Occuparsi di privacy policy e cookie policy per molti di noi non è il massimo del divertimento. Diciamoci la verità, se gestisco una panetteria o un negozio di scarpe vorrei concentrarmi sulla conduzione della mia azienda, non certo controllare norme e legislazioni col rischio di ricevere sanzioni se la mia privacy policy non fosse corretta.
A meno che non siate esperti in legge (o che vi diverta passare le ore ad aggiornarvi su norme e legislazioni, nessuno giudica ciò che fate nel tempo libero) non è per niente facile né piacevole districarsi nello spinoso campo della privacy policy e delle cookie bar.
Le normative cambiano continuamente, senza contare che da Paese a Paese possono esserci differenze da considerare.
Eppure nessuno di noi, dal momento in cui mette online un sito web o una app iniziando così a raccogliere e trattare dati degli utenti, può esimersi dal rispettare le norme a disciplina di questa materia. Non importa quanto piccola sia l’attività!
New entry nello scenario è il GDPR (Regolamento Generale sulla Protezione dei Dati, Regolamento Europeo 2016/679) che è arrivato sul panorama per chiarire molti aspetti del trattamento dei dati personali. Se da una parte il GDPR ha introdotto una normativa più precisa e puntuale, allo scopo di migliorare la protezione dei dati personali degli utenti, dall’altro ha introdotto nuovi obblighi da adempiere per chi si trova a trattare dati.
In questo articolo cerchiamo di dare un quadro riassuntivo sul tema Privacy e Cookie Policy, che possa servire da punto di partenza per chi è totalmente inesperto e da ripassino (che non fa mai male) a chi ha già un po’ di esperienza in materia.
Che cosa intendiamo esattamente per Privacy Policy?
Iniziamo rispondendo a questa domanda è d'obbligo. La Privacy Policy di un Sito Web o di un'App è un documento, che deve essere reperibile sul tuo sito web o app, sul quale gli utenti possono trovare ogni informazione circa modalità e finalità di trattamento dei loro dati personali. Si tratta di un documento necessario per garantire agli utenti un corretto trattamento dei dati, in totale trasparenza, e richiede di riportare numerose informazioni. Vediamole rapidamente:
- il documento deve riportare l’identità del titolare del sito/app, quali dati vengano raccolti, i diritti in relazione a tali dati ecc
- deve dare la possibilità all’utente di negare o revocare il consenso al trattamento; negli Stati Uniti è obbligatorio offrire agli utenti la possibilità di revocare il consenso; nel caso di “dati sensibili” deve essere richiesta un’azione di “opt-in” verificabile
- vi è l'obbligo di tenere un registro delle attività di trattamento, oppure un registro di base contenente almeno i dati che raccogli, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati
- gli utenti devono essere informati sull’uso dei cookie e avere la possibilità di acconsentire o rifiutare.
La Privacy Policy è normata dalla legge e obbligatoria ogni volta che il sito o la app realizzi un trattamento dei dati (non solo la raccolta ma anche, ad esempio, l’uso e l’archiviazione). Come già accennato, la mancanza dell’informativa sulla privacy, ma anche la presenza in essa di errori, è punibile dalla legge con sanzioni pecuniarie anche decisamente salate (si parla di 20 milioni di euro o il 4% del fatturato mondiale annuale in caso di violazioni gravi).
Cookie di navigazione
Come abbiamo accennato parlando del contenuto della privacy policy, all’interno della normativa è presente anche l’obbligo che l’utente possa dare o meno il proprio consenso circa l’utilizzo dei propri cookie di navigazione. Nello specifico, GDPR e Cookie Law si occupano di dare disposizioni in materia di cookie.
Cosa sono i cookie di navigazione? Per farla semplice, essi sono piccoli file di testo depositati sul tuo dispositivo (pc, smartphone ecc.) quando navighi su un sito web, che registrano informazioni sulla tua navigazione, sulle tue attività e sulle tue preferenze.
La normativa impone il chiaro obbligo di informare gli utenti dell'utilizzo di cookie di navigazione, attraverso una cookie bar il cui contenuto vedremo fra poco, e si applica a tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti.
La cookie bar deve contenere:
-informazioni chiare: come e perchè utilizziamo i dati raccolti, e da dove li prendiamo, chi ne beneficerà (eventuali siti terzi);
-la possibilità di scegliere quali cookie di navigazione installare (salvo i cookie "tecnici"); la scelta deve essere reale, ovvero dobbiamo consentire all'utente di navigare sul sito anche se non accetta i cookie;
-la richiesta di accettare i cookie deve essere fatta prima di installarli;
-chiarezza circa le azioni dell'utente che corrisponderanno ad una accettazione e possibilità di modificare o revocare il consenso
E' importante tenere a mente che piccoli o grandi cambiamenti riguardo ciò che è necessario contenere all'interno della cookie bar possono avvenire continuamente, sia per modifiche che apportiamo noi stessi al nostro sito web (e indirettamente portano una modifica nel trattamento che facciamo ai dati) sia per cambiamenti nella normativa.
I Cookie: strumenti da utilizzare in modo responsabile
I cookie nascono come strumenti per facilitare la navigazione online. Come abbiamo già accennato, consentono di individuare il dispositivo dal quale l’utente si connette e seguirlo nella sua navigazione sul web, compiendo annotazioni di vario tipo circa il suo viaggio. Questo consente di mettere in pratica varie operazioni, come meccanismi che facilitano l’autenticazione, il recupero di dati utili come ad esempio la lingua scelta dall’utente o il contenuto del suo carrello o tracciare dati sui suoi interessi al fine di rivolgere all’utente pubblicità personalizzata.
Proprio questo ultimo punto rende chiaro il perchè l’utilizzo dei cookies di navigazione si sia ben presto allargato dalla semplice comodità di navigazione a quella che si chiama profilazione dell’utente, che fa moltissima gola alle aziende dal momento che permette di rivolgere contenuti e pubblicità mirate al target interessato. Tutto ciò ha naturalmente portato i garanti della privacy a pretendere che la normativa si occupasse accuratamente anche di questa materia.
In base al nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR), i cookie sono dati pseudonimi. Senza dilungarsi in tecnicismi, a differenza dei dati anonimizzati i dati pseudonimi sono ritenuti dati personali e dunque soggetti a tutela, anche se ridotta.
La Cookie Law, invece, si occupa delle azioni consistenti nella registrazione di informazioni (cookie) sul dispositivo di un utente oppure nell'accesso ad informazioni già registrate su quel dispositivo.
Sembra complicato? Se ce ne occupiamo insieme, sarà tutto più semplice!
In questo articolo abbiamo fatto una panoramica di tutte le informazioni che ci permettono di capire con estrema chiarezza quanto impegno e attenzione sia necessario dedicare per adempiere correttamente i nostri doveri in materia di privacy e cookie policy, e quanto sia importante farlo correttamente, sia per totale correttezza nei confronti dei nostri untenti che per evitare di incorrere in sanzioni.
Ciò che è importantissimo ricordare è che nessun utente è mai lasciato solo! Esperti e agenzie possono darti una mano in questa impresa, rendendo la gestione di questa materia molto più semplice!