Privacy Policy e Cookie nel 2022: tra banner e registro preferenze cookie
Se hai un sito web e non sei al corrente delle novità del 2022, allora abbiamo un problema: sei in ritardo rispetto alle disposizioni del Garante.
Infatti, le novità sulla Privacy Policy e Cookies, che tanto spazio hanno trovato nelle discussioni di questo inizio di nuovo anno, sono in vigore dal 10 gennaio 2022, data entro la quale avresti dovuto rendere il tuo sito conforme ai nuovi obblighi di legge.
Niente panico, si può rimediare – fin quando non ti controllano – con una certa rapidità e a costi relativamente moderati, ma è importante che tu approfondisca quali siano i grandi cambiamenti e cosa in sostanza il Garante prevede che tu faccia.
Niente “legalese”, scriverò in termini estremamente semplici, abituato ad occuparmi in prima persona di questa problematica per i miei Clienti.
Per avere immediatamente la soluzione, dall’indice accedi all’apposito paragrafo. Consiglio una lettura più approfondita per avere chiari i punti della situazione.
Le Sanzioni per chi non è conforme alla Privacy Policy e Cookies
Parentesi infelice, che apriamo e chiudiamo subito, riguarda le multe. Le sanzioni per i proprietari di siti web, la cui privacy policy e cookies non sia conforme alle disposizioni del 2022, sono estremamente salate.
Le sanzioni ammontano a circa il 4% del fatturato, fino ad un massimo di 20 milioni di euro con aggiunta di risarcimento qualora ci sia un danno arrecato ai titolari di dati (gli utenti) che navigano sul tuo sito.
Insomma, il Garante ci va giù pesante e la corsa ai ripari è più che urgente.
Per quanto riguarda il modo in cui i siti subiranno controlli è, a quanto pare, totalmente randomico; si pesca una P. IVA per poi ispezionare il rispettivo sito aziendale (o di freelancer, cambia poco).
Privacy Policy e Cookie nel 2022 e prima: cosa sono e perché
Svisceriamo subito il tema, soffermandoci su questi paroloni Privacy Policy e Cookie Policy, che, per usare una metafora, possiamo immaginare come i due pilastri, in vigore dal 2014, sui quali si erge la salvaguardia dell’utente che naviga sul web.
Se, per un attimo, capovolgi la prospettiva e ti immedesimi nei panni dell’utente, sarai d’accordo sull’importanza di conoscere quali dei tuoi dati di navigazione vengano presi dal proprietario del sito web e come poi impiegati.
Banalmente, un sito che non contiene indicazioni sulla privacy policy o sui cookies, può fare dei tuoi dati ciò che vuole, in quanto non ne specifica l’impiego. Vedasi gli scandali di Cambridge Analytica che acquisì i dati di milioni di utenti Facebook, tramite una terza azienda che li vendette illecitamente, e li utilizzò nella sua analisi dei profili.
Qualche esempio di cosa comporti essere tracciati e a cosa possano risultare utili i nostri profili può rendere più semplice la comprensione dell’argomento.
Il rapporto tra la Privacy Policy e Cookie e l’Advertising
Sei su Facebook. Sei improvvisamente sorpreso che le scarpe che hai visto su un negozio online, cercando da Google, ti siano riapparse magicamente sulla tua bacheca.
Questa “magia”, altro non è che un lavoro dei cookies che memorizzano le tue attività e consentono di fare remarketing proprio su di te, riproponendoti prodotti e servizi analoghi a quelli che hai cercato.
Ti sei mai chiesto perché i Social Media siano gratuiti? Perché il prodotto sei tu!
Le aziende pagano i Social Media per pubblicizzarsi ai profili che siano in linea con i loro prodotti e servizi, per cui dove lasci “mi piace”, i siti che visiti, tutto ti conduce a far parte di determinati segmenti di persone che saranno colpiti dalla pubblicità.
È fondamentalmente la grande differenza tra uno spot televisivo, che arriva a tutte le persone che guardano quel canale TV in quel preciso momento, e la pubblicità digitale, che colpisce un pubblico prestabilito sulla base degli interessi delle persone.
C’è qualcosa di negativo in tutto ciò? Probabilmente no. Ma lascio ad altri l’ardua sentenza.
Cosa accade ai dati degli utenti senza Privacy Policy e Cookies
Supponiamo, sempre nei panni degli utenti, di non essere protetti da norme sulla privacy e dai cookies. In poche parole, i nostri dati sono completamente alla mercè del titolare del trattamento dei dati, ergo titolare del sito.
Una prima azione che potrebbe compiere, per esempio, è venderli a call center o mailing list truffaldini.
Accade spesso, a te è mai successo?
La maggior parte dei nostri dati è, in realtà, esposta e probabilmente sarà capitato che un sito che hai visitato sia poi stato violato. Il termine tecnico è “bucato”, da hacker malintenzionati.
I dati diventano indebitamente di loro proprietà e tipicamente li rivendono.
Comunque, puoi scoprirlo direttamente, inserendo la tua email o il tuo numero di telefono sul sito Haveibeenpwned.com.
Risolvere i problemi di Privacy Policy e Cookie nel 2022
Arriviamo alla parte fatidica dell’articolo, cioè come ovviare ai problemi e mancanze di privacy policy e cookie nel 2022.
Premessa importante è che dietro i due sopracitati pilastri, si nascondono altri due elementi: il banner dei cookies e l’obbligo di conservazione dei consensi degli utenti.
Ti potrà apparire come un approfondimento, ma in realtà sono proprio questi ultimi che hanno maggior risalto nelle nuove disposizioni del Garante e sui quali sono necessari la maggior parte degli interventi.
Proviamo ad analizzare individualmente le principali novità.
Privacy Policy e Cookies nel 2022: distinzione per finalità e differenziazione
Le regole non subiscono particolari mutamenti a riguardo. La Privacy Policy deve essere inserita anche all’interno del banner dei cookies, mentre la Cookie Policy deve fare specifica distinzione tra Cookies Tecnici e Cookies di Profilazione.
I Cookies Tecnici sono quei cookies necessari per il funzionamento del sito o la raccolta dei dati a fine statistico (quest’ultima va comunque segnalata).
I Cookies di Profilazione sono tutti gli altri, utili a livello commerciale e di tracciamento di comportamento (es. pixel di Facebook).
Non approfondisco oltre perché non è qualcosa che puoi scrivere da solo, dovresti affidarti ad un legale o a professionisti e agenzie che redigono questa tipologia di documenti. Io stesso fornisco questo particolare servizio.
Importante anche specificare la finalità del trattamento, quali dati sono raccolti a fine pubblicitario, quali a fine statistico e così via.
Novità principali, però, sono altrove.
Il Banner dei Cookies: consenso personalizzato e informato
Il cambiamento più sostanzioso della Privacy Policy e Cookies nel 2022 è sicuramente qui, nel celebre banner dei cookies.
Si tratta di quell’accogliente pop-up che si apre quando accediamo su un sito web e ci chiede se accettiamo o rifiutiamo i Cookies. L’impostazione, ora, risulta mutata nell’acquisizione del consenso e nella tipologia di consenso.
Importante inserire il link della Privacy Policy anche all’interno del Banner.
L’acquisizione del consenso nel Banner dei Cookie
Acquisire il consenso significa ricevere, dall’utente che accede sul sito, un click sul pulsante “Accetta” o “Rifiuta” i cookies, dal pop-up che si apre.
Prima del 10 Gennaio 2022, però, c’erano modi differenti di favorire l’opzione “Accetta” per l’utente che oggi, spoilero subito, sono tutte illegali.
I pulsanti del banner dei cookies devono avere tutti uguale dimensione e deve essere cliccato uno di loro per definire il consenso. Non è ammesso il cosiddetto “muro”, cioè che fin quando non accetti non puoi vedere niente, né l’accettazione con lo scroll del mouse, né ancora la riproposizione del banner continuativamente fino ad opzione positiva.
Il banner dei Cookies può essere riproposto solo dopo 6 mesi dal primo consenso, mentre l’utente deve poter modificare in qualunque momento il consenso che ha fornito (ci dovrà essere un pulsante “Gestisci il Consenso” che lo permetta).
La tipologia di consenso nel Banner dei Cookie
Cambia anche la tipologia di consenso. Alle due posizioni più estreme di accettazione e rifiuto, si affianca una terza, quella del “Personalizza” il consenso.
Significa dare l’opzione, all’utente, di scegliere, manualmente, quali cookies accettare e quali non accettare, senza alcun tipo di condizionamento.
Sarebbe preferibile che i cookies non avessero nome tecnico, ma fossero raggruppati per specifica finalità di ciascuno di essi.
Il registro preferenze cookies è obbligatorio?
Chi ha già fatto ricerche e seguito webinar, si è sicuramente imbattuto in Iubenda che, ad oggi, è il fornitore che in Italia gestisce nella maniera più completa la situazione. La stragrande maggioranza dei professionisti si rivolge proprio a Iubenda per gestire i suoi clienti.
Ed è lo stesso Iubenda ha introdotto il “registro preferenze cookie”, un vero e proprio raccoglitore delle preferenze degli utenti che visitano le pagine del sito web.
Precisiamo, perciò, che non esiste, a norma di legge, alcuna indicazione o riferimento su questo registro preferenze cookies. L’invenzione si deve totalmente a Iubenda che, però, rovescio della medaglia, ha semplicemente risolto un problema dei nuovi provvedimenti del Garante.
Infatti, non so se ricordi, immagino la confusione arrivato fino a qui, prima ho anticipato l’obbligo, in fase di prova, in capo al titolare del trattamento dei dati (titolare del sito), di presentare le preferenze degli utenti che navigano, quindi di raccoglierle.
Come farlo? Il Garante non si è espresso in merito, per cui è intervenuto Iubenda con la sua soluzione. Al momento, che io sappia, è l’unica presente sul mercato italiano alla quale rivolgersi.
Cookie tecnici che svolgono questo lavoro, purtroppo, non risultano sufficienti e gestirlo manualmente è estremamente complesso.
Mi auguro, perciò, di aver sciolto i dubbi riguardo le novità su Privacy Policy e Cookies nel 2022, ma per qualunque altra curiosità, non esitare a contattarmi, ci sto sbattendo la testa da diverso tempo oramai!