Il 25 maggio 2018 è entrato in vigore il GDPR (General Data Protection Regulation, Regolamento Generale sulla Protezione dei Dati). Poiché in Rete circolano informazioni molto fuorvianti ecco il chiarimento su alcuni punti.
In che modo il GDPR disciplina l’utilizzo dei cookie?
In realtà non lo fa, l’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law) che lavora insieme al GDPR anziché essere abrogata da quest’ultimo.
Il sito deve elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati?
No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome, anche se si devono indicare le categorie e le finalità.
Il legislatore ha voluto evitare che il gestore del sito sia costretto a monitorare costantemente ogni singolo cookie di terza parte, per essere al corrente di modifiche che sfuggono al suo controllo.
Il sito deve fornire agli utenti un meccanismo per gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente dal sito?
No, la Cookie Law non obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal sito, ma solo a:
- predisporre un meccanismo chiaro per ottenere un consenso informato e attivo;
- fornire un metodo per la revoca del consenso;
- garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.
Questo significa che il meccanismo di disattivazione dei cookie (opt-out) non deve essere ospitato direttamente dal sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo accettabile per gestire e revocare il consenso.
La nostra soluzione va oltre, indicando non solo le opzioni a disposizione all’interno del browser, ma anche gli strumenti offerti da soggetti terzi e i link ai moduli di consenso messi a disposizione direttamente dalle terze parti, che sono in ultima analisi i responsabili della gestione dell’opt-out in relazione ai propri strumenti di tracciamento.
Il sito deve registrare i consensi ai cookie per ogni utente?
La Cookie Law non impone la tenuta di un registro dei consensi, ma stabilisce la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati. Il modo più semplice per soddisfare questo requisito è quello di adottare una soluzione cookie che utilizzi un meccanismo di blocco preventivo in quanto, in questo caso, i codici che installano cookie sono eseguiti solo dopo aver ottenuto il consenso. In questo modo, infatti, il fatto stesso che i codici siano stati eseguiti è una prova sufficiente del consenso.