GDPR E COOKIE: proteggi i dati dei tuoi utenti

Il quadro normativo: cosa si intende per GDPR

Con il termine GDPR (acronimo di General Data Protection Regulation) si fa riferimento al Regolamento generale per la protezione dei dati personali n. 2016/679, ovvero, la normativa europea in materia di protezione dei dati. 
La sua prima attuazione è avvenuta nel 2018 ed è divenuto un documento valido, automaticamente, in tutti i paesi dell’Unione Europea.
All’interno dei confini europei viene applicata quindi una normativa unificata a cui devono sottostare anche i soggetti giuridici di paesi esteri, i quali operano con cittadini provenienti dall'Unione.
Applicando la GDPR si è passati da una concezione proprietaria del dato a una concezione di controllo del dato.
Il soggetto sottoposto al trattamento dei dati deve ricevere la possibilità di conoscere come questi ultimi verranno utilizzati e  saranno custoditi.
Sulla base di queste informazioni,  l' utente deciderà poi se autorizzare, oppure rifiutare, questo procedimento (tramite consenso o dissenso).
La volontà e la necessità di dover tutelare il cittadino attraverso  l’utilizzo dei suoi dati personali, porta con sé due importanti conseguenze:

• La responsabilità del titolare del trattamento (azienda) per la custodia e l’utilizzo dei dati;
• L’aumento del sentimento di fiducia da parte dei cittadini nei confronti del mondo digitale. Mondo in cui , troppo spesso, in passato e ancora oggi, i dati degli utenti vengono raccolti ed elaborati senza il consenso da parte di questi ultimi.
  Il mancato rispetto della normativa descritta può far sì che il  titolare del trattamento riceva sanzioni amministrative dall'importo pari sino al 4% del fatturato globale dell’azienda.

Adeguamento GDPR: il banner informativo sui cookie

Nello specifico, per le aziende proprietarie di Portali Web e/o di App, l’informativa del trattamento e della modalità di utilizzo dei dati personali è mostrata tramite banner che indicano quali Cookie sono attivi sulla piattaforma.
Ecco un esempio di Banner di Cookiebot per il trattamento dei dati personali:

Come si esprime il consenso al trattamento dei dati sul web?

La GDPR  autorizza quindi il trattamento dei dati personali degli utenti solo dopo che questi abbiano dato il loro esplicito e spontaneo consenso al trattamento.
È necessario però domandarsi cosa si intenta per “esplicito e spontaneo consenso”, e in aiuto per rispondere a questa domanda, nel maggio del 2020 sono arrivate le linee guida del Comitato europeo per la protezione dei Dati (EDPB).
Il Comitato ha espressamente indicato che il consenso dell’utente per il trattamento dei dati NON può essere considerato valido se:

• Le caselline di accettazione del trattamento sono già preselezionate;
• Non viene permesso di proseguire con la navigazione previa accettazione di tutti i trattamenti;
  Inoltre, proseguire con la navigazione senza aver espresso il consenso non implica l’accettazione; il consenso deve avvenire con un’azione chiara e volontaria.
  In sintesi, affinché i Portale Web o App siano conformi con la GDPR:
• Il tracking dei dati non può essere attivato prima dell’esplicito consenso (come sopra indicato);
• Deve essere data la possibilità di attivare alcuni cookie lasciando gli altri non attivi;
• Il consenso deve essere revocabile con la stessa semplicità del consenso;
• Deve essere presente una sezione di approfondimento sul trattamento e la custodia dei dati;
• Il file di accettazione e i dati raccolti devono essere custoditi in conformità alla GDPR;
• L’accettazione di cookie di terze parti, implica per il gestore del trattamento la custodia della documentazione relativa a quali cookie si tratta, ma non implica la conoscenza delle modalità e dei fini del trattamento;
• L’accettazione del consenso deve essere rinnovata annualmente o per alcuni stati con cadenza di 6 mesi;

Cosa sono i cookie e come funzionano

Secondo la normativa di protezione dei dati personali, i cookie sono:

stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente.

Si evince, che questi testi permettano all’azienda proprietaria del Portale Web di accumulare un importante quantitativo di informazioni sull’utente che vi fa accesso; una volta rielaborate, queste informazioni possono essere riutilizzate per ottenere una profilatura dell’utente, spesso e volentieri per fini commerciali.

Cookie tecnici, di profilazione e di terze parti

Esistono  3 diverse tipologie di cookie:

• Cookie tecnici
• Cookie di profilazione
• Cookie di terze Parti.

1. Cookie tecnici

I cookie tecnici sono quelli che rendono la navigazione, su un Portale Web o  su un' App, più “facile” e “fluida”. Possono essere catalogati in alcune sottocategorie.
Ecco alcuni esempi:

• Cookie di sessione: regolano la normale navigazione del Sito Web (es. permettono l’autenticazione ad aree riservate);
• Cookie analitici: raccolgono informazioni in forma anonima e aggregata con l'obiettivo di migliorare il portale;
• Cookie di funzionalità: permettono la navigazione sulla base di criteri selezionati in precedenza (es. la lingua del portale Web).

Secondo la GDPR, i cookie tecnici sono fondamentali per il corretto funzionamento di un portale web. Per questo motivo, non hanno bisogno di essere approvati e non possono quindi neanche essere deselezionati.

2. Cookie di profilazione

I cookie di profilazione riescono a raccogliere i dati dell’utente relativi al tipo di acquisto, alla spesa media, alle preferenze politiche, religiose, di orientamento sessuale e molto altro. Questi dati vengono poi utilizzati per creare pubblicità mirata sulla base delle preferenze dell’utente.

3. Cookie di terze parti

I cookie di terze parti, sono cookie dove non è previsto che il proprietario del portale web abbia il controllo diretto per la modalità con cui le informazioni sono utilizzate e custodite.
Possono essere ad esempio i cookie di Google, come Google Analytics.
Queste ultime due tipologie di Cookie hanno bisogno del consenso esplicito dell’utente tranne nel caso di anonimizzazione dove il consenso può partire prima dell'accettazione, in quanto diventerebbe assimilabile a un cookie tecnico a scopo analitico.