Oggi si parla tanto di cookie di profilazione e della direzione che oggi si sta prendendo verso un pensionamento dei cookie (vedi l’aggiornamento di Apple con l’iOS 14.5).
Di cookie di profilazione si occupa anche la bozza finale di una nuova normativa europea in materia di trattamento dei dati personali.
Infatti, dopo una lunga attesa, a febbraio 2021, il Consiglio Europeo ha pubblicato la bozza finale del regolamento ePrivacy, che avrà un forte impatto anche sui cookie di profilazione, oggi regolati dal GDPR e dalla Direttiva 2002/58/CE (nota come “ePrivacy”).
Come dovranno comportarsi i titolari dei siti fino a quel momento?
Vediamolo insieme.
| Cookie di profilazione: la normativa
Bisogna subito chiarire qual è oggi la normativa da rispettare in materia di cookie di profilazione.
Prima tra tutti è sicuramente la Direttiva 2002/58/CE (la cosiddetta “Direttiva e-privacy”) che regola in materia specifica l’utilizzo di questi strumenti per garantire la riservatezza delle comunicazioni e la tutela dei dati personali nel settore delle comunicazioni elettroniche.
La e-privacy è stata poi modificata dalla Direttiva 2009/136/CE (conosciuta come “Cookie Law”) e dalla Direttiva 2009/140/CE.
Queste norme speciali si affiancano al GDPR (General Data Protection Regulation), il Regolamento Europeo n. 679/2016, che stabilisce regole generali in materia di trattamento dei dati personali, e che trova applicazione tutte le volte in cui la Direttiva e-privacy non prevede delle regole specifiche.
Non dimentichiamo anche il Codice Privacy Italiano, modificato proprio per recepire le norme europee.
Quando verrà emanato il Regolamento ePrivacy, la materia dei cookie di profilazione sarà regolata da questo in modo più specifico.
Ma fino ad allora chi sarà il responsabile dei dati degli utenti che entrano sul tuo sito? Come andranno gestiti i cookie di profilazione perché il tuo sito sia a norma con il GDPR?
Fino all’entrata in vigore del regolamento ePrivacy, i cookie di profilazione continueranno ad essere gestiti secondo la Direttiva e-privacy e le norme del GDPR.
Vediamo quali sono le regole per avere un sito e-commerce a norma e come usare i cookie di profilazione in base al GDPR.
| Cosa sono i cookie di profilazione
Prima di addentrarci nella materia chiariamo cosa sono i cookie di profilazione.
I cookie di profilazione sono piccoli file di testo che vengono installati sui browser degli utenti e vengono utilizzati per identificare le azioni o gli schemi comportamentali delle persone durante la navigazione. Studiano le loro abitudini di consumo, il modo in cui si muovono sul web, analizzano i percorsi di consultazione.
La funzione dei cookie di profilazione è quella di raggruppare gli utenti in cluster (gruppi) omogenei per creare messaggi pubblicitari mirati. Aiutano ad elaborare statistiche e messaggi promozionali personalizzati, basati sulle informazioni raccolte.
Rientrano negli strumenti di tracciamento e, in genere, sono di natura commerciale.
I cookie di profilazione per un e-commerce sono molto utili: infatti permettono di inviare agli utenti dei messaggi pubblicitari ben profilati, in base alle preferenze che sono emerse durante la navigazione in rete o su un sito internet.
Considera che circa l’80% degli e-shopper afferma di preferire esperienze d’acquisto personalizzate.
Ma è necessario conciliare il bisogno di personalizzazione con la tutela dei dati personali. È l’utente a dover decidere chi e per quali fini può raccogliere dati su lui ed elaborarli.
Quindi è necessario gestire i cookie in maniera adeguata per non incorrere in sanzioni molto pesanti: per l’installazione di cookie sui terminali degli utenti senza il preventivo consenso sono previste sanzioni amministrative dai 10.000 a 120.000 euro.
| Quali cookie di profilazione rientrano nel GDPR?
La normativa è molto chiara sull’uso dei cookie. In particolare tratta in maniera differente i cookie tecnici e i cookie di profilazione.
Per quanto riguarda i cookie tecnici, l’unico obbligo è quello di fornire l’informativa senza il bisogno di acquisire il consenso dell’interessato attraverso il Cookie Banner.
Per i cookie di profilazione, insieme ad altri strumenti di tracciamento come i cookie di terza parte, esiste invece l’obbligo di acquisire il consenso alla raccolta e alla conservazione dei dati.
Per quanto riguarda i cookie analitici, secondo le linee guida del garante sono equiparabili ai cookie tecnici solo se:
- vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
- viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
- le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi.
| Quali sono gli obblighi del titolare del sito web sui Cookie di profilazione secondo il GDPR?
Secondo il GDPR, il titolare del sito è tenuto a fornire l’informativa sui cookie utilizzati. Queste informazioni vanno inserite all’interno della Cookie Policy.
Anche la responsabilità di richiedere il consenso per l’utilizzo dei cookie di profilazione ricade sempre sul proprietario.
E per quanto riguarda i cookie di terze parti?
Quando un sito internet contiene cookie provenienti da altri siti (perché sul suo sito utilizza tool di terze parti, per es. tool di chat o di riproduzione di video), l’utente deve essere a conoscenza che i suoi dati verranno trattati da terze parti.
In questo caso, il proprietario del sito assume il ruolo di intermediario tecnico ed è tenuto a fornire i link aggiornati dei moduli di consenso e delle informative delle terze parti, e a richiedere il consenso anche per l’utilizzo di questi strumenti.
| I passaggi da fare per avere Cookie di profilazione in regola con il Gdpr
Per avere un sito e-commerce a norma di legge è importante innanzitutto che venga utilizzato un linguaggio semplice nelle informative. L’utente infatti deve poter comprendere quello che sta leggendo e come verranno utilizzati i suoi dati.
Quindi, al bando l’avvocatese in favore di termini comprensibili ai lettori.
Oltre al linguaggio, è necessario porre attenzione alle modalità di comunicazione.
Infatti, se nel caso dei cookie tecnici si può inserire l’informativa nella home page del sito o nell’informativa generale, per i cookie di profilazione non è così.
Per questa tipologia di cookie è necessaria anche l’informativa breve, che deve essere ben visibile e inserita in un banner che compare all’apertura della pagina.
Quali informazioni vanno inserite nel cookie banner per i cookie di profilazione, per essere a norma con il GDPR?
- Innanzitutto, devi indicare che il sito utilizza cookie tecnici e cookie di profilazione o altri strumenti di tracciamento. Per questi ultimi è necessario inserire le finalità e richiedere il consenso dell’utente.
- Inserisci nel cookie banner il link alla Privacy Policy con l’informativa completa. È molto importante che tu includa i soggetti destinatari dei dati personali, i tempi di conservazione dei dati e i diritti dell’utente inseriti nel Regolamento GDPR.
- Fai in modo che i cookie non si attivino prima del rilascio del consenso. La chiusura del banner o lo scroll di pagina non possono essere considerati una forma di consenso.
- Metti un link ulteriore, in cui l’utente possa modificare funzionalità, terze parti e cookie che si vogliono installare.
- Prevedi dei pulsanti con cui l’utente può modificare il consenso, o revocarlo se già espresso in precedenza.
| Uso del banner: cosa prevede il GDPR per i cookie di profilazione
Per l’utilizzo di cookie di terza parte e cookie di profilazione è necessario ottenere il consenso degli utenti.
Ma bisogna fare una distinzione importante tra cookie tecnici e cookie di profilazione.
Infatti, i siti che utilizzano solo cookie tecnici non hanno l’obbligo di utilizzare il banner ma possono optare anche per altri mezzi con cui sottoporre l’informativa al cliente.
Ad esempio, si può anche inserire l’informativa sull’utilizzo dei cookie tecnici nella Privacy Policy.
Considera che i titolari dei siti possono anche scegliere altre modalità per richiedere il consenso all’utilizzo dei cookie di profilazione, oltre al banner. L’importante è che abbiano la stessa validità ai fini della legge.
Nel caso si scelga di utilizzare il banner, che caratteristiche dovrebbe avere per essere a norma?
Il banner per i cookie di profilazione deve coprire una parte della pagina che l’utente sta visitando. Si deve poter eliminare solo tramite un intervento dell’utente.
In alcuni casi, il banner viene considerato un ostacolo alla corretta fruizione del sito e all’esperienza di navigazione dell’utente. Quest’ultimo, infatti, spesso clicca velocemente senza prestare un consenso realmente informato. La lettura dell’informativa richiede un tempo per approfondire il contenuto che l’utente, spesso, non ha quando si trova a navigare in rete.
Attenzione!
La richiesta di consenso non deve essere reiterata a meno che non si verifichino due condizioni: un cambiamento della situazione in cui è stato ottenuto il consenso, oppure qualora non sia possibile sapere se un cookie sia già stato memorizzato nel dispositivo.
Questo significa che il banner non deve essere riproposto durante la navigazione all’interno del sito.
| Cosa può fare per te l’Avvocato dell’Ecommerce
In molti siti e-commerce vieni trascurata l’importanza della normativa sui cookie così come l’informativa sulla Privacy.
Inserire questa documentazione in modo corretto è di fondamentale importanza per evitare di incorrere in sanzioni.
Ogni sito internet ha le sue peculiarità e anche i documenti legali devono essere redatti in maniera personalizzata.
Copiare i testi di altri o rivolgersi a siti web che ti offrono soluzioni in abbonamento è molto rischioso poiché non prendono in considerazione quello di cui ti occupi e le caratteristiche della tua azienda.
Ciò che oggi ti appare un modo per risparmiare, domani potrebbe trasformarsi in un errore fatale, anche più dispendioso.
Contattami per capire se il tuo e-commerce ha tutta la documentazione a norma sul trattamento dei dati personali e per redigere il testo del cookie banner, della cookie Policy e della Privacy Policy, in modo che i tuoi cookie di profilazione siano a norma con il GDPR.
