Introduzione
In un mondo sempre più digitalizzato, la questione della privacy degli utenti e della gestione dei dati è diventata più rilevante che mai. Con questa crescente attenzione, emergono anche una serie di miti, leggende metropolitane, malintesi e informazioni fuorvianti.
In questo articolo, metteremo "sotto la lente" due dei temi più discussi e controversi del momento: il Registro dei Consensi Cookie e il Cookie Banner. Da una parte, c'è una ancora residua convinzione che avere un registro dei consensi cookie sia obbligatorio, alimentata da informazioni errate o fuorvianti. Dall'altra, la confusione regna sovrana quando si tratta di cookie banner, con molti siti web che ancora non seguono le linee guida ufficiali su come dovrebbero funzionare e quali pulsanti devono contenere.
Armiamoci di fatti, smontiamo i miti e cerchiamo di fare chiarezza su questi argomenti, così da navigare con più sicurezza nel vasto oceano del web.
Cos'è il Registro dei Consensi Cookie?
“Registro dei Consensi Cookie” è un concetto che si sente spesso quando si parla di privacy online e conformità GDPR. È spesso descritto come un database che tiene traccia delle scelte fatte dagli utenti in relazione all'uso dei cookie su un sito web.
Questo concetto è stato talmente diffuso che molti proprietari di siti web e utenti, spesso spinti da comunicazioni poco chiare e “di parte”, sono arrivati a credere che sia un requisito legale avere tale registro.
Bisogna dotarsene?
Sono costretto quindi a sostenere un costo in più rispetto a quelli che già pago per l’adeguamento privacy?
Qual’è un costo congruo per questo strumento?
Sono solo alcune delle domande che spesso ci si pone, quando si affronta l’argomento.
L’errata convinzione che il Registro Cookie sia obbligatorio ha creato non poca confusione tra gli utenti e i proprietari di siti web e sono ancora in diversi a credere che il registro sia un requisito di legge. La realtà è molto diversa.
Perché la confusione?
Miti e credenze: la fabbrica delle false verità
Uno dei principali fattori che alimentano la confusione attorno al registro dei consensi cookie è sicuramente il fatto che il consenso deve essere, secondo il GDPR, “documentato”. È proprio questo termine che, a nostro avviso, ha generato la confusione.
Confusione poi alimentata e sfruttata spesso da fonti che hanno un interesse commerciale nel creare disinformazione.
Ad esempio, alcune aziende che offrono servizi di conformità alla privacy enfatizzano la "necessità" di un registro dei trattamenti cookie come parte delle loro soluzioni vendute, addebitando ulteriori costi sul cliente finale.
La paura come strumento di marketing
Una tattica comune utilizzata per diffondere questi miti è l'uso della paura. Si sfrutta l'incertezza legale e la complessità della normativa sulla privacy per spingere i proprietari di siti web a credere che un registro dei consensi cookie sia l'unico modo per evitare pesanti sanzioni. Si confonde volontariamente il consenso per le newsletter con il consenso dei cookie, rimandando a sentenze e provvedimenti comprensibili quasi esclusivamente agli addetti ai lavori.
Questo crea un senso di paura e necessità che può portare a decisioni affrettate e spesso inutili e anzi: controproducenti.
La disinformazione non aiuta
Articoli di blog, post sui social media e persino webinar organizzati da realtà di rilievo nel settore possono presentare informazioni fuorvianti, incomplete o di difficile interpretazione (“documentato”... ricordi?), dando l'impressione che il registro dei consensi cookie sia una pratica standardizzata e necessaria, quando in realtà non lo è.
L'effetto domino
Non ultimo, una volta che questi miti prendono piede, si verifica un effetto domino. Altri siti web e fonti di informazione iniziano a ripetere le stesse informazioni errate, rendendo sempre più difficile per le persone distinguere tra fatti e finzione. Questo ciclo autoalimentante di disinformazione serve solo a rafforzare la convinzione errata che un registro dei consensi cookie sia obbligatorio.
Questo è quello che è successo, e che sta dietro alla convinzione diffusa che senza un registro dei consensi Cookie, il sito sia fuori norma.
La verità sul registro cookie: smascheriamo le illusioni
La realtà è che non esiste alcun obbligo che imponga di adottare un registro dei consensi cookie. Questo è un punto che merita di essere ribadito e detto chiaramente, data la quantità di disinformazione che esiste su questo argomento: Il consenso deve essere solamente documentato, e tale documentazione può avvenire con un semplice cookie tecnico.
Che cosa dice il Garante della Privacy?
Il Garante della Privacy Italiano, l'ente responsabile per la supervisione della protezione dei dati personali, non ha mai imposto l'obbligo di un registro dei trattamenti cookie.
Le linee guida ufficiali, al contrario di quanto si possa pensare, sono chiare: mentre è necessario ottenere il consenso degli utenti per l'uso di cookie o software di terze parti, non c'è alcuna specifica che richiede la creazione e il mantenimento di un registro separato per documentare tale consenso.
Come poi vedremo tra poco, adottare un registro, al contrario, può esporre a grossi rischi.
Il GDPR e la documentazione del Consenso. È obbligatorio un registro dei consensi o un registro dei consensi cookie? NO
Anche il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea, che è la legge di riferimento per la protezione dei dati personali, non menziona l'obbligo di un registro dei consensi né marketing né tantomeno cookie. Il GDPR richiede che il consenso sia "libero, specifico, informato e inequivocabile", ma non impone la necessità di un registro per documentare queste scelte. Impone al titolare la necessità di dimostrare di aver ricevuto tale consenso, ma esistono molti modi per assolvere a tele adempimento.
Come assolvere all’obbligo di legge di documentare il consenso cookie?
La semplicità, come spesso accade, è la chiave: un cookie tecnico, ad esempio, è più che sufficiente per documentare il consenso dell'utente, rendendo superfluo l'uso di un registro separato.
La soluzione di utilizzare un cookie tecnico peraltro è espressamente indicata tra le possibilità indicate dal Garante.
Perché il registro può essere molto rischioso
La realtà dei fatti, normativa alla mano, è che mantenere un registro dei consensi cookie può essere più un costo e un rischio che un beneficio.
Primo, c'è la complessità e il tempo necessario (o il denaro necessario) per gestire un tale sistema.
Questo può diventare un onere significativo, soprattutto per i piccoli siti web.
In secondo luogo, un registro mal ingegnerizzato o mail gestito, o condiviso su server esterni da realtà che lo offrono come servizio, può aprire la porta a vari rischi legali, come il furto di dati sensibili alle conseguenze di un data breach.
In ultima analisi, non c’è la base giuridica per registrare nel tempo le abitudini sull’accettazione o meno dei cookie dei tuoi visitatori e come queste preferenze cambiano nel tempo. Questo trattamento non è previsto dal provvedimento e quindi se viene messo in atto è un trattamento illecito. Quindi avere un registro consultabile dei cookie potrebbe esporre a tale rischio. Perché rischiare di violare la normativa, in cambio di nulla?
Quindi, cosa è necessario fare? Cosa stabilisce la normativa in fatto di registro cookie?
Uno dei principali fattori che contribuiscono alla confusione riguardo al registro dei consensi cookie, lo abbiamo già accennato, è il requisito di "documentare" il consenso degli utenti.
Questo ha portato molti webmaster a ritenere erroneamente che sia necessario un registro per soddisfare questo requisito.
In realtà, un semplice cookie tecnico, che registra le scelte dell'utente, è sufficiente per documentare il consenso in modo conforme alle normative privacy.
La Posizione di My Agile Privacy
My Agile Privacy prende una posizione molto chiara su questo argomento. Stante le attuali norme, non includiamo e non includeremo mai un registro dei consensi cookie nel nostro servizio.
Scegliamo di seguire alla lettera le indicazioni del Garante, per fornire la massima aderenza alla normativa, valorizzando il principio di minimizzazione dei dati, ovvero: non salviamo dati non necessari.
“Ho visto che alcune realtà offrono uno strumento che non è il registro cookie, ma mi permette di accedere all'elenco di indirizzi IP associati ai cookie accettati. Questo va bene?”
No, questa pratica non è conforme alle normative sulla privacy e può esporre la tua azienda agli stessi rischi del mantenere un registro cookie vero e proprio. Offrire un accesso facilitato a indirizzi IP o alle preferenze dell’utente non è consentito, in quanto consentirebbe l’accesso a dati personali (quale è l’indirizzo IP) degli utenti senza alcuna base giuridica per farlo.
“Alcune realtà offrono il registro cookie o servizi simili, in hosting sui loro server. Sono più protetto in questo caso?”
No, l'hosting esterno non garantisce una protezione maggiore. Sei comunque soggetto a data breach. Inoltre permetti all’azienda terza di accedere alle informazioni personali dei tuoi utenti, in quanto ospitate sui suoi server, pertanto dovresti occuparti anche di tutta la parte di nomina del responsabile esterno al trattamento dei dati, che troppo spesso viene dimenticata o ignorata.
“Se non utilizzo un registro dei consensi cookie, come posso documentare il consenso degli utenti?”
Un cookie tecnico è più che sufficiente per documentare il consenso degli utenti all'uso dei cookie di profilazione, come indicato dalle Linee Guida del Garante Privacy.
La confusione sta proprio nel termine “documentare”, che induce a pensare alla necessità di un registro. Gli organi competenti, in fase di verifica, sono pienamente in grado di constatare il corretto funzionamento tecnico del cookie banner che utilizzi, e di comprendere l’utilizzo del cookie tecnico come strumento di salvataggio delle preferenze dell’utente.
“Utilizzare un registro dei consensi cookie mi rende più conforme alla legge?”
No, un registro dei consensi cookie non è richiesto dalle normative sulla privacy e può anzi esporre la tua azienda a rischi inutili, come data breach e conseguenti azioni legali.
“Ho capito, ma nonostante tutto voglio lo stesso avere un registro dei consensi cookie. Risolvo o elimino le problematiche ed i rischi di data breach se lo ospito sul mio hosting?”
Ospitare un registro dei consensi cookie sul tuo hosting non elimina i rischi associati a un data breach. Anzi, potrebbe aumentare la tua responsabilità in caso di violazione dei dati.
La gestione sicura dei dati personali richiede infatti misure di sicurezza rigorose, indipendentemente dal luogo in cui sono ospitati.
Ricorda poi che l'ambito della privacy ha delle logiche specifiche, diverse per esempio da ambiti come il marketing, dove è valutato positivamente offrire più di quanto necessario. Quando si parla di Privacy occorre fornire né più né meno di quanto richiesto dalle normative. Offrire "di più" espone te e i tuoi clienti a rischi inutili, senza nessun beneficio o vantaggio.
Quindi, se non è espressamente richiesto, puoi farne a meno!
Abbiamo parlato di registro Cookie. E il cookie banner?
Il cookie banner è spesso il primo elemento grafico che un utente vede quando visita un sito web.
È un elemento cruciale non solo per la conformità legale ma anche per la trasparenza e la fiducia con i visitatori. Un vero e proprio baluardo.
Troppo spesso però, si è interessati ad avere un banner “carino”, senza soffermarsi su un aspetto altrettanto importante: oltre che “carino”, garantisce anche la conformità del sito, oppure è un elemento che mi lascia scoperto a possibili problemi?
Ecco cosa devi sapere per assicurarti che il tuo cookie banner sia a norma.
Pulsanti: La chiarezza prima di tutto
Un cookie banner efficace e sopratutto a norma deve avere quattro pulsanti ben visibili e intuitivi: "Accetta", "Rifiuta", "Personalizza" e la classica "X" per chiudere il banner. Ogni pulsante ha un ruolo specifico:
Accetta: Con un clic su questo pulsante, l'utente dà il consenso all'uso di tutti i cookie.
Rifiuta: Questa opzione permette all'utente di navigare senza l'uso di cookie non essenziali.
Personalizza: Offre all'utente la possibilità di scegliere quali cookie accettare e quali rifiutare.
X: Chiudere il banner con la "X" è considerato una "non scelta", e i cookie devono rimanere bloccati.
Se il tuo cookie banner non presenta questi 4 pulsanti, diffida e corri subito a cambiarlo.
Allo stesso modo, tieni in considerazione anche la disposizione di questi pulsanti e l’aspetto grafico che hanno. L’evidenza grafica di questi comandi deve essere pari e idonea in modo da non favorire o sfavorire una scelta specifica.
Certi cookie banner offrono solo una parvenza di conformità, ma sono attaccabili sotto diversi punti di vista. E ricorda, che il Garante non rimane chiuso in una stanza senza finestre e senza Internet, ma naviga, osserva… e commenta!
Consenso granulare, ovvero: la possibilità di scegliere
Il consenso granulare è una funzione che permette all'utente di selezionare individualmente quali Cookie accettare e quali rifiutare.
Questa è una caratteristica fondamentale che va oltre la semplice categorizzazione dei Cookie in gruppi come "Marketing" o "Funzionalità", e prevede la possibilità per l’utente di scegliere Cookie per Cookie quale accettare e quale no.
Questo è esattamente il livello di controllo e trasparenza richiesto dalla normativa. Il tuo banner cookie offre questa possibilità, o si limita a fare accettare i “cookie marketing”?
Blocco preventivo: il consenso deve essere esplicito
Il cookie banner DEVE bloccare preventivamente tutti i Cookie e i software di terza parti fino a quando l'utente non dà un consenso esplicito.
Se al caricamento di pagina, prima di effettuare qualunque scelta, vengono memorizzati Cookie che invece dovrebbero essere bloccati, ecco che il cookie banner non è conforme, e di conseguenza il tuo sito.
Assicurati che tutti i cookie e software di terza parte siano preventivamente bloccati fino all’accettazione (totale o parziale) dei cookie da parte dell’utente.
Se non è così, hai necessità di cambiare il tuo cookie banner, subito!
Lo scroll non è un consenso: sfatiamo definitivamente un mito
Un equivoco ancora piuttosto comune è che lo scroll della pagina possa essere considerato come un consenso all'uso dei cookie.
Questa è una pratica non più consentita da gennaio 2022 e non conforme alle attuali normative sulla privacy.
Il consenso deve essere ottenuto attraverso un'azione esplicita, come il clic su uno dei pulsanti del cookie banner.
In conclusione
La “questione privacy” e la protezione dei dati sono diventati aspetti di primaria importanza. Tuttavia, la disinformazione può facilmente offuscare la realtà, portando a decisioni non ottimali e potenzialmente costose, sia in termini di denaro che di rischio sanzionatorio.
Con questo articolo abbiamo cercato di fare chiarezza su alcuni aspetti cruciali della privacy online ancora oggetto di dibattito e confusione: il registro dei consensi cookie e le caratteristiche chiave di un cookie banner realmente a norma.
Abbiamo sfatato il mito, ancora diffuso, sull'obbligatorietà del registro dei trattamenti cookie, chiarendo che un cookie tecnico è più che sufficiente per documentare il consenso dell'utente.
Inoltre, abbiamo riepilogato le caratteristiche essenziali di un cookie banner a norma, dai pulsanti ben visibili al consenso granulare che è una necessità, non un’opzione.
Noi di My Agile Privacy abbiamo scelto di non offrire un registro dei consensi cookie, e utilizzare invece cookie tecnici per salvare le impostazioni dell'utente, in linea con le raccomandazioni del Garante della Privacy. Questo per mantenere un approccio più snello possibile, per non caricare di costi superflui i nostri clienti e per non fare loro correre rischi inutili.
I passi da seguire ora
La chiave per una gestione efficace della privacy è l'informazione.
Prima di prendere qualsiasi decisione, assicurati di essere ben informato, da fonte certa e autorevole (Il Garante della Privacy) e di comprendere le tue opzioni. La tua privacy è troppo importante per essere lasciata al caso o al sentito dire.
Se vuoi essere sicuro che il tuo sito sia conforme, clicca qui e richiedi una verifica di conformità. Uno dei nostri esperti analizzerà il sito e ti informerà sui punti deboli della configurazione del tuo cookie banner e sullo stato generale della tua conformità.