La Cookie Policy è uno dei documenti legali più importanti per un sito ecommerce e, più in generale, per i siti web.
Ha due funzioni principali:
- informare il visitatore sulla raccolta dei dati personali, sulle finalità, sulle modalità di profilazione e tracciamento;
- raccogliere il consenso alle attività descritte nell’Informativa sui cookie.
È fondamentale porre attenzione alla struttura e al contenuto di questi documenti per non violare il Regolamento Generale per la Protezione dei Dati Personali (GDPR) e non incorrere in sanzioni da parte del Garante.
La vicenda di Google Analytics è esemplare in questo senso: il Garante della Privacy italiano, oltre ad aver dichiarato illegittimo l’uso di Google Analytics, ha definito la Privacy Policy del sito non idonea poiché non era in grado di soddisfarre gli obblighi informativi disposti dal GDPR, circa il trasferimento dei dati in un paese terzo.
La Normativa sulla cookie policy dispone che qualsiasi utente possa accedere alle informazioni senza discriminazioni, attraverso un’informativa scritta con un linguaggio semplice e chiaro.
Le informazioni sull’uso dei cookie nei siti web vanno comunicate con un’informativa breve, il Cookie Banner, e un’informativa estesa, la Cookie Policy.
In questo articolo ti spiegherò come creare una Cookie Policy e cosa scrivere nella struttura.
| Cosa scrivere nella Cookie policy
L’Informativa sui cookie è uno degli obblighi previsti dal GDPR, il Regolamento (UE) 2016/679, che si occupa della protezione dei dati personali relativa alle persone fisiche e alla libera circolazione di essi. Si tratta di una componente della Privacy Policy che può essere inserita all’interno della stessa sezione del sito, o fornita in una pagina distinta ma collegata all’Informativa sulla Privacy tramite un link.
La funzione della Cookie Policy è di mettere al corrente l’utente circa l’utilizzo dei cookie all’interno del sito, spiegando quali sono le loro caratteristiche, le finalità e le modalità per disattivarli.
Tra le informazioni obbligatorie previste dalla Normativa sui cookie, vanno specificati anche i tempi di conservazione dei dati raccolti e le modalità previste affinché i consumatori possano esercitare i propri diritti in materia di protezione dei dati personali.
All’interno dell’Informativa, poi, vanno distinti i cookie a seconda delle diverse tipologie, tecnici, analitici e di profilazione, in modo che possano essere distinte e comprese anche dall’utente le finalità di utilizzo degli stessi.
Il titolare ha l’obbligo di fornire un elenco dettagliato dei soggetti terzi a cui invia i dati raccolti.
In particolare, il titolare del trattamento deve fornire all’interessato alcune informazioni contestualmente alla raccolta:
- identità e dati di contatto del titolare del trattamento;
- dati di contatto del responsabile della protezione dei dati;
- finalità del trattamento;
- base giuridica del trattamento;
- destinatari (o categorie di destinatari) dei dati personali;
- periodo di conservazione dei dati personali;
- diritto all’accesso, alla rettifica, alla cancellazione, alla limitazione, alla portabilità dei dati e alla revoca del consenso.
Inoltre, il titolare ha l’obbligo di dichiarare la sua intenzione di trasferire dati personali a un paese terzo o a un’organizzazione internazionale.
| Cookie Policy: Informativa breve
Definito anche Informativa breve, il Cookie banner deve fornire delle indicazioni basilari sui cookie installati, le finalità e le procedure per il consenso. Si tratta di una modalità prevista dal Garante per semplificare le operazioni di richiesta del consenso all’utilizzo dei cookie.
Nelle linee guida del Garante è specificato che il cookie banner non è obbligatorio ma può essere un’alternativa valida per l’acquisizione del consenso. Di conseguenza, gli editori possono anche selezionare altre modalità, purché siano conformi alla Normativa.
Qualora si opti per il banner, ci sono dei requisiti che vanno rispettati: le dimensioni devono essere tali da integrare l’informativa breve, deve contenere un pulsante per chiudere il banner senza prestare il consenso, un pulsante per dare il proprio consenso all’uso dei cookie, il link alla Cookie policy estesa, in cui poter poter decidere quali funzionalità, terze parti e cookie fare installare. Inoltre, la presenza del banner deve creare discontinuità nella fruizione di contenuti in modo che il visitatore ne percepisca chiaramente la presenza.
Nella creazione del cookie banner, ricordati di tenere a mente le Norme sui cookie in vigore da gennaio 2022, le quali specificano che il consenso deve espresso in maniera esplicita e che il cookie wall e lo scrolling non vengono considerate forme di consenso.
> Informativa breve sulla Cookie Policy
Il testo dell’Informativa breve informa l’utente che il sito utilizza cookie tecnici o tecnologie di tracciamento affini, cookie statistici e, nel caso egli esprima il consenso, anche cookie di profilazione di prime e terze parti.
Vanno precisate le finalità, cioè va spiegato che, qualora l’utente esprima il proprio consenso, i suoi dati verranno utilizzati per l’invio di messaggi personalizzati e l’analisi e il monitoraggio del sito. Va anche chiarito che l’utente può esprimere il consenso all’utilizzo dei cookie tramite i pulsanti inseriti nel banner.
> Consenso alla Cookie Policy
Il consenso deve essere espresso in maniera chiara e inequivocabile con un atto positivo, per cui il banner deve contenere un apposito pulsante. Il Garante prevede anche la presenza di un pulsante che permetta la chiusura del banner in assenza di consenso. Questa opzione non corrisponde all’espressione del consenso.
> Consenso granulare
Il sito deve dare all’utente la possibilità di prestare il proprio consenso alle singole finalità del trattamento, dedicando un’area specifica in cui esprimere il proprio consenso granulare, cioè specifico per le diverse funzionalità.
> Link Cookie Policy
Nel modello di Cookie Banner va inserito un link all’Informativa estesa, sia che si trovi nella stessa sezione della Privacy Policy che in una sezione separata.
| Cookie Policy: Informativa estesa
Nell’Informativa estesa sui cookie vanno indicati: tipologia dei cookie utilizzati, modalità e finalità della raccolta dei dati, utilizzo di cookie di terze parti, eventuali altri soggetti destinatari dei dati personali, tempi di conservazione delle informazioni acquisite, link alle informative dei singoli servizi terzi, possibilità di esprimere o negare il proprio consenso alle specifiche categorie di cookie.
Secondo il Regolamento, l’informativa dovrebbe descrivere anche le modalità per richiedere l’accesso ai propri dati e proporre reclamo all’Authority.
La Cookie Policy può essere inserita nella Privacy Policy o in una sezione a se stante ad essa collegata. Il requisito principale è che possa essere raggiunta direttamente dal cookie banner attraverso un link e che vi sia un riferimento ad essa su ogni pagina del sito. In genere, il link alla Cookie Policy viene inserito nel footer del sito, in modo che sia presente e visibile in ogni pagina del sito ecommerce.
Il testo della Cookie Policy va scritto in italiano ed, eventualmente, nelle lingue degli altri paesi in cui vendi i tuoi prodotti.
Vediamo nel dettaglio cosa scrivere nella Cookie Policy.
> Cosa sono i cookie
L’informativa sui cookie deve contenere una descrizione dei cookie e spiegare le tipologie di cookie utilizzate (analytics, tecnici, di profilazione), distinguendo gli uni dagli altri. Va poi specificato quali sono i cookie che installa il sito.
> Cookie di terze parti
Se il sito web installa cookie di terze parti è necessario che venga specificato, definendo quali cookie di terze parti vengono installati per il tramite del sito, distinguendoli per finalità di utilizzo, e inserendo i link alle Cookie Policy dei fornitori terzi.
> Profilazione
Se sono presenti cookie di profilazione, o si incrociano i dati facendo ricorso da altri strumenti di tracciamento, bisogna indicare la presenza del meccanismo di profilazione.
> Lista dei cookie installati
Oltre a specificare la tipologia di Cookie installati, nella cookie policy va definito anche il periodo di data retention, il periodo peri quale il cookie rimarrà installato sul dispositivo dell’utente.
Uno strumento molto funzionale è la tabella dei Cookie, in cui possono essere schematizzate le informazioni sui cookie, in modo completo ed esaustivo. La tabella dei cookie, ad esempio, può essere suddivisa in diverse colonne: nome, fornitore, finalità, durata, tipologia.
| Cosa può fare per te l’Avvocato dell’Ecommerce
Sebbene possa sembrare un aspetto secondario del sito, la Cookie Policy è un documento legale di fondamentale importanza per un sito web.
Eventuali violazioni della normativa sui cookie, come un’ informativa non adeguata o l’omissione della Cookie Policy, possono comportare sanzioni molto salate da parte del Garante Privacy.
In rete è possibile trovare dei modelli di Cookie Policy o generatori di Cookie Policy, ma la realtà è che l’Informativa sui cookie, così come la Privacy Policy, è un documento che va personalizzato e redatto a seconda delle caratteristiche del sito, prestando la massima attenzione sia agli aspetti tecnici del sito che alla normativa.
Contattami per una consulenza personalizzata, valuteremo come adeguare il tuo sito web alla Normativa sui cookie e al GDPR.
Floriana Capone
L’Avvocato dell’Ecommerce
