Cookie dopo il 10 gennaio 2022, cosa cambia…. niente!

Prima di cominciare, sfatiamo due falsi miti!

1) Quanto rischio concretamente sanzioni,
se non gestisco correttamente i Cookie di terze parti?

Dall’entrata in vigore della Cookie Law (anno 2016), NESSUNA azienda italiana è stata sanzionata per i cookie!
Il rischio di essere sanzionato è praticamente nullo!

2) Il registro dei consensi cookie è obbligatorio?

No, non lo è mai stato e non lo è neppure con gli ultimi chiarimenti del Garante,
basta un semplice cookie tecnico per dimostrare il consenso.

Ora che abbiamo chiarito alcuni punti importanti, vediamo le line guida del Garante

Il Garante Italiano per la Privacy, ha chiarito con linee guida dettagliate, come gestire i cookie sui siti web, ed invita a “conformarsi” a tali indicazioni (provvedimento del 10 giugno 2021 n. 231 Linee guida sull’uso dei cookie e degli altri strumenti di tracciamento)

Cosa cambia per chi deve gestire e mettere a norma siti web, quali sanzioni, realisticamente parlando rischia?

Molto sinteticamente non cambia praticamente nulla, le attività da fare per la messa a norma dei siti sono sempre le stesse, il Regolamento Europeo GDPR 679/2016 non è cambiato ed è sempre applicabile.
Parlando invece di rogne legali, la probabilità di essere sanzionato è praticamente nulla, infatti sull’archivio pubblico delle sanzioni fatte dal Garante Italiano, non risultato sanzioni sulla gestione dei Cookie a carico di piccole e medie imprese italiane.

Sorpreso… Come mai allora tanta attenzione sulla gestione dei cookie?

Verifica da solo quanto dichiarato sopra, il Garante Italiano ha sanzionato diverse mancanze nell’applicazione del GDPR, nessuna multa relativa ai cookie, il sito ufficiale delle sanzioni GDPR è visibile all’indirizzo: https://www.enforcementtracker.com/, sotto una schermata d’esempio dove troverai molte sanzioni anche di soli 1.000€ per gestione non corretta dei dati, informative non date, sistemi ed applicativi non sicuri, gestione delle password, praticamente hanno fatto sanzioni su tutto, ad eccezione della gestione non corretta dei Cookie.

Screenshot, archivio pubblico sanzioni GDPR

Prima di continuare mi presento, sono Fabio Carucci da 20 anni gestisco un’agenzia digitale, dal 2000 ad oggi abbiamo pubblicato con il nostro staff e collaboratori oltre 1.000 siti web, creato ed applicato con la nostra start-up DOKUMENTA SRL il sistema DATI360® Legal Suite, i siti realizzati per noi e per i nostri clienti in questi 20 anni, hanno ricevuto ZERO sanzioni!

Il trattamento dei dati personali in maniera conforme al GDPR 679/2016, oggi più che mai rappresenta una priorità ed opportunità, dobbiamo quindi trattare i dati personali in modo RESPONSABILE come indicato dal Regolamento Privacy. Questo non significa focalizzare il 99% del tempo e risorse sui cookie che rappresentano meno dello 0.1% di quello che il regolamento Privacy ci indica di fare.

Trattare i dati personali in modo RESPONSABILE significa indicare chi fa cosa, nominare per iscritto chi gestisce i dati personali (disporre quindi di un organigramma), fare una mappatura dei dati con relativo registro dei trattamenti, analizzare i rischi ed elencare le misure di sicurezza da adottare.

Vuoi sapere se sei veramente in Regola con il GDPR?
Calcola il tuo Legal Score, gratis in 3 minuti!

www.legalscore.it

Confuso… credi sia complicato?
E’ più semplice ed utile di quanto credi, se sai come fare.

Generare la bozza di un manuale completo Privacy, con tutti i documenti richiesti dal GDPR, può essere fatto anche senza esperienze specifiche in poco tempo con il programma DATI360® Legal Suite che trovi in questo sito, ovviamente poi il supporto di specialisti sarà fondamentale per un applicazione completa e concreta del GDPR.

Guarda un esempio di Manuale Privacy realizzato in meno di 60 minuti che genera tutti i documenti richiesti dal GDPR

  • Manuale Privacy / GDPR (circa 100 pagine)
  • Registro Trattamenti (titolare / responsabile)
  • Organigramma
  • Nomine Responsabili
  • Nomine Autorizzati
  • Gestione Asset
  • Gestione Data Breach
  • Analisi Rischi e Misure di Sicurezza
  • Audit / Rapporti di formazione
  • Formazione Base GDPR

Ora che abbiamo chiarito meglio cosa significa adeguarsi al GDPR, entriamo nello specifico dei siti web

Il sito web è a tutti gli effetti un documento ufficiale aziendale, come tale deve riportare le informazioni legali richieste dalla legge, ad esempio la semplice omissione della Partita IVA in home page comporta sanzioni di oltre 2.000€ sanzioni realmente fatte!

Ti ricordiamo che OGNI sito aziendale DEVE riportare alcune informazioni LEGALI OBBLIGATORIE, che variano in base alla tipologia di organizzazione, vediamo quali sono queste informazioni

Informazioni OBBLIGATORIE da indicare sui siti Web

Ditte individuali

  • Ragione sociale con indirizzo completo sede legale
  • Partita IVA (obbligatoria in home page)
  • Numero REA e provincia iscrizione
  • L’indirizzo posta elettronica certificata PEC consigliabile
  • Privacy Policy
  • Cookie Policy

Società di capitali S.r.l. o S.p.A.

per le società di persone (s.n.c. o s.a.s.) indicare inoltre:
• ufficio del registro delle imprese presso il quale la Società è iscritta e il relativo numero di iscrizione
• capitale sociale versato;
• (eventuale) dopo lo scioglimento, indicazione che la Società è in liquidazione
• (eventuale; solo per Spa e Srl a socio unico) indicazione la Società ha un unico socio.

Ora che abbiamo visto cosa significa applicare realmente il GDPR, torniamo alla gestione dei Cookie e vediamo cosa fare in pratica per rispettare le leggi previste per i siti web.

Come visto in precedenza la privacy in realtà è molto pratica quindi regola le prime cose da fare e rispettare la privacy sono:

Associazioni

Oltre ai dati legali, deve essere indicato:
• Tipologia per esteso dell’associazione (ASD, ONLUS, APS, NO PROFIT, etc.)

Professionisti iscritti all’albo

Per i professionisti è necessario indicare: 
• l’ordine professionale di appartenenza e il numero di iscrizione
• il titolo professionale ed eventualmente lo Stato membro in cui è stato rilasciato, informarsi presso l’Ordine professionale di appartenenza.

Per siti e-commerce devo essere inoltre presenti: 

• Condizioni di vendita.
• Condizioni pagamento.
• Condizioni garanzia.
• Foro competente.
• Risoluzione delle controversie.
• Informazioni sul diritto di recesso

Come visto in base alla tipologia di azienda è servizi è obbligatorio riportare indicazioni aziendali, le informazioni da indicare sono così tante che con il servizio DATI360 i nostri clienti possono creare un sito satellite in maniera semiautomatica con tutte le informazioni richieste, velocizzando il tutto senza rischiare di omettere informazioni importanti.

Esempio sito satellite con tutte le informazioni legali

Privacy e Cooky Policy, Note legati tutte le informazioni in un unico sito dedicato raggiungibile da un link che ti forniremo.
Esempio codice da inserire sul sito

Esempio link sul tuo sito: Privacy Policy e Note Legali

Nel caso di organizzazioni che hanno ricevuto oltre €10.000 di contributi per la legge sulla trasparenza, anche questi devono opportunamente essere indicati, con il servizio DATI360 potrai attivare una sezione specifica con queste indicazioni preinserite.

Visti quali sono i documenti obbligatori per mettere in regola il sito web, vediamo ora altre indicazioni richieste dal GDPR per essere in regola:

  • Essere certi che l’Agenzia che gestisce il sito abbia implementato la Privacy con manuale privacy aggiornato
  • Verificare che chi gestiste in sito disponga di una formazione base GDPR documentata
  • Verificare che sia installato il certificato HTTPS
  • Aggiornare frequentemente piattaforma gestione sito e plug-in
  • Backup funzionali e storicizzati
  • Gestione utenti con ruoli e messaggio del sito aventi password sicure meglio ancora se con autentificazione a due fattori
  • Blocco utenti su pagine login che provano ad accedere tramite tentativi Brute force
  • Mappatura dei servizi esterni usati es. zapier, mailchimp etc.. preferire servizi dislocati nella comunità Europea
  • Moduli contatti/newsletter con flag di consenso al trattamento dei dati
  • Servizio che mostra banner sull’utilizzo dei cookie
  • Servizio che blocca preventivamente i cookie

Sistemata la parte tecnica relativa al sito, vediamo ora quali soluzioni possono essere adottate per gestire i Cookie.

Il sistema DATI360 non prevede la gestione tecnica dei cookie (mostrare banner e blocco preventivo cookie) sul sito in quanto questo servizio è offerto già dal moltissime aziende in maniera già completa e strutturata.

Servizi per la gestione dei Cookie

Cookiebot

Servizio molto conosciuto e valido, lo usiamo per siti con poche pagine nella versione gratuita

Prezzo: Gratuito fino a 100 pagine, 1 dominio
Funzionalità:
-Genera Cookie Policy
-Banner di consenso, scansione è blocco Automatico Cookie

CookieYes

E’ il servizio che usiamo in questo sito, non richiede l’installazione dei plug-in ed è semplice da configurare, abbiamo acquistato tempo fa una licenza professionale multi sito.

Prezzo: Gratuito fino a 100 pagine, 1 dominio, 5000 logs mese
Funzionalità:
-Genera Cookie Policy
-Banner di consenso, scansione è blocco Automatico Cookie
-Registro Consensi
-Google Consent Mode

Cookie-script

Servizio semplice e funzionale, gratuito per piccoli siti web

Prezzo: Gratuito fino a 2 domini, 10 pagine scansionate per dominio, 20.000 pageviews/mese
Funzionalità:
-Genera Cookie Policy
-Banner di consenso, scansione è blocco Automatico Cookie
-Registro Consensi
-Google Consent Mode

Iubenda

Azienda Italiana con servizi validi, noi abbiamo acquistato tempo fa una licenza life time, usiamo il servizio in alcuni nostri siti
Prezzo: Gratuito Generazione Privacy Policy Gratuita fino a 4 servizi
Funzionalità:
-Genera Cookie Policy
-Genera Privacy Policy
-Banner di consenso, scansione è blocco Automatico Cookie
-Registro Consensi
-Google Consent Mode
-Consent Solution Form
-Generatore di Termini e Condizioni
-Registro trattamento dei dati

DATI360® Legal Suite

Servizi che offriamo ed utilizziamo in questo sito per generare Privacy e Cookie Policy ,Note legali e termini e condizioni di vendita.
Pur essendo difficilmente confrontabile con gli altri servizi sopra che sono specializzati nella sola gestione dei Cookie, abbiamo riportato anche il nostro servizio DATI360® per avere una panoramica completa di quello che serve realmente per essere in regola con il GDPR, poiché la gestione dei cookie rappresenta meno dell’1% di quello richiesto dalla privacy
Funzionalità:
-Genera Cookie Policy
-Genera Privacy Policy
-Note Legali obbligatorie Sito Web (Partita Iva, etc)
-Termini e Condizioni di Vendita
-Manuale Privacy / GDPR (circa 100 pagine)
-Registro Trattamenti (titolare / responsabile) illimitati
-Nomine Responsabili ed Autorizzati
-Gestione Asset
-Gestione Data Breach
-Analisi Rischi e Misure di Sicurezza
-Gestione Audit / Rapporti di formazione
-Formazione Base GDPR con attestato

Se il tuo sito è gestito tramite WordPress, puoi valutare

Plug-in WordPress

CookieYes | GDPR Cookie Consent & Compliance Notice (CCPA Ready)

Sito:https://it.wordpress.org/plugins/cookie-law-info/
Installazioni attive:1+ milione
Prezzo: gratis, con funzionalità specifiche a pagamento

Cookie Notice & Compliance for GDPR / CCPA

Sito:https://it.wordpress.org/plugins/cookie-notice/
Installazioni attive:1+ milione
Prezzo: gratis, con funzionalità specifiche a pagamento

GDPR Cookie Consent

Sito:https://it.wordpress.org/plugins/italy-cookie-choices/
Installazioni attive:+ 30 mila
Prezzo: gratis

Il plug-in è completamente Italiano sviluppato da professionisti apprezzati: Enea Overclokk, Andrea Pernici, Andrea Cardinale

Come deve essere fatto il Cookie Banner alle luce dei recenti chiarimenti?

  • il Cookie banner deve consentire all’utente di accettare o rifiutare il banner, il alternativa una “X” per rifiutare (scroll o wall non sono conformi)
  • scegliere la tipologia di cookie da installare, magari selezionando gruppi di cookie.
  • aggiornare le proprie preferenze di consenso
  • Raccolta del consenso solo dopo 6 mesi prima di chiederlo nuovamente.
  • cookie analitici di terza parte possono essere installati senza consenso dell’utente (e senza blocco preventivo) salvo casi particolari.
  • la base giuridica dell’uso dei cookie è il consenso, non è applicabile il legittimo interesse

Come vedi la gestione dei cookie come indica anche chiaramente il Garante della Privacy è complessa e dispendiosa, pertanto volendo definire la priorità delle tante attività da fare, prima suggeriamo di completare le altre attività previste dal GDPR, poi verificare ed ottimizzare la gestione dei Cookie.
Tra le diverse considerazioni da fare bisogna tener presente alche il mercato di riferimento in cui opera il nostro sito web, se siamo all’interno dell’Unione Europea, il GDPR è il regolamento a cui far riferimento altrimenti nelle diverse parti del mondo sono applicabile altre regolamentazione locali:

  • GDPR (EU)
  • ePrivacy Directive (EU)
  • ePrivacy Regulation (EU)
  • PECR (UK)
  • LGPD (Brazil)
  • PIPEDA (Canada)
  • PDPB (India)
  • CCPA (California, US)
  • VCDPA (Virginia, US)
  • Colorado Privacy Act (US)
  • CPRA (California, US)


Ricordiamo che nei remoti casi dei controlli della Guardia di Finanza, una delle prime cose che richiedono in fase di ispezione è il manuale Privacy con registro trattamenti etc.. ad oggi non mi risulta che in nessuna ispezione sono stati presi in esame i Cookie del sito web.
Il modello organizzativo GDPR varia notevolmente in base al tipo di organizzazione, una banca avrà sistemi di backup e sicurezza dei sistemi con procedure interne 100.000 volte superiori rispetto a una semplice dite individuale con un semplice sito vetrina, di conseguenza l’applicazione GDP R sarà commisurata al  tipologia di azienda.

Questo significa che l’informativa, il manuale Privacy devono realizzarlo tutte le aziende perché sono alla base del GDPR, particolarità molto specifiche come il registro del consenso del cookie sono richiesti sicuramente a BIG TECH (In Francia Google e Facebook sono state sanzionate), ma ad in Italia non ci sono sanzioni in merito a Cookie neppure alle Big Company.

Consideriamo inoltre che a breve sarà introdotto il nuovo regolamento di E-Privacy che definirà ancora meglio in maniera certa come gestire i dati digitali.
Inoltre Google, Apple ed altre Big Tech hanno dichiarato che dal 2022 non sopporteranno più i cookie terze parti, questo cambierà nuovamente lo scenario per la gestione dei Cookie.
Come se non già il tutto non sia già complicato, Google ha implementando il “Consent Mode” ossia un funzionalità che consente di far funzionare il TAG di Google, in base alle preferenze di consenso degli utenti.

A questo punto a maggior ragione per essere conformi al GDPR conviene fare le tante cose certe richieste e già sanzionate, oppure dedicare risorse alla gestione ottimale dei Cookie, viste le tante incertezze, variazioni e complicazioni esistenti?
Spero di averti dato una panoramica più completa su come debbono essere collocati la gestione dei Cookie nell’ambito di un progetto globale di conformità al GDPR, ora chiaramente in base alla la tua esperienza e la tua sensibilità in funzione dell’azienda che ti trovi a gestire, deciderai le priorità della attività da fare per la corretta gestione della Privacy. 

Cosa fare ora?

Se prima pensavi che la priorità era la gestione dei cookie, ora spero che grazie anche a questo testo sei riuscito ad acquisire una panoramica più completa della gestione Privacy.

Se ancora non hai partecipato ad un corso base GDPR con attestato finale, iscriviti ora è gratis, oltre 10.000 persone hanno già aderito. Richiedi corso Gratuito GDPR >>

Se sei un Avvocato, professionista, specialista nella gestione della privacy ti consigliamo di seguire il gruppo Facebook che abbiamo creato a questo https://www.facebook.com/groups/gestionaleprivacy

Se devi generare il tuo manuale Privacy con la guida passo passo in maniera autonoma, acquista il programma DATI360 che trovi in questo sito con la garanzia soddisfatto o rimborsato, approfitta della promozione in corso che ti consente di risparmiare il 20% con il codice sconto: promogo20 

Come vedi i tools per la gestione della Privacy sono tanti, la cosa certa è che il supporto di persone competenti in materia è decisamente utile, se vuoi possiamo confrontarci sulle tematiche di tuo interesse, basta che ci scrivi ai riferimenti che trovi nella pagina contatti oppure in chat.

Grazie per il tempo dedicato, questo articolo è in continuo aggiornamento anche in base ai feedback ricevuti da professionisti privacy ed agenzie.

Condividi

Facebook
LinkedIn