione non possono essere rilasciati per “legittimo interesse” del sito web


Alcuni generatori di documenti legali indicano nella cookie policy che il rilascio dei cookie di profilazione è permesso per “legittimo interesse” del sito web.
 

Questa impostazione è stata criticata dai legali di LegalBlink e infatti non figura nelle cookie policy generate attraverso il nostro generatore.


Le Linee guida del Garante Privacy confermano che è vietato usare il “legittimo interesse” del sito web per rilasciare cookie di profilazione sui terminali degli utenti.
 

L’unica base giuridica che permette il rilascio dei cookie di profilazione è il consenso.

Pertanto, l'informativa cookie del tuo sito non deve menzionare in alcuna parte il riferimento al legittimo interesse.
 

Le Linee guida sui cookie vietano il c.d. “scrolling” e il “cookie wall”


Il Garante Privacy conferma altresì il divieto del c.d. “scrolling” della pagina per ottenere il consenso al rilascio dei cookie. Vieta altresì il ricorso al “cookie wall”.
 

La cookie policy non deve menzionare Divieto dello scroll della pagina


Lo scroll della pagina non legittima il rilascio dei cookie di profilazione


Il consenso al rilascio dei cookie deve essere sempre un consenso “espresso”.

Non è così se il sito inizia a rilasciare cookie di profilazione solo perchè l’utente ha “scrollato” (magari involontariamente) la pagina.
 

Su questo punto le Linee guida sui cookie sono categoriche:

 

“il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso”.

 

 

L'informatica cookie non deve menzionare i "cookie wall”

 

Le Linee guida sull’uso dei cookie definiscono il “cookie wall” come:

 

“un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga cioè obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito“.



Pertanto, con il cookie wall l’utente è obbligato ad accettare i cookie di profilazione se vuole accedere al sito. E’ ovvio che in uno scenario come questo, il consenso dell’utente non può dirsi libero.


Di conseguenza, le Linee guida sui cookie vietano l’uso dei cookie wall.

 

 

come generare una cookie policy a norma GDPR di legge



Come ottenere il consenso ai cookie 



L'informativa cookie per sito web deve descrivere anche le modalità di rilascio dei cookie

Cosa deve fare il sito web o ecommerce per ottenere un valido consenso al rilascio dei cookie?


 

Vietato rilasciare cookie di profilazione senza previo consenso

 

Il sito web può rilasciare cookie di profilazione solo se l’utente ha espresso un consenso in tal senso.

Il consenso dovrà essere ottenuto con le modalità che andiamo a descrivere.





Quando l’utente accede al sito al primo accesso, il sito web o ecommerce dovrà presentare un banner con le seguenti caratteristiche:

 

A. X posta a destra del banner e relativa avvertenza



Il banner deve avere una “X” collocata alla sua destra. Come ormai sanno tutti gli utenti di internet, la X serve per “chiudere” una determinata sezione, TAB o banner.
 

Ebbene, se l’utente chiude questo banner cliccando su X il sito non dovrà rilasciare cookie di profilazione.


Pertanto, la chiusura del banner equivale a rifiuto al rilascio dei cookie di profilazione.


Inoltre, il banner dovrà informare l’utente che:

 

“la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici”.



In tal senso, è molto importante che il banner riprenda il wording proposto dalle Linee guida sull’uso dei cookie.


Ciò, sia per chiarezza espositiva, sia per perseguire quell’intento di uniformare la comunicazione legale proposto dalle stesse Linee guida sui cookie.  


B. Informativa minima da inserire nel banner


Oltre alla X posta in alto a destra, il banner dovrà contenere una “informativa minima” sull’uso dei cookie.
 

Secondo le Linee guida sui cookie si tratta di una informativa relativa al fatto che il sito web utilizza cookie tecnici e potrà

 

“esclusivamente previa acquisizione del consenso dell’utente da prestarsi con modalità da indicarsi nella medesima informativa breve (cfr. punto iv che segue), utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web“.



Anche in questo caso è molto importante che l’informativa breve si attenga al contenuto proposto dalle Linee guida sui cookie.


In buona sostanza, il banner deve informare l’utente che il sito usa cookie tecnici e anche cookie di profilazione (ciò, secondo il wording proposte dal Garante Privacy).
 

C. Link alla cookie policy


Il banner dovrà contenere anche un link alla cookie policy del sito web.


Come noto, la cookie policy è il documento che illustra all’utente la politica sull’uso dei cookie del sito web di rifermento. 


Il link alla cookie policy deve essere sempre presente anche nel footer del sito.  


D. Comando per esprime il consenso al rilascio dei cookie di profilazione


Il banner dovrà esporre anche un tasto che se cliccato dall’utente legittima il rilascio dei cookie di profilazione.
 

Il wording del tasto deve essere scritto in modo chiaro e comprensibile per qualsiasi utente. Possono essere usate formule come:

 

  • presto il consenso
  • acconsento al rilascio dei cookie di profilazione
  • accetto.



E. Link ad area dedicata. Contenuto dell’area dedicata


Il banner deve contenere anche un link ad un’area dedicata dove l’utente potrà selezionare/deselezionare i cookie di profilazione rilasciati dai fornitori terzi (es. Google o Facebook).


Per selezionare/deselezionare i fornitori terzi si può inserire in questa area i link alla pagina del fornitore dove lo stesso fornitore mette a disposizione lo strumento di opt-out  (in tal senso c’è continuità con le Linee guida sull’uso dei cookie pubblicate dal Garante Privacy nel 2014).


Per esempio, Google mette a disposizione una pagina dove l’utente può acconsentire/negare il rilascio dei cookie di Google Analytics:


https://tools.google.com/dlpage/gaoptout


Se il fornitore terzo non offre all’utente questo strumento di opt-out, allora sempre in questa sezione, con riferimento a quel fornitore, il sito web deve informare l’utente che potrà selezionare/deselezionare il cookie di profilazione usando le impostazione del proprio browser. 


In questa area è inoltre possibile dividere i cookie di profilazione in categorie (profilazione statistica o pubblicitaria) e permettere all’utente di selezionare/deselezionare i cookie solo con riferimento a queste categorie.


Per rispettare l’obbligo generare di chiarezza e semplicità d’uso, le categorie non devono essere numericamente eccessive. Altrimenti, l’utente si trova costretto a dover negare/acconsentire a troppe categorie e la UX ne subisce.


Da ultimo, il Garante Privacy informa che in questa area le impostazioni devono essere impostazione sul diniego al rilascio dei cookie.



Dare la possibilità all’utente di modificare le scelte sui cookie



Accendendo all’area di cui al punto precedente l’utente può effettuare le scelte sull’uso dei cookie. Successivamente, lo stesso utente potrebbe voler modificare le proprie scelte.


Ad esempio, potrebbe decidere di accettare la profilazione pubblicitaria per ricevere pubblicità online in linea con le sue preferenze.

Pertanto, il sito web o ecommerce deve indicare nel footer un link che indirizzi l’utente ad un’area del sito dove, appunto, modificare le sue scelte.

Secondo il Garante Privacy il nome del link può essere “Rivedi le tue scelte sui cookie“, o nome analogo. 

 



Anche in questo ambito il Garante Privacy conferma l’orientamento espresso nelle Linee guida del 2014.


Infatti, anche per le nuove Linee guida sull’uso dei cookie se il sito web o ecommerce non rilascia cookie di profilazione il banner non deve essere presentato. 


Lo scopo del banner è quello di permettere all’utente di negare/permettere il rilascio dei cookie di profilazione. Se il sito web non rilascia cookie di profilazione è logico non presentare alcun banner cookie. 

come pubblicare una cookie policy a norma privacy

 

Quando richiedere il consenso al rilascio dei cookie 



Il Garante Privacy prende atto di un comportamento che interessa (purtroppo) molti siti:

 

“Ancora con riferimento alle modalità di acquisizione del consenso, l’osservazione del comportamento dei siti web e le segnalazioni pervenute hanno evidenziato l’ulteriore problematica della spesso ridondante ed invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner ad ogni nuovo accesso dell’utente al medesimo sito anche quando quest’ultimo abbia liberamente scelto”.




Le Linee guida sui cookie pertanto vietano di riproporre troppo spesso il banner quando l’utente ha già scelto di non essere profilato.
 

Il banner cookie, quindi, può essere riproposto quando:

 

  • vi sono sostanziali modifiche sulla gestione dei cookie. Ad esempio, il sito rilascia cookie di profilazione pubblicitaria oltre che statistica; oppure sono state aggiunte nuove “terze parti” alla informativa cookie.
  • sono trascorsi comunque almeno 6 mesi dall’ultima presentazione del banner. 



Il contenuto della cookie policy per sito web



Le Linee guida sui cookie intervengono anche sul contenuto della informativa cookie.


In primo luogo è necessario aggiornare questa informativa inserendo le definizioni rinvenibili nelle Linee guida, ad esempio, sulla definizione di “cookie” oppure sulla loro categorizzazione.


Inoltre, è necessario strutturare la cookie policy in modo più attinente a quelle che sono le informazioni previste dagli artt. 12 e 13 del GDPR.


Il sito dovrà sempre pubblicare due informative separate, cookie policy e informativa privacy, ma sempre facendo riferimenti a questi articoli del Regolamento Privacy.


Inoltre, si dovranno indicare i periodi di conservazione delle informazioni, o almeno i criteri di conservazione.


ATTENZIONE: il Garante Privacy non richiede che la cookie policy debba indicare i cookie rilasciati dal sito. Questa informazione deve essere riportata nell’area che compare cliccando sul banner cookie (v. sopra punto E).

 

Conclusioni su come pubblicare una informativa cookie a norma 



Alla data di uscita delle Linee guida sui cookie nessun generatore di documenti legali può dirsi conforme alla indicazioni in esso contenute. 


I primi soggetti coinvolti dalle nuove indicazioni saranno pertanto le società che gestiscono questi generatori, che dovranno adeguare i loro tool alle nuove prescrizioni.


I legali di LegalBlink sono già all’opera per adeguare il generatore di cookie policy e il banner cookie a quanto indicato dal Garante Privacy.


LegalBlink è il punto di riferimento legale dell’ecommerce e in questo ruolo, il 9 luglio, ha partecipato a una esclusiva Tavola rotonda con il Garante Privacy organizzata da 4eCom. In questo evento sono emerse utili informazioni per implementare al meglio le indicazioni provenienti dalle Linee guida sui cookie.


Pertanto, se fai parte di una delle 250 web agency o oltre 10.000 siti che usano LegalBlink sarai presto aggiornato in tal senso. Altrimenti, affidati anche tu a LegalBlink e dimentica le questioni legali: pensano a tutto i nostri legali!

 

Come generare una cookie policy a norma del GDPR con LegalBlink



Per mantenere sempre aggiornato il nostro generatore di cookie privacy i nostri legali esperti in privacy monitorano costantemente la cooke law.

Grazie al nostro  generatore professionale le modifiche legali sono applicate in modo automatico alla informativa cookie del tuo sito web.

Per raggiungere questi alti livelli di efficenza i nostri legali prendono parte ad esclusivi incontri organizzati con le Autorità. Ad esempio, abbiamo preso parte a una Tavola rotonda con il Garante Privacy organizzata da 4eCom.  In questa occasione sono state recepite utili indicazioni per pubblicare una cookie policy a norma di legge.

Per pubblicare una informativa cookie a norma puoi procedere in modo autonomo tramite il pacchetto Fast Legal. Oppure puoi far fare tutto ai nostri avvocati esperti in privacy tramite il pacchetto Easy Merchant.

NOTA: leggi il nostro approfondimento su quando è obbligatorio avere il banner cookie.


Team LegalBlink