Checkbox Privacy e Cookie Policy: Come Inserirli nel Tuo Sito e nelle Tue Optin-Page

checkbox-privacy

Il tuo sito è legale al 100%? Tante persone ogni giorno ci chiedono come inserire sul proprio sito il Checkbox Privacy o la Cookie Policy. In questo articolo vediamo tutti gli step per essere a norma di legge ed evitare multe salatissime.

Dal 2 giugno 2015 è diventato obbligatorio il Provvedimento del Garante per la protezione dei dati personali n. 229/2014 relativo all’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.

Il Provvedimento si applica a tutti i siti, inclusi quelli responsive, e alla loro navigazione da qualsiasi terminale/dispositivo utilizzato.

Checkbox Privacy e Cookie Policy sono obbligatori su qualsiasi tipo di sito.

Al fine di garantire una corretta applicazione della normativa, il titolare/gestore del sito internet deve procedere ad alcuni passaggi preliminari, inclusa la redazione della cookie policy. Il titolare/gestore del sito DEVE:

  1. identificare tutte le categorie di cookie installati dal proprio sito e le loro finalità (cookie di prima parte);
  2. identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie;
  3. catalogare i cookie in base alle finalità di trattamento;
  4. identificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito (ove disponibili).Qualora non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti inserire:- link alle privacy policy degli intermediari (solitamente il concessionario di pubblicità del sito) ove disponibili,- link al sito www.tuosito.com/it (limitatamente ai servizi censiti da tale piattaforma, ovvero, al momento, quelli di profilazione pubblicitaria);
  5. aggiornare le privacy policy

Quanto alle modalità procedurali che permettono di adempiere alle disposizioni di cui alla normativa si rileva l’opportunità di modificare il codice del proprio sito. In tal caso per prima cosa è necessaria la creazione di uno script che gestisca il consenso all’interno del sito.

Il titolare deve:

  • isolare con un identificatore specifico tutte le porzioni di codice che installano servizi terzi che potrebbero utilizzare cookie;
  • inserire un codice in tutte le pagine che gestiscono la visualizzazione del banner/informativa;
  • fare in modo che tale codice interagisca con le preferenze come indicato da banner/informativa.

In alternativa, il titolare può anche adottare altri sistemi o procedure che consentano di caricare completamente le pagine (compresi i  cookie) sin dalla prima visita, evitando così spazi vuoti nella pagina, a condizione che l’attivazione dei cookie inviati al terminale dell’utente avvenga solo dopo che è stato espresso il consenso. In particolare, in caso di prima visita dell’utente al sito, il cookie – benché installato – non è attivo e se è stata adottata una corretta procedura per la richiesta del consenso, tale cookie non può eseguire alcuna profilazione dell’utente, in quanto lo scambio di informazioni in fase di lettura e scrittura dei cookie avviene solo dal collegamento successivo.

Qualunque fruizione attiva non potrà che comportare l’espressione del consenso o diniego. In caso di mancato intervento attivo dell’utente (interpretabile come accettazione o diniego) si dovrà prevedere un cookie tecnico che riconosca il medesimo utente come “nuovo utente” alla successiva visita, richiedendo nuovamente il consenso. L’utente verrà informato tramite due livelli di approfondimento: verrà visualizzata una prima informativa breve, a comparsa immediata sulla pagina alla quale l’utente accede, e un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link nel footer (parte bassa) del sito stesso.

Informativa Breve

La prima informativa breve viene preferibilmente comunicata all’utente tramite un banner dinamico (ad esempio, una “strip autoespandibile”, per capirci la banda colorata che appare in alto o in basso nella pagina, che si sposta leggermente dalla parte alta dello schermo con una percezione di movimento che sollecita l’attenzione dell’utente).

Informativa Estesa

L’informativa estesa può essere una pagina a sé stante o una sezione della privacy policy del sito. Esistono servizi che si occupano solo di questo, come ad esempio Iubenda.

Come funziona l’interazione con l’utente ?

Al primo accesso di un browser al sito, i cookie tecnici possono essere rilasciati, mentre i cookie non tecnici (di profilazione) non possono essere rilasciati (questi ultimi dovranno essere bloccati attraverso l’intervento tecnologico sul codice del sito). Alcuni fornitori tecnologici abbinano a questi interventi un pannello di monitoraggio e gestione delle preferenze dei cookie.

In alternativa rispetto al suddetto blocco preventivo, come detto in precedenza, il titolare del sito potrebbe anche rilasciare cookie di profilazione a condizione che ogni eventuale profilazione possa avvenire solo a seguito del consenso informato dell’utente. A tal fi ne, il soggetto che rilascia i cookie dovrà far uso di appositi cookie tecnici di sessione per assicurare che gli eventuali utenti che abbiano navigato sul sito senza esprimere il consenso o il diniego (ad esempio, nel caso di navigazione “cross site” senza svolgere alcuna azione positiva – quale potrebbe essere il click ad un link all’interno del sito -, ma con la sola apertura sequenziale di pagine di vari siti) al successivo accesso al medesimo sito vengano considerati come nuovi utenti (e anche gli eventuali terzi che hanno rilasciato cookie dovranno tenere traccia del consenso).

Qualora il sito utilizzi solo cookie tecnici non è necessario fornire all’utente l’informativa breve, tuttavia deve essere sempre e comunque disponibile un’informativa estesa che fornisca informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito.

Qualora il sito utilizzi anche cookie di profilazione, occorre mostrare su qualsiasi pagina di primo accesso al sito l’informativa breve tramite un banner dinamico che dovrà costituire una percettibile discontinuità nella fruizione dei contenuti.

In particolare, il banner dovrà preferibilmente avere le seguenti caratteristiche:

  • dimensioni tali da rendere il banner facilmente visibile, o espandibile (ad esempio, strip autoespandibile o Pushbar);
  • caratteri più evidenti rispetto a quello del sito
  • un colore del fondo contrastante rispetto allo sfondo del sito (spesso nero o giallo)

Esempio  di testo per l’informativa breve per i siti che rilasciano cookie di profi lazione di prima parte e non rilasciano cookie di profi lazione di terzi (il tasto X e OK sono alternativi):

banner cookie

Esempio di testo per l’informativa breve per i siti che rilasciano anche o solo cookie di profilazione di terzi (il tasto X e OK sono alternativi):

banner cookie 2

L’utente può esprimere il proprio consenso come indicato nel banner, ovvero:

  • compiendo un’azione di scorrimento (c.d. scroll down);
  • facendo click su uno dei link interni della pagina;
  • facendo click (preferibilmente) sul tasto “OK” o sul tasto “X”

Nota Bene: alla seconda visita dell’utente, ove quest’ultimo abbia espresso la propria preferenza – positiva o negativa – in relazione all’installazione dei cookie, lo script non mostrerà più il banner/informativa breve all’utente. Ove invece l’utente non abbia espresso alcuna preferenza, lo script dovrà mostrare nuovamente il banner/informativa.

Dall’informativa breve, così come da un link presente su ogni pagina, sarà possibile accedere all’informativa estesa del sito. Qualora l’utente decida di accedere all’informativa estesa, il titolare dovrà fornire tutte le informazioni necessarie per far comprendere l’utilizzo dei diversi cookie. L’informativa estesa può essere integrata nella privacy policy o essere autonoma.

L’informativa estesa deve necessariamente contenere:

  • gli elementi di cui all’art. 13 d.lgs. 196/20031 (“Codice Privacy”);
  • una spiegazione generale di cosa sono i cookie e della gestione degli stessi tramite le impostazioni dei browser;
  • la spiegazione di come viene prestato il consenso (ovvero scroll, tasto OK o X e link);
  • la descrizione delle categorie di cookie tecnici suddivisi per finalità;
  • la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;
  • la descrizione delle finalità dei cookie di terza parte. Per ogni terza parte che installa cookie (identificabile anche tramite il nome commerciale), per i quali la gestione delle preferenze ricade su tale terza parte, occorre fornire la descrizione delle finalità del cookie e:  il link all’informativa e al modulo di consenso della terza parte con la quale il gestore del sito ha stipulato accordi per l’installazione dei cookie sul proprio sito, ove disponibili; oppure il link all’informativa e al modulo di consenso della terza parte con la quale il gestore del sito ha stipulato accordi per l’installazione dei cookie sul proprio sito, ove disponibili; oppure il link al sito degli intermediari (solitamente il concessionario di pubblicità del sito), ove presenti.

Qualora il titolare/gestore del sito non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti (ad esempio, in ipotesi di catene di redirect advertising), si potrà inserire il link al sito www.youronlinechoices.com/it/.
Si segnala che il sistema www.tuosito.com/it/ attualmente funziona solo per i cookie di profilazione pubblicitaria (forse in futuro sarà allargato anche agli analytics) e rileva solo i cookie degli aderenti a www.tuosito.com/it/. Per questo motivo, tale strumento può non essere risolutivo per tutti i cookie di terze parti.

Se l’utente non interagisce con i moduli del consenso ed esce dall’informativa chiudendola o proseguendo la navigazione nel sito, presta il consenso per tutti i cookie, a condizione che l’informativa riporti questa indicazione in maniera esplicita. Qualora la terza parte non aderisca a www.tuosito.com/it o non abbia un’informativa e modulo di consenso, si consiglia di non utilizzare i cookie di profilazione di tale terza parte sul proprio sito (fermo restando che la responsabilità per la gestione delle preferenze dell’utente  relativamente a tali cookie ricade sulla terza parte che li ha rilasciati).

Cookie Tecnici e di Profilazione

Ai fini dell’applicazione del Provvedimento, il Garante ha individuato due macrocategorie di cookie ed ha esentato quelli tecnici dal consenso preventivo dell’utente (ma non anche dalla necessità di fornire all’utente stesso una informativa).

Cookie Tecnici

per i quali non è necessario il consenso dell’utente) si intendono:

  • i cookie relativi ad attività strettamente necessarie al funzionamento ed all’erogazione del servizio
  • i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione (ad esempio, cookie flash player se non superano la durata della sessione, cookie di salvataggio del carrello o delle preferenze sulla lingua/valuta);
  • i cookie di statistica, laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni in forma aggregata.

Il Garante ha chiarito che i cookie che invece necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici:

Cookie che necessitano il consenso

  • cookie di profi lazione pubblicitaria di prima o terza parte;
  • cookie di retargeting; >>cookie di social network;
  • cookie di statistica gestiti completamente dalle terze parti.

Esistono due strumenti di analytics esenti dall’obbligo di consenso:

  • cookie di analytics installati direttamente sul server della prima parte o della propria server farm senza interazioni da parte di terzi
    (a titolo esemplifi cativo, strumenti come Piwik);
  • cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP.

NOTA BENE: all’interno dell’informativa estesa devono essere presenti anche i link alle modalità per eliminare i cookie dai vari browser. 

Secondo il Garante, è necessario tenere traccia dell’avvenuta prestazione del consenso da parte dell’utente, ad esempio tramite un cookie tecnico. Non esiste ancora un sistema tecnico “perfetto” in relazione alla modalità di registrazione del consenso da parte di un browser (alcuni operatori stanno attualmente valutando se vi siano delle alternative praticabili) e il Garante non ha indicato una specifica soluzione tecnologica.

E’ consigliabile adottare:

  • indipendentemente dal fatto che al titolare/gestore del sito risulti che l’utente abbia validamente espresso il proprio consenso, un sistema di risposta all’utente, il quale in caso di lamentela dovrà al più presto ricevere una risposta su come esercitare il proprio consenso /diniego selettivo o come cancellare i cookie dal proprio browser, prevedendo all’occorrenza apposite pagine informative;
  • policy interne che assicurino la corretta adozione delle procedure in conformità alle presenti linee guida.

Considerazioni aggiuntive

Si ricorda che l’utilizzo di cookie di profilazione è assoggettato all’obbligo di preventiva notificazione al Garante, ai sensi dell’art. 37, comma 1, lett. (d) del Codice Privacy. Pertanto, nel caso in cui il titolare/gestore del sito intenda avvalersi di tali strumenti, dovrà preventivamente comunicare tale utilizzo attraverso la compilazione e l’invio dell’apposito modulo, disponibile al link https://web.garanteprivacy.it/rgt. Chiaramente, nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente  perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti. Nel caso in cui, tuttavia, il titolare/ gestore del sito possa, di fatto, accedere (anche in ragione di eventuali accordi con le terze parti) alle informazioni raccolte dai cookie in forma disaggregata, allora sarà necessario valutare possibili ipotesi di contitolarità ovvero di titolarità autonoma del trattamento ai fini della notificazione.

Attenzione, come indicato dal Garante, la violazione della normativa relativa ai cookie potrebbe comportare l’applicazione di sanzioni molto onerose! In particolare, per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice Privacy, nel Provvedimento del Garante, è prevista la sanzione amministrativa del pagamento
di una somma da seimila a trentaseimila euro (art. 161 del Codice Privacy).

Cosa rischi se non segui queste indicazioni ?

L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da 10 a 120.000 euro (art. 162, comma 2-bis, del Codice Privacy). Inoltre, l’omessa o incompleta notificazione al Garante (art. 37, comma 1, lett. d), del Codice Privacy) è sanzionata con il pagamento di una somma da 20.000 a 120.000 euro (art. 163 del Codice Privacy).In conformità a quanto previsto dall’art. 5, co. 1, del Codice della Privacy, le norme relative ai cookie – e dunque anche le presenti Linee Guida – sono applicabili a tutti i soggetti stabiliti in Italia, con la precisazione che, in linea con i chiarimenti forniti dai Garanti Europei*, per “stabilimento” deve intendersi il luogo in cui viene effettivamente esercitata, mediante un’organizzazione stabile, l’attività di trattamento non rilevando, a tale fine, la forma giuridica dello stabilimento (è, infatti, indifferente che si tratti della sede legale della società o di una succursale o di una filiale dotata di personalità giuridica).
Quanto ai soggetti dell’Unione Europea e dello Spazio Economico Europeo, si applicano le leggi del territorio ove questi sono stabiliti, vale a dire dello Stato ove abbiano una presenza tendenzialmente permanente (non transitoria o occasionale). In conformità a quanto previsto dall’art. 5, comma 2, del Codice Privacy, le norme relative ai cookie, e quindi anche le sanzioni di cui sopra, possono essere applicate anche a soggetti extraeuropei che si avvalgano di strumenti situati nel territorio dello stato italiano.

Si fa altresì presente che, in coerenza con quanto indicato dal Garante in tema di conservazione dei dati personali per finalità di profilazione, i cookie di profilazione non possono rimanere archiviati sul dispositivo dell’utente per un periodo superiore a 12 mesi.

Ecco come evitare le multe e risolvere velocemente questo problema

Ho girato per te un video tutorial dove ti mostro come utilizzare il servizio Iubenda e poi un plugin per WordPress che, al posto tuo, inserisce il checkbox nei tuoi form di iscrizione. Ti ricordo che il form di iscrizione è quel box dove l’utente lascia la sua mail, o altri suoi dati, in cambio di un prodotto gratuito di valore e viene iscritto ad una lista.

Ma prima ecco alcuni esempi SBAGLIATI e NON IN REGOLA per l’Italia di optin box:

optin_sbagliato

Ecco invece l’optin box, CORRETTO e IN REGOLA che presenta il checkbox anzichè il solito lucchetto.

optin_corretto

Come vedi DEVE essere presente il checkbox e il link che rimanda alla Privacy Policy e/o Condizioni d’uso. Come ti accennavo poco fa il plugin che crea in automatico il checkbox si chiama WP Optin Privacy e funziona sotto piattaforma WordPress per Optimizepress 2.0, Leadpages e Instabuilder.

In questi tutorial puoi vedere la semplicità di utilizzo dello stesso. Ti mostro come fare con Optimizepress 2.0 e Leadpages che sono quelli che utilizzo. Nei tutorial del plugin comunque trovi anche la guida per Instabuilder.

Guida per Optimizepress 2.0

Guida per Leadpages

Guida per Iubenda

( fonte: iubenda.com/it )

Se vuoi approfondire altri aspetti tecnici e di marketing per il tuo business, seguici qui:

[Video] 39 Minuti di Formazione per il TUO Business >>

Se hai altre domande specifiche scrivi nei commenti qui in basso.

Al tuo successo,
Pierluigi Giuliante

pierluigi-giuliante-blog

PS: Vuoi scrivere il tuo libro? Libro GRATIS Scrittura Veloce 3X™ >>

SCRITTURA VELOCE 3X


Articoli correlati:


Lascia il tuo commento per ricevere il prossimo articolo:

commenti

Il Mondo di Bruno Editore


AMI I LIBRI? Il "MONDO" di Bruno Editore è un ecosistema che ti accompagna nel tuo cammino, ovunque tu sia e ovunque tu voglia arrivare.

1. LEGGI i migliori ebook di formazione:
https://www.autostima.net

2. IMPARA con un percorso settimanale di libri, video e corsi:
https://www.numero1box.it

3. SCRIVI anche tu il tuo libro e diventa Autore:
https://www.numero1.me

4. PUBBLICA con Bruno Editore per diventare Bestseller:
https://www.brunoeditore.it

Pronto a creare la tua vita da Numero1?

Libri GRATIS



Scopri come avere in omaggio una copia del nuovo libro Scrittura Veloce.

Vuoi Scrivere un Bestseller?

Scopri Numero1™, il più grande corso in Europa per imparare a scrivere un libro e diventare Bestseller Amazon.

Seguici su Facebook:

Contattaci su Facebook: