compliance

Gestione dei cookie del sito web aziendale: guida pratica in chiave GDPR

Home Sicurezza digitale Privacy
Indirizzo copiato

Il sito web sembra ormai rappresentare una vera e propria necessità per qualsiasi azienda, in ottica reputazionale e di business. La corretta impostazione di un sito, tuttavia, passa anche dal rispetto di specifici obblighi normativi in materia di protezione dei dati personali

Pubblicato il 20 set 2023
Lorenzo Giannini

Consulente legale privacy e DPO

People-based marketing: nell’era post-cookie, è orientato alle persone

La “rivoluzione digitale”, alla base dell’odierna digital economy e della quarta rivoluzione industriale[1], ha inevitabilmente portato le aziende a rivedere il proprio modo di fare impresa, così come l’emergenza pandemica Covid-19 ha accelerato la diffusione dello smart working quale modalità di lavoro ormai divenuta strutturale in molte realtà.

Cookie, quali regole rispettare: i Garanti privacy chiariscono i dubbi

Non possiamo prescindere, in via incidentale, dalla banale ma al contempo fondamentale considerazione per cui la maggior parte delle aziende oggi giorno è presente on line, con un proprio sito internet, avendo da tempo compreso le potenzialità della rete e il suo reale impatto in termini – tra gli altri – di visibilità, di business, di credibilità.

Visibilità, in quanto un sito web è un luogo sempre accessibile e in qualsiasi parte del mondo, dando modo all’azienda di farsi pubblicità e di rispondere a quelle richieste di informazioni o supporto che in qualunque momento potrebbero giungere da clienti effettivi o potenziali.

L’importanza di un sito web aziendale ben strutturato e funzionale

Sotto il profilo del business, appare superfluo soffermarsi sulle ormai evidenti opportunità e i positivi risvolti generati dall’e-commerce, spesso preferito rispetto ai canali di acquisto tradizionali.

Infine, credibilità: la presenza di un’azienda sul web appare oggi come una circostanza talmente assodata che stupirebbe non reperirne traccia su un motore di ricerca. Se ci pensiamo, una tra le prime cose che facciamo per ottenere informazioni sui servizi o prodotti offerti dall’azienda, nonché sull’azienda medesima, è proprio quella di cercarla online.

Il sito internet appare essere, pertanto, un elemento dal quale oggigiorno un’azienda non può prescindere, alla luce dei risvolti tutt’altro che virtuali ma, al contrario, più che mai concreti sopra accennati.

Come impostare correttamente i cookie del sito web secondo il GDPR

Dotarsi di un sito comporta tuttavia per l’azienda lo svolgimento di una preliminare analisi riguardo alla sua struttura e finalità di utilizzo, nonché alle informazioni non solo fornite ma anche raccolte per tramite del sito stesso. Soffermandoci su quest’ultimo aspetto, occorre considerare come tramite il proprio sito internet l’azienda si trovi spesso nella condizione di raccogliere delle informazioni connesse, più o meno direttamente, alla persona fisica. In altre parole, si trova a svolgere attività di trattamento di dati personali, alla luce delle definizioni offerte ex art. 4 del Regolamento (UE) 2016/679 (GDPR).

Ciò può accadere, ad esempio, attraverso form di richiesta informazioni o di contatto, nell’eventuale area del sito deputata a raccogliere i curricula di soggetti richiedenti impiego[2] o, più in generale, tramite i cosiddetti cookie[3]. Se nei primi due casi è pacifico affermare come la raccolta di dati anagrafici o di contatto per riscontrare la richiesta di informazioni, così come la raccolta dei dati contenuti nei CV, comportano un trattamento di dati personali in capo all’azienda, alla medesima conclusione si deve giungere anche con riferimento ai cookie. Il Considerando 30 GDPR chiarisce infatti come “le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Proprio con riferimento ai “cookie e agli altri strumenti di tracciamento” l’Autorità Garante privacy ha emanato apposite linee guida nel provvedimento n. 231 del 10 giugno 2021[4], allo scopo di fornire ai titolari del trattamento indicazioni sulle corrette modalità per la fornitura dell’informativa e l’acquisizione del consenso online degli interessati, laddove ciò venga previsto, nel pieno rispetto della normativa in materia di protezione dei dati personali[5].

Dovendo affrontare in questa sede svariati aspetti, procediamo con una sintetica analisi del provvedimento, limitandoci a dare evidenza delle principali indicazioni e invitando il lettore a consultare le linee guida per un più puntuale approfondimento.

Come ottenere il consenso degli utenti per l’utilizzo dei cookie

Con riferimento ai cookie, la prima attività da compiere è quella di stabilire quale tipologia è stata implementata dal sito[6].

Nel caso in cui il sito faccia ricorso soltanto a cookie “tecnici”, il titolare del trattamento è assoggettato al solo obbligo di fornire una specifica informativa (eventualmente inserendola in quella generale del sito), senza tuttavia dover provvedere all’acquisizione del consenso da parte dell’utente.

All’opposto, nel caso in cui oltre a quelli tecnici vi siano ulteriori tipi di cookie (es. cookie di profilazione), questi ultimi potranno essere utilizzati esclusivamente previa acquisizione del consenso informato dell’interessato (cfr. art. 122 del Codice privacy).

Invero, in questo secondo caso, il titolare del sito web deve altresì prevedere un banner a comparsa immediata e di adeguate dimensioni all’apertura del sito, comprensivo almeno delle seguenti caratteristiche:

  • La presenza di una “X” posizionata, di regola e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, così da consentire all’utente di chiudere immediatamente il banner mantenendo impostazioni di default. Queste ultime devono prevedere la continuazione della navigazione senza l’installazione di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
  • Un’informativa breve, attraverso la quale indicare che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento con specificazione delle relative finalità.
  • Il link alla privacy policy contenente l’informativa completa (eventualmente accessibile tramite hyperlink), con indicazioni complete anche riguardo ai predetti cookie o altri strumenti tecnici.
  • Un comando che consenta all’utente di accettare direttamente tutti i cookie o altre tecniche di tracciamento;
  • L’accesso a un’ulteriore area dedicata nella quale poter selezionare in modo analitico le sole funzionalità, i soggetti di terze parti e i cookie al cui utilizzo l’utente scelga di acconsentire.

Le best practice per la gestione dei cookie nel rispetto della privacy degli utenti

Tra le altre indicazioni fornite dalle linee guida, appare utile sottolineare come nel rispetto del requisito di “revocabilità” del consenso (cfr. par. 5.2 Linee guida 5/2020 dell’EDPB e art. 7, comma 3, GDPR), l’utente deve essere posto in ogni momento nella condizione di poter modificare le scelte effettuate e, dunque, revocare il consenso precedentemente prestato. Ciò deve avvenire “in maniera semplice, immediata e intuitiva, attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga”[7].

Inoltre, la reiterazione della richiesta di consenso nei confronti di quanti abbiano scelto di non prestarlo, mantenendo le impostazioni di default, viene consentita solo in tre ipotesi:

  • Se mutano significativamente una o più condizioni del trattamento (e dunque il banner assolva a una necessaria finalità informativa circa le modifiche intervenute).
  • Qualora risulti impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo.
  • Quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner.

Creare un’area privacy efficace nel sito web: linee guida e suggerimenti

Oltre a costituire una vetrina per mettere in mostra (e, talvolta, vendere direttamente) i servizi e i prodotti offerti dall’azienda, il sito web appare altresì confacente a dare concreta applicazione a uno tra i principi cardine della normativa europea in materia di privacy, ossia quello della trasparenza (art. 5, comma 1, lett. a), GDPR).

In questa prospettiva appare utile sfruttare le potenzialità del sito aziendale nell’ottica di rendere conoscibili e facilmente accessibili in qualsiasi momento, ad esempio, i modelli di informativa e i documenti eventualmente predisposti per consentire l’esercizio dei diritti da parte degli interessati.

Può senz’altro essere utile, dunque, creare un’apposita “area privacy” all’interno del sito web, che sia ben visibile anche laddove fosse collocata nel footer del sito e all’interno della quale prevedere magari la possibilità per l’utente di effettuare il download dei modelli proposti.

Trasparenza e informazione nell’area privacy del sito web: cosa includere

Partendo dai modelli di informativa, nell’area privacy del sito il titolare potrà dar conoscibilità a quei modelli di informativa che risultano utili “verso l’esterno”. Appare superfluo, pertanto, il caricamento di un modello ad uso interno come l’informativa per i dipendenti e collaboratori interni (che, ad esempio, può comunque esser resa disponibile tramite una intranet aziendale), mentre appare utile conservarvi copia del modello di informativa per i clienti e i fornitori, così come dell’informativa per i soggetti richiedenti impiego, in modo tale da consentirne la continua disponibilità agli interessati.

I diritti degli utenti secondo il GDPR: come garantirli nel sito web

Parimenti, anche la messa a disposizione nell’area privacy del sito di eventuali specifiche procedure e modelli previsti dall’azienda al fine di permettere l’esercizio dei diritti previsti ex artt. 15 e seguenti GDPR, appare in linea non solo con il principio di trasparenza ma anche con quanto stabilito dal secondo comma dell’art. 12 GDPR, a norma del quale “il titolare del trattamento agevola l’esercizio di diritti dell’interessato”.

In questa prospettiva, ad esempio, si potrebbe consentire la compilazione del modello messo a disposizione dal Garante privacy direttamente online, al fine di rendere realmente agevole e snello l’invio della richiesta dettagliata da parte dell’interessato.

Valutazione dell’impatto sulla protezione dei dati (DPIA) per i siti web aziendali

In base alla tipologia del sito web e, soprattutto, alla tipologia di trattamenti effettuati attraverso di esso, potrebbe costituirsi in capo al titolare anche l’obbligo di effettuare una valutazione d’impatto ex art.35 GDPR (DPIA – Data Protection Impact Assessment). Ciò potrebbe accadere, ad esempio, nel caso in cui sia stato implementato l’utilizzo di assistenti vocali online che, basati su intelligenza artificiale, operano attraverso lo scanning vocale e testuale. Questa, tuttavia, rappresenta soltanto una tra le ipotesi individuabili nell’elenco messo a disposizione dal Garante privacy (cfr. allegato 1 al provvedimento n. 467 dell’11 ottobre 2018) in presenza delle quali è prevista la necessità di procedere alla valutazione d’impatto.

La responsabilità del titolare del sito web nella gestione dei dati personali

Appare chiaro come le responsabilità inerenti alla rispondenza del sito web a quanto obbligatoriamente previsto dal quadro normativo qui sinteticamente riportato, siano proprie del titolare del trattamento. È quest’ultimo, ovvero l’azienda, a dover adottare politiche e attuare misure di sicurezza adeguate[8] a garantire ed essere in grado di dimostrare che i trattamenti effettuati tramite il sito web avvengono in conformità alla normativa europea (c.d. principio di accountability, art. 24 GDPR).

Invero, la concreta ed efficace attuazione dei principi di protezione dei dati personali non può prescindere da una appropriata progettazione del sito ex ante in modo tale, ad esempio, che venga prevista la corretta strutturazione del cookie banner prima della messa online, oppure che i consensi per i cookie diversi da quelli tecnici siano, per impostazione predefinita, predisposti sull’opzione di diniego alla loro installazione (rispettivamente, principi di privacy by design e privacy by default, art. 25 GDPR).

Le sanzioni per la violazione del GDPR nel contesto dei siti web aziendali: i rischi

Per quanto nella propria autonomia imprenditoriale e alla luce del richiamato principio di accountability, ciascun titolare risulti libero di adottare le modalità ritenute più idonee per assicurare il rispetto degli obblighi delineati[9], appare opportuno sottolineare come il tema dei cookie possa condurre, come visto, alla necessità di acquisire un consenso informato da parte dell’interessato quale condizione di liceità del trattamento.

Pertanto, eventuali violazioni ad esso inerenti sarebbero suscettibili di essere ricondotte – così come previsto ex art. 83, comma 5, lett. a), GDPR – nella fascia più aspra delle sanzioni amministrative pecuniarie previste dalla normativa europea, ovvero fino a venti milioni di euro o, per le imprese, fino al quattro percento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Note

[1] Cfr. www.cybersecurity360.it/legal/privacy-dati-personali/smart-working-e-byod-i-rischi-per-la-sicurezza-aziendale-e-per-la-protezione-dei-dati-personali/

[2] Sul tema, cfr. www.agendadigitale.eu/sicurezza/privacy/ricerca-del-personale-come-farla-secondo-il-gdpr/.

[3] Per cookie si intendono stringhe di testo che i siti web visitati dall’utente (c.d. publisher o “prime parti”) o siti o web server diversi (c.d. “terze parti”) posizionano e archiviano – direttamente, nel caso dei publisher e indirettamente, ossia per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno del dispositivo terminale (es., pc, smartphone, etc.) utilizzato dall’utente per navigare in rete, per poi ritrasmetterli agli stessi siti in occasione della visita succesiva. (cfr. par. 2 Linee guida cookie e altri strumenti di tracciamento; provv. Garante privacy n. 231 del 10 giugno 2021 [doc. web n. 9677876]).

I cookie possono essere utilizzati per semplificare e velocizzare la fruizione dei contenuti del sito web da parte degli utenti, in quanto memorizzano informazioni che al successivo accesso al sito non devono essere nuovamente trasmesse (pensiamo, ad esempio, alle informazioni utilizzate per la compilazione di un modulo informatico).

[4] Provvedimento 231/2021 [doc. web n. 9677876]; pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.

[5] Sotto il profilo degli obblighi normativi, si veda anche quanto stabilito ex art. 122 del Codice privacy (D. Lgs. 196/2003, come modificato dal D. Lgs. 101/2018).

[6] Per approfondire la diversa classificazione dei cookie si rinvia al par. 4 delle linee guida sopra richiamate.

[7] Cfr. par. 7.1 delle linee guida sopra richiamate.

[8] Da intendersi sia nell’accezione delle misure tecniche di sicurezza per la salvaguardia del sito e dei dati personali trattati attraverso di esso, sia delle misure di sicurezza organizzative, consistenti ad esempio nel formale ricorso a responsabili del trattamento ex art. 28 GDPR (nel caso di affidamento a un professionista o una società esterna).

[9] Cfr. par. 7.1 delle linee guida sopra richiamate.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video & Podcast
Social
Iniziative
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

L'AI sarà alleata o nemica del clima? Prime risposte nel rapporto IEA 2025