Il nuovo Regolamento Europeo UE 679/2016 (GDPR), con le relative nuove norme sulla protezione dei dati personali, è entrato in vigore già da alcuni mesi tuttavia, molti siti non si sono ancora allineati agli standard sulla gestione dei dati degli utenti.
In riferimento alla realtà web, considerando che in rete sono moltissimi gli articoli che trattano in maniera più o meno approfondita l'argomento, e che tra una spiegazione e l'altra è facile che alcuni concetti vengano assimilati in modo approssimativo e poco focalizzato sull'effettivo intervento necessario nonché altri possono lasciare il lettore con il dubbio, riporto di seguito in modo schematico, diretto ed immediato gli accorgimenti da adottare per essere a norma:
In linea generale l'utente:
- deve essere informato sui cookie che saranno installati sul proprio browser da parte del sito (e dei servizi terzi in esso presenti: strumenti di tracciamento, di campagne, di profilazione, ecc...)
- deve poter modificare/revocare la propria scelta, anche dopo una prima accettazione dei cookie, in maniera facile così come lo è stato per l'accettazione iniziale
- deve dare un consenso che possa essere identificato come esplicito
- deve poter navigare il sito anche nel caso in cui abbia rifiutato la policy sui cookie, pertanto non può esserci l'obbligatorietà dell'accettazione per proseguire la navigazione sul sito
- non può essere profilato prima del suo consenso
- può essere tracciato con Google Analytics anche prima del suo consenso purché lo strumento sia configurato con il parametro anonymizeIp attivo (almeno fino a che la policy sui cookie non venga accettata)
- deve poter navigare senza che nessuna sua informazione venga raccolta o inviate alle piattaforme di analisi (molti siti che parlano di GDPR confondono l'invio di informazioni relative all'utente a Google Analytics, purché dovutamente criptate, con le PII; per fare chiarezza, l'invio di informazioni personali che possono consentire agli operatori Google di identificare una persona sono vietate dai termini di servizio di Google Analytics indipendentemente dalla GDPR, e possono portare alla chiusura dell'account da parte di Google)
Nel banner deve esserci:
- il link all'informativa sulla policy e sui cookie
- il pulsante per acconsentire tutti i cookie o solo alcuni (statistici, preferenze, marketing) e la possibilità di rifiutare il consenso a tutti i cookie (ad eccezione di quelli tecnici), alternativamente un link ad una pagina che dia modo all'utente di gestirne l'accettazione totale o parziale
Nell'informativa deve esserci:
- il collegamento alla privacy policy
- la spiegazione su cosa sono i cookies, comprese le differenze tra cookies di sessione e persistenti e tra i vari tipi di cookies (tecnici, statistici, preferenze, marketing)
- il link alle informative dei proprietari di cookie di terze parti i cui servizi sono eventualmente presenti sul sito (ad esempio Google Analytics)
- l'elenco di tutti i cookies utilizzati con nome, tipologia, proprietario, finalità e tempo di persistenza
- una spiegazione su come visualizzare e cancellare i cookie
Questa check list consente di mettersi in regola, relativamente all'ambiente del sito web, con la normativa in vigore. Inutile dire che serviranno interventi più o meno invasivi, lato codice o nella configyurazione di Google Tag Manager, per fare in modo che l'erogazione dei pixel o dei tag dei vari servizi (Facebook, Doubleckick, Google Ads, AdForm, Criteo, ecc...) vega dovutamente gestita in modo contestuale all'acettazione/revoca della policy sui cookie così come è stata definita.
Non sono un legale ma come è stato possibile notare in questi mesi, anche tra avvocati non esiste una linea guida comune che, o per troppa precauzione o per poca conoscenza del mondo online, assicuri una certezza operativa.
Ad ogni modo, per qualsiasi dubbio, suggerimento o opinione lasciate un commento ed approfondiremo insieme la questione.
Nessuno ha ancora commentato questo articolo, fallo tu per primo!
Scrivi un Commento