Blogger Book

Con il 25 maggio alle porte, il GDPR è sulla bocca di tutti, e molti si chiedono quali saranno gli effetti sugli obblighi legati all'utilizzo dei cookie.

Per questo motivo, vogliamo cogliere l'occasione per chiarire alcuni dei malintesi più comuni relativi ai cookie e al GDPR sulla base delle richieste ricevute dai nostri utenti nel corso delle ultime settimane.

Purtroppo su questo argomento circolano online anche molte informazioni fuorvianti, e quindi ci è sembrato opportuno chiarire questo aspetto.

Quindi, in che modo il GDPR disciplina l'utilizzo dei cookie?

La risposta breve è che non lo fa – l'utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law). In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora insieme” con il GDPR, invece di essere abrogata da quest’ultimo. Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy, che opererà insieme con il GDPR per regolamentare i requisiti per l’uso dei cookie. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.
È necessario elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati dal mio sito web?

No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome. Tuttavia, il gestore del sito è tenuto ad indicare chiaramente le loro categorie e finalità. Questa decisione da parte del legislatore è probabilmente motivata dalla volontà di evitare che ogni gestore di siti web sia costretto a monitorare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al suo controllo. Ciò sarebbe infatti irragionevole, nonché inutile per l'utente finale.

Quest'articolo delinea un quadro giuridico più ampio in materia, citando le disposizioni delle autorità di Italia, Regno Unito, Spagna e Belgio →

Devo fornire agli utenti un meccanismo per gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente dal mio sito web?

No, la Cookie Law non ti obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal tuo sito, ma solo a:

    predisporre un meccanismo chiaro per ottenere un consenso informato e attivo;

    fornire un metodo per la revoca del consenso;

    garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.

Questo significa che il meccanismo di opt-out non deve essere ospitato direttamente dal tuo sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell'Unione Europea, le impostazioni del browser sono considerate un metodo accettabile per gestire e revocare il consenso.

La soluzione proposta da Iubenda per esempio va oltre, indicando non solo le opzioni a disposizione all'interno del browser, ma anche gli strumenti offerti da soggetti terzi e i link ai moduli di consenso messi a disposizione direttamente dalle terze parti, che sono in ultima analisi i responsabili della gestione dell'opt-out in relazione ai propri strumenti di tracciamento.

Devo registrare i consensi ai cookie per ogni utente?

La Cookie Law non impone la tenuta di un registro dei consensi, ma stabilisce la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati. Il modo più semplice per soddisfare questo requisito è quello di adottare una soluzione cookie che utilizzi un meccanismo di blocco preventivo in quanto, in questo caso, i codici che installano cookie sono eseguiti solo dopo aver ottenuto il consenso. In questo modo, infatti, il fatto stesso che i codici siano stati eseguiti è una prova sufficiente del consenso.