WEB TECHNOLOGY / 09 Dicembre 2021

Nuove linee guida sulla Cookie Solution: ecco cosa cambia da gennaio 2022

La tutela dei dati personali è un obbligo che le aziende devono adempiere nel momento in cui hanno in archivio informazioni sensibili di clienti e dipendenti. Dal 10 Gennaio 2022 il GDPR introdurrà delle nuove indicazioni circa l’acquisizione, la gestione, l’utilizzo e l’archiviazione dei dati personali in termini di privacy policy e cookie policy. Scopriamo insieme come le aziende possono adeguarsi al regolamento per evitare sanzioni.

A causa della velocissima digitalizzazione degli ultimi anni, i termini Privacy Policy e Cookie Policy sono sempre più utilizzati e le aziende devono conformarsi alle normative previste dal GDPR (l’atto legislativo europeo) per non incorrere in sanzioni salate, legate al trattamento e alla salvaguardia dei dati personali. Capita spesso, infatti, di scorrere un modulo di contatto online e trovare la fantomatica dicitura: «Ho letto e accettato i termini della Privacy Policy». A volte questa voce risulta spuntata anche quando l’utente non ha né letto il documento, né accettato il Cookie Banner.
Dal 10 Gennaio 2022, però, le aziende che hanno sede in Italia o che si rivolgono a utenti con sede in Italia, dovranno adeguarsi alle nuove direttive previste dal GDPR. Quali sono queste nuove indicazioni? E come deve muoversi un’azienda per gestirle al meglio? Ecco cosa bisogna sapere in merito.

Vorresti sapere come garantire la privacy online?

PARLA CON NOI!

Privacy Policy e GDPR: i protettori dei dati personali

In un panorama mondiale sempre più intangibile e immediato, la moneta di scambio più forte è diventata il dato: i Big e Small Data, infatti, sono alla base di qualsiasi strategia legata alla vendita di un prodotto o di un servizio.
Big Data e Small Data, cioè i dati quantitativi (che fanno numero) e quelli qualitativi (“pochi ma buoni”), sono relativi agli utenti che ogni giorno vanno online e navigano attraverso internet. La raccolta, il monitoraggio, l’analisi e la condivisione di questi dati consentono di progettare delle strategie di marketing sempre più mirate ed efficaci, che vadano a toccare le corde giuste dei consumatori.
Un esempio evidente sono i social network, all’interno dei quali l’algoritmo, in modo autonomo, distribuisce i contenuti e le inserzioni sulla base degli interessi degli utenti, ottenuti in precedenza grazie al monitoraggio delle reazioni e dei movimenti che le persone compiono sulle piattaforme social.
Allo stesso modo, anche i siti web che tengono traccia delle visite al sito sono un esempio di raccolta e impiego dei dati spesso supportati dall’uso dei Cookie, in questo caso effettuati da strumenti di analisi come Google Analytics 4.

Considerato il valore crescente che i dati stanno assumendo all’interno della società moderna, quindi, è emerso quanto sia vitale regolamentare la raccolta dei dati così da favorire la consona protezione delle informazioni, affinché la persona fisica venga tutelata a livello legale. Da qui, hanno preso piede i pilastri della Privacy Policy e della Cookie Policy, amministrate dal GDPR, ossia il regolamento generale sulla protezione dei dati, pubblicato nel 2016 ed entrato in vigore a livello europeo il 25 Maggio 2018, sebbene ad oggi molte aziende italiane non si siano ancora adattate alle regolamentazioni inserite. Composto da 99 articoli, il GDPR è essenziale per archiviare e custodire nel modo corretto i dati personali che vengono affidati ad una azienda, attraverso dichiarazioni cruciali quali il consenso informato, la garanzia di sicurezza e le finalità dei dati raccolti.

In breve, un’azienda deve identificare quali tipologie di dati tratta e quali attività va a compiere con i dati raccolti, rispettando i termini di Privacy Policy e le normative del GDPR attraverso:

  1. La richiesta di consenso chiaro ed esplicito dell’interessato;
  2. Il monitoraggio e la gestione di un registro delle attività sempre aggiornato;
  3. La nomina di una figura che assuma il ruolo di responsabile della protezione dei dati;
  4. La denuncia dei data breach (le eventuali violazioni del regolamento) entro le 72 ore dall’infrazione.

Nel momento esatto in cui un’azienda archivia dei dati personali di una persona fisica, entra in possesso di un database da tutelare per legge, anche quando si tratta di informazioni relative a un singolo dipendente o a un singolo cliente.

Cosa sono i dati personali?

Quando si parla di dati personali si intende l’insieme di informazioni sensibili che devono essere sempre soggette al consenso e all’autorizzazione dell’interessato. Se una determinata informazione può identificare o rendere identificabile, in modo diretto o indiretto, una persona fisica, allora quell’informazione diventa personale e va tutelata attraverso la regolamentazione della privacy.

Ecco i dati personali protetti dalla privacy:

  • Dati anagrafici, indirizzo IP, numero di targa
  • Immagini della persona fisica
  • Origine razziale ed etnica
  • Convinzioni religiose, filosofiche, politiche
  • Orientamento sessuale
  • Condizione di salute, dati genetici e biometrici
  • Appartenenza sindacale
  • Condanne penali e reati
  • Dati che consentono la geolocalizzazione
  • Dati relativi alla comunicazione elettronica

I dati personali vanno tutelati dalle aziende attraverso un controllo della privacy costante e aggiornato, conforme alle normative del GDPR.

Qual è la differenza tra Privacy Policy e Cookie Policy?

Spesso considerate un tutt’uno quando si parla di tutela dei dati, in realtà questi due testi trattano di argomenti differenti.

La Privacy Policy è il documento che spiega nel dettaglio il trattamento dei dati personali, ovvero tutte le operazioni che coinvolgono in qualsiasi modo i dati personali, quindi quali dati vengono raccolti, come e perchéchi avrà accesso alle informazioni e per quanto tempo. Inoltre, contiene indicazioni dettagliate sui diritti degli utenti, sul proprietario del sito o dell’app che ha richiesto i dati e la data effettiva dell’acquisizione delle informazioni.

La Cookie Policy, invece, può essere inserita all’interno della Privacy Policy o essere un documento a sé stante ed è un dossier contenente l’elenco di tutti i cookie utilizzati (suddivisi per tipologie) e gli obiettivi finali dei cookie integrati. Deve includere, in aggiunta, la lista completa dei soggetti terzi che gestiscono eventuali cookie impiegati nel sito dell’azienda, come, per esempio, Google Analytics e Google Fonts.
cookie non sono altro che frammenti di dati che tengono traccia dei movimenti dell’utente durante la sua navigazione online e servono per personalizzare la sua esperienza sulla base degli interessi mostrati. Ecco perché è importante segnalarne l’uso e lo scopo attraverso una Cookie Policy accurata.

Silvio Bompan, content manager presso Iubenda, team specializzato nella privacy online, racconta la Privacy Policy, la Cookie Policy e il GDPR in questo webinar organizzato da Semrush.

Cookie Solution: ecco cosa cambierà dopo il 10 Gennaio 2022

Il 10 luglio 2021, il Garante per la Protezione dei Dati Personali si è espresso al pubblico sottolineando l’importanza sempre più rilevante dell’identità digitale, soggetta a un’evoluzione tecnologica in costante e veloce mutamento che necessita di aggiunte da apportare al regolamento, così da rafforzare la sicurezza dei dati online e quella dei cittadini europei. Le normative introdotte entreranno in vigore dal sesto mese di pubblicazione della Gazzetta Ufficiale, quindi il 10 gennaio 2022.
Le nuove indicazioni, che coinvolgeranno non solo i siti web di nuova produzione ma anche tutte le attività online fino ad ora presenti su internet, riguarderanno soprattutto la Cookie Solution – quindi la gestione dei cookie all’interno delle pagine web – e saranno volte a garantire una privacy online ancora più efficace.

In particolare, il Cookie Banner, il trafiletto che richiede il consenso all’uso dei cookie e che compare nel momento stesso in cui l’utente entra nel sito o nell’applicazione, dovrà essere strutturato in modo da contenere:

  • il pulsante “accetta”, il pulsante “rifiuta” e la possibilità di personalizzare il consenso attraverso la scelta granulare dei cookie (per dare la possibilità agli utenti di decidere quali cookie accettare e quali no);
  • una breve informativa sull’uso e sugli obiettivi dei cookie presenti sul sito;
  • il link che porta alla Cookie Policy.

È bene ricordare che sia il Cookie Banner, sia il pannello delle preferenze dovranno essere accessibili da ogni pagina del sito.

Anche l’acquisizione del consenso subirà delle modifiche, dal momento che il Garante per la Protezione dei Dati Personali si è espresso attraverso la dichiarazione ufficiale del 10 luglio 2021. Infatti, il consenso allo scorrimento, che rendeva applicabile il consenso per il semplice fatto che l’utente facesse scorrere la pagina, e i cookie wall, ovvero quelle barriere che bloccavano l’accesso al sito a meno che l’utente non consentisse l’uso di cookie, non saranno più ritenuti validi.
Di fatto, il consenso verrà registrato attraverso una dichiarazione semplice, chiara ed esplicita, raccolta in un database organizzato e accessibile in qualunque momento, così che la verifica del consenso ottenuto sarà sempre possibile.

Un esempio di Cookie Banner del servizio online Iubenda del sito di Welcome Digital. Il Cookie Banner deve contenere i pulsanti “accetta”, “rifiuta” e la possibilità di compiere una scelta granulare, insieme a un’informativa generale sull’uso e sulle finalità dei cookie inseriti.

Perché e come adeguarsi alle direttive del GDPR

Ignorare gli obblighi normativi legati alla tutela dei dati personali significa andare incontro a sanzioni più o meno pesanti a seconda della gravità dell’inadempienza. Considerata la consapevolezza sempre più profonda che hanno gli utenti riguardo i rischi e i diritti legati alla privacy, non è un caso che proprio loro esigano delle punizioni severe per il mancato rispetto delle direttive: forgeRock, multinazionale che tratta di software per la gestione dell’identità e degli accessi, ha effettuato un’intervista campione e ha dichiarato che il 92% degli interpellati richiede provvedimenti durissimi per le aziende che violano la privacy online. Le multe assegnate per queste irregolarità possono ammontare a 20.000.000 di euro, oppure al 2% del fatturato mondiale annuo delle imprese.

Ecco perché, per le aziende, è importante non solo rispettare ma anche conoscere la regolamentazione della privacy, così da essere preparate, specie quando si introducono nuovi progetti all’interno della strategia di comunicazione propria o di un cliente. Il trattamento dei dati, quindi le operazioni che coinvolgono in qualsiasi modo i dati personali, viene comunicato agli utenti attraverso la Privacy Policy, l’informativa che interessa quelle tre figure che ricoprono un ruolo primario nella tutela dei dati:

  1. Interessato (art. 4 par. 1, punto 1 del GDPR): si tratta della persona fisica che rilascia i dati. Può trattarsi di un cliente o di un dipendente;
  2. Titolare del trattamento (art. 4, par. 1, punto 7): è la persona fisica o giuridica (quindi l’azienda) che determina le finalità e le modalità del trattamento dei dati personali degli utenti;
  3. Responsabile del trattamento, identificato anche come DPOData Protection Officer (art. 4, par. 1, punto 8): si tratta della persona giuridica o fisica che gestisce e supervisiona il trattamento dei dati per conto del titolare.

È importante che l’azienda rispetti tutte le normative previste dal GDPR, affidandosi a consulenti esterni specializzati nella protezione della privacy online.

Come tutelare i dati personali?

Affinché l’azienda rientri a pieno nelle normative vigenti sulla privacy dei consumatori, è bene formare il personale, anche attraverso corsi d’aggiornamento, per restare al passo con le modifiche eventuali del GDPR o l’aggiunta di nuove direttive legislative. Inoltre, è utile affidarsi a consulenti esterni non solo per redigere un documento di Privacy Policy o di Cookie Policy completo e idoneo, ma anche per gestire il trattamento dei dati e archiviare in modo sicuro le informazioni personali raccolte, avendole sempre organizzate, controllate e verificabili dal Garante per la Protezione dei Dati Personali. I cavilli legali sono spesso un cruccio, specie per aziende di medie o grandi dimensioni: trovare supporto esterno potrebbe risolversi in un risparmio di tempo e di denaro, minimizzando il rischio di sanzioni indesiderate.

Cerchi una consulenza sul trattamento dei dati personali?

CONTATTACI!