Per quanto concerne la nuova GDPR  del 25 Maggio 2018; non è necessario elencare i cookie nome per nome o fornire un sistema di opt-out integrato sul tuo sito.

Con il 25 maggio 2018, entra in vigore la nuova policy sulla privacy: il GDPR. Molti si chiedono quali saranno gli effetti sugli obblighi legati all’utilizzo dei cookie. Ma c’è molta confusione anche per gli addetti ai lavori che agiscono nella fretta senza dare un’attenta lettura al GDPR. Chiariamo alcuni dei malintesi più comuni relativi ai cookie e al GDPR.

Quali sono le regole del GDPR sull’utilizzo dei cookie?

L’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law). In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora insieme” con il GDPR, invece di essere abrogata da quest’ultimo. Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy, che opererà insieme con il GDPR per regolamentare i requisiti per l’uso dei cookie. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.

È necessario elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati dal mio sito web?

No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome. Tuttavia, il gestore del sito è tenuto ad indicare chiaramente le loro categorie e finalità. Questa decisione da parte del legislatore è probabilmente motivata dalla volontà di evitare che ogni gestore di siti web sia costretto a monitorare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al suo controllo. Ciò sarebbe infatti irragionevole, nonché inutile per l’utente finale.

Devo fornire agli utenti un meccanismo per gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente dal mio sito web?

No, la Cookie Law non ti obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal tuo sito, ma solo a:

  • edisporre un meccanismo chiaro per ottenere un consenso informato e attivo;
  • fornire un metodo per la revoca del consenso;
  • garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.

Questo significa che il meccanismo di opt-out non deve essere ospitato direttamente dal tuo sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo accettabile per gestire e revocare il consenso.

Devo registrare i consensi ai cookie per ogni utente?

La Cookie Law non impone la tenuta di un registro dei consensi, ma stabilisce la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati. Il modo più semplice per soddisfare questo requisito è quello di adottare una soluzione cookie che utilizzi un meccanismo di blocco preventivo in quanto, in questo caso, i codici che installano cookie sono eseguiti solo dopo aver ottenuto il consenso. In questo modo, infatti, il fatto stesso che i codici siano stati eseguiti è una prova sufficiente del consenso.