GDPR e Cookie Law sono due argomenti spesso confusi tra loro, e molte volte si tende a incrociare aspetti che tra loro non hanno relazioni dirette. L’entrata in vigore del GDPR è ormai alle porte, dopo aver parlato dei dati coinvolti nel General Data Protection Regulation e degli obblighi, diritti e sanzioni presenti nel Regolamento  (UE) 2016/679, vediamo ora di chiarire un aspetto che ha creato molta confusione, ovvero la disciplina in materia di uso dei Cookie in relazione al GDPR.

Il GDPR e Cookie sono due argomenti diversi

Innanzitutto è da premettere e dire a gran voce una cosa, che sia chiara e definitiva: il consenso all’uso dei cookie e il relativo utilizzo non sono in alcun modo regolati dal GDPR, ma dalla Direttiva ePrivacy, quella che comunemente chiamiamo Cookie Law. Era così prima del GDPR e sarà così dopo la sua attuazione, almeno fin quando non sarà definitivo e attivo il nuovo Regolamento ePrivacy che andrà  a sostituire l’attuale direttiva.

Il GDPR e la Cookie Law camminano fianco a fianco, ma non sono uno strettamente parte dell’altro, almeno al momento, infatti nel Regolamento in materia di protezione dei dati personali dei Cookie non si parla proprio, se non nella parte in cui viene specificato che “le persone fisiche possono essere identificate tramite cookies“. Quindi viene specificato solo che un cookie, come tante altre cose, ad esempio indirizzi IP, RFID e via dicendo, può identificare una persona fisica.

La Direttiva ePrivacy disciplina dei Cookie

Quella che volgarmente chiamiamo Cookie Law, e che prende il nome di Direttiva ePrivacy, il cui nome completo è Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) e di cui potete leggere il testo ufficiale in lingua italiana sul sito Eur Lex  non fa altro che dare indicazioni e linee guida su come trattare i dati personali tramite mezzi elettronici, quindi newsletter e tutto ciò che è email marketing, cookie nei siti web,  ma anche spyware e simili. Essa, quindi, non viene abrogata, come si può pensare, dal GDPR, ma si affianca ad esso, abbiamo così GDPR e Cookie che sono complementari per aumentare il livello di privacy delle persone fisiche.

Il futuro Regolamento ePrivacy

Il vero cambiamento si avrà quando entrerà il vigore il nuovo Regolamento ePrivacy, il cui testo in lingua inglese può essere letto nel sito della Commissione Europea, sarà esso ad abrogare la Direttiva ePrivacy. I contenuti nella proposta sono già abbastanza chiari: regolamentare i requisiti per l’uso dei cookie e le comunicazioni elettroniche; molto di quanto già esistente nella Cookie Law sarà probabilmente riproposto senza alcuna modifica, mentre si tenderà a fare chiarezza sui punti ciechi e sugli attuali dubbi. Assisteremo così probabilmente ad una scomparsa dell’attuale Provvedimento 8 maggio 2014 Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, già di per se più stringente di molti altri paesi dell’Unione Europea, ed avremo uno schema di attuazione unificato per tutti i paesi europei.

Come si rispettano GDPR e  Cookie Law?

Detto ciò capiamo, quindi, nella pratica cosa bisogna fare.  In base all’attuale normativa italiana relativa alla Cookie Law ed in relazione alla prossima entrata in vigore del GDPR, quello che si può dire subito è che per il consenso all’uso dei cookie se stavate rispettando già la legge siete praticamente già in linea con i vostri obblighi, in caso contrario ecco come adeguarvi.

Secondo la legge sui Cookie è obbligo del gestore del sito, spesso definito come editore, ottenere e raccogliere il consenso informato dell’utente prima che vengano installati cookie sui dispositivi dell’utente. Quindi deve essere presente un banner che avverta sulla presenza di cookie e che indichi quali tipologia di cookie sono presenti e quale è la cookie policy.

In particolare è da notare che la Cookie Law italiana prevede il blocco preventivo dei cookie e la sua accettazione con la cosiddetta modalità opt-in, ciò vi deve essere un consenso esplicito da parte dell’utente.

Diversamente da quanto circolato in rete negli ultimi periodi e contrariamente alle speculazioni che molti stanno facendo, è da notare che al momento la Cookie Law non richiede esplicitamente la possibilità per l’utente finale di scegliere quali cookie accettare e quali no, nessuna selezione singola, neanche per categoria di cookie. Tuttavia è necessario, come vedremo, indicare chiaramente sia la categoria sia la finalità dei cookie di terze parti.

Il Cookie Banner

Viene comunemente chiamato Cookie Banner un messaggio che appare sul sito web (generalmente fin quando esso non viene accettato)  sia in formato popup che in altro formato a sovrimpressione o comparsa. Questo messaggio deve essere ben evidente e non deve essere considerato parte integrante del sito,  deve contenere una spiegazione breve delle finalità di installazione dei cookie utilizzati dal sito, descrivere in modo chiaro quelle azioni che sono intese come consenso, quindi non solo magari l’accettazione esplicita, ma anche uno scroll o la continuazione della navigazione nel sito web; infine deve contenere un link a quella che è la privacy policy del sito, la quale spiegherà in maniera ampia, chiara e dettagliata  le finalità, l’utilizzo e le attività delle terze parti correlate ai cookie.

La Cookie Policy

La Cookie Policy non è altro che una pagina del sito web in cui viene descritto in dettaglio quali sono le finalità di installazione ed uso dei cookie. In essa vengono indicati quali cookie siano necessari al funzionamento del sito web, i cosiddetti cookie tecnici, quali sono i cookie utilizzati per azioni di marketing, i cosidetti cookie di profilazione, ed infine quali sono i cookie installati da altri siti, i cosiddetti cookie di terze parti.  Inoltre, devono essere ben definiti sia quali siano le terze parti che installano, o almeno potrebbero installare cookie tramite il sito,  sia quale è la privacy policy adottata da questi servizi ed eventualmente come procedere alla revoca del consenso. Molto importante, ed è l’unica cosa che al momento veramente si trae dal GDPR, è che la revoca del consenso deve essere facile allo stesso modo di come il consenso possa essere dato, cioè se con un click si può dare il consenso con uno si dovrebbe poter revocare.  Il “si dovrebbe” è un obbligo in quanto non sempre è possibile, ad esempio per i cookie di terze parti, ed in quel caso si rimanda ai riferimenti delle informative di terzi.

Informare ed ottenere il consenso

Da tutto ciò si deduce cosa serve per far andare d’accordo GDPR e Cookie:

• blocco preventivo dei cookie, fino ad accettazione della cookie policy;
• consenso informato, esplicito e preventivo (prima dell’installazione  dei cookie), il tutto da ricevere chiaramente con una azione di opt-in, cioè di accettazione positiva;
• registrazione del suddetto consenso che sia in qualche modo provabile alle autorità competenti;
• possibilità di revoca del consenso ed indicazione su come effettuare tale operazione;
• informativa chiara e dettagliata sull’utilizzo dei cookie e sugli installatori di terze parti;
• collegamento alla pagina di privacy policy del sito web.

Con GDPR e Cookie siamo al capolinea, passeremo quindi nei prossimi giorni alle modalità operative per conformarsi al Regolamento UE, nel frattempo per qualsiasi dubbio non esitate a contattarci.