Domande e risposte

• Cosa deve contenere un cookie banner per essere a norma?

  Un cookie banner per essere a norma deve contenere una spiegazione del fatto che il sito web utilizza i cookie e il link alla cookie policy più dettagliata, il tasto “Accetta” che permette di accettare tutti i cookie di tutte le tipologie, il tasto “Rifiuta” che permette di rifiutare tutti i cookie di tutte le tipologie e il tasto di personalizzazione, per permettere all’utente di scegliere le categorie di cookie da accettare o rifiutare. In assenza del tasto “rifiuta” può esserci anche una “X” in alto che consente di chiudere i banner rifiutando tutte le tipologie di cookie, fatta eccezione per gli essenziali.
  
  Inoltre, è importante che il banner sia ben evidente e blocchi la navigazione dell’utente alla prima visita al sito.,
  

• Cosa succede se non aggiorno la cookie policy dopo aver effettuato delle modifiche ai cookie che utilizzo?

  La cookie policy è lo specchio dei cookie che sono attivi sul sito e deve essere sempre aggiornata. Non aggiornare la cookie policy significa dare un messaggio sbagliato agli utenti: l’utente può avere accettato dei cookie che in realtà non ci sono più o aver dato il suo consenso per delle finalità diverse da quelle attuali. Tutto ciò porta a un problema di compliance, perché il sito non è più a norma e quindi, oltre a delle lamentele da parte degli utenti stessi, si rischiano anche delle sanzioni. La cookie policy, quindi, deve essere sempre aggiornata per essere a norma ed evitare sanzioni, ed è importante anche avvisare gli utenti a ogni suo aggiornamento.

• Oltre al GDPR nel mondo quali altre normative ci sono?

  In Europa, oltre al GDPR, c’è la Direttiva ePrivacy (anche detta Cookie Law), che è in vigore dal 2002 e stabilisce le regole per la privacy elettronica, compreso l’e-mail marketing e l’uso di cookie.
  
  Negli Stati Uniti non esiste una legge a livello federale, ma ci sono diverse leggi sulla privacy a base statale. La più famosa è quella della California, il California Consumer Privacy Act (CCPA), che recentemente è stata modificata ed è diventata il California Privacy Rights Act (CPRA). Altri stati che hanno adottato una legge sulla privacy sono Virginia, Colorado, Utah e Connecticut, e altri ancora si allineeranno presto.
  
  C’è poi la LGPD (Lei Geral de Proteção de Dados) in Brasile, che riprende molti dei principi del GDPR, l’Australian Privacy Act in Australia, e dal 1° settembre anche la Svizzera ha revisionato la sua vecchia legge sulla privacy, emanando la nuova Legge federale sulla protezione dei dati (LPD).
  
  Questi sono solo alcuni esempi, ma quasi tutti i paesi del mondo oggi hanno una legge sulla privacy.
  
  

• Che differenza c’è fra Privacy Policy e Cookie Policy?

  La privacy policy riguarda la gestione dei dati personali degli utenti, mentre la cookie policy si concentra sulla gestione dei cookie e delle informazioni raccolte attraverso di essi.
  
  Più nel dettaglio:
  
  -La privacy policy è un documento legale che spiega come un'azienda o un sito web raccoglie, utilizza, condivide e protegge i dati personali degli utenti. Tratta informazioni personali, tra cui nomi, indirizzi, informazioni di contatto, dati sensibili e informa gli utenti sui propri diritti su di essi, come il diritto di accesso, modifica o cancellazione dei dati.
  
  -La cookie policy invece è un documento che spiega come un sito web utilizza i cookie e le tecnologie simili per raccogliere informazioni dai visitatori del sito. Questo documento si concentra principalmente sulle informazioni raccolte tramite cookie, come dati di navigazione, preferenze dell'utente, dati di analisi e spiega lo scopo di essi, i tipi di cookie utilizzati e come gli utenti possono gestire o disattivare i cookie.
  
  
  Per maggiori informazioni si rimanda a questo articolo del nostro blog
  

• Che tipo di sanzioni ci sono per chi non è in regola con la gestione dei Cookie?

  Le sanzioni per chi non è in regola con la gestione dei cookie possono variare a seconda delle leggi sulla privacy applicabili nel paese in cui si opera.
  
  In linea generale si tratta di:
  
  -Avvertimenti e richieste di conformità: le autorità per la protezione dei dati o gli organismi di regolamentazione possono emettere avvertimenti o richieste di conformità per chiedere all'azienda o al sito web di adeguarsi alle leggi sulla privacy e di apportare le modifiche necessarie alla gestione dei cookie.
  
  - Multe amministrative: le autorità di regolamentazione possono infliggere multe amministrative alle aziende o ai siti web che non rispettano le leggi sulla privacy e la gestione dei cookie. L'importo delle multe può variare notevolmente, a seconda delle circostanze e delle leggi locali.
  
  - Sospensione delle attività: In casi gravi di non conformità, le autorità di regolamentazione possono ordinare la sospensione delle attività dell'azienda o del sito web fino a quando non vengono apportati gli adeguamenti necessari.
  
  Oltre alle sanzioni, ci possono essere delle conseguenze dirette derivanti dagli utenti stessi, quali azioni legali (ex. richieste di risarcimento danni da parte degli utenti) e danneggiamento dell’immagine e della reputazione (perdite di clienti e danni finanziari)
  

• Nella Cookie Policy deve esserci l'elenco completo dei TIPI di cookies oppure l'elenco completo dei COOKIES presenti nel sito?

  Nella Cookie Policy di solito si dovrebbe fornire un elenco completo dei tipi di cookie utilizzati, anziché un elenco completo dei singoli cookie specifici presenti nel sito web, questo perché un sito web può utilizzare molti cookie diversi per scopi diversi, ma questi cookie possono rientrare in categorie o tipi generali.
  
  La descrizione di ciascuna categoria dovrebbe includere informazioni su cosa fanno i cookie, quali dati raccolgono e per quanto tempo vengono conservati, oltre alle modalità di gestione del consenso ai cookie, nel caso in cui l’utente desiderasse modificare le proprie preferenze.
  
  E’ possibile tuttavia includere un elenco dei cookie specifici utilizzati, ma essendo spesso molto lungo, può essere fornito in una pagina separata o in un documento più tecnico per coloro che desiderano ulteriori dettagli sui cookie specifici. La chiarezza e la trasparenza nella comunicazione sono fondamentali nella stesura di una cookie policy.
  

• Se avviene un aggiornamento o una modifica della policy devono essere informati anche quanti l'hanno accettata in precedenza e, se sì, come?

  Sì, se una Cookie Policy (o qualsiasi altra politica relativa alla privacy) viene aggiornata o modificata, è importante informare quanti l'hanno accettata in precedenza, in modo da mantenere la trasparenza e garantire il consenso informato degli utenti.
  
  Puoi inviare una notifica agli utenti registrati, spiegando chiaramente le modifiche apportate e fornire loro la possibilità di rivedere la nuova cookie policy. Oppure puoi utilizzare un banner di notifica con un collegamento diretto alla cookie policy aggiornata, in modo che gli utenti possano leggerla.
  
  Attenzione: le modifiche dovrebbero essere chiaramente evidenziate, in modo che gli utenti possano identificarle facilmente, e deve essere indicata la data dell'ultima modifica.
  
  In ultimo, se gli aggiornamenti comportano una raccolta di dati aggiuntiva o se modificassero significativamente l'uso dei dati, potrebbe essere necessario richiedere nuovamente il consenso degli utenti per l'uso dei cookie in base alla cookie policy aggiornata.
  

• È legale negare accesso al sito se utente non accetta tutti i cookies?

  Secondo il GDPR e le linee guida dell'Autorità europea per la protezione dei dati (EDPB), il consenso dei cookie deve essere fornito in modo volontario, spiegando agli utenti in modo chiaro ed esplicito cosa stanno accettando. L'utente dovrebbe avere la possibilità di accettare o rifiutare i cookie senza subire conseguenze negative, come il blocco dell'accesso al sito web.
  
  Questo principio è noto come "consenso libero, informato e inequivocabile".
  Resta l’eccezione dei cookie strettamente necessari, che non richiedono il consenso dell’utente. Per tutte le altre categorie, negare l'accesso al sito web se l'utente non accettasse tutti i cookie potrebbe sollevare questioni legali.