Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

L’informativa sui cookie: regole di accountability per redigerla a norma GDPR

La realizzazione dell’informativa sui cookie rappresenta un passaggio fondamentale all’interno della gestione privacy in tutte quelle realtà che usano un sito Internet, a prescindere che si tratti di una semplice vetrina delle proprie attività o di un sistema di profilazione degli utenti. Ecco le regole pratiche da seguire

31 Dic 2019
V
Alfredo Visconti

Amministratore unico Brain-it, consulente esperto privacy


L’informativa sui cookie è da ritenersi un atto molto importante all’interno della gestione della privacy per tutte quelle realtà che hanno al loro interno un sito internet, a prescindere dal fatto che questi sia solo una vetrina o si spinga nelle attività di profilazione, fino ad arrivare al classico e più conosciuto sito di e-commerce.

Cosa sono i cookie e come gestirli, post GDPR

Partiamo dalla definizione del termine cookie esplicitando che stiamo parlando di stringhe di testo di piccole dimensioni che i siti Web visitati inviano ai dispositivi, dove vengono memorizzati e inoltrati quando l’utente visita nuovamente il sito Web. I cookie possono svolgere diverse funzioni e hanno caratteristiche diverse.

I cookie, inoltre, possono essere utilizzati dal responsabile del trattamento o da terze parti.

Tanto ciò detto è importante chiarire che la normativa riguardante i cookie è entrata in vigore a metà 2015, quindi ha visto la luce all’interno del momento guidato dal D.lgs. 196.2003 e soprattutto con delibere e chiarificazioni del Garante, quindi prima del GDPR.

Comunque la si voglia vedere, occorre partire dall’assunto che i cookie devono essere trattati e bene in quanto questi possono trasportare dati personali degli utenti.

L’art.4 della GDPR nel suo primo paragrafo specifica cosa si intenda per “dato personale” definendolo come: “Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.”

La lettura dell’articolo unitamente a quanto detto fino ad ora ci fa ben capire che siamo pienamente all’interno del concetto di “identificabilità” e pertanto possiamo affermare senza dubbio che se gestiamo i cookie ricadiamo pienamente all’interno del GDPR, in quanto l’utilizzo di cookie proprietari e di terze parti potrebbe rendere identificabile un individuo, anche tramite la raccolta di dati apparentemente anonimi quali ad esempio l’indirizzo IP di un utente.

Del resto, il Garante privacy il problema se lo è posto tanto da arrivare a pubblicare l’immagine seguente per delimitare l’uso e le regole da tenersi in questi casi.

L’informativa sui cookie: capire se il sito li usa

Compreso che siamo in presenza di un obbligo, anche molto preciso, iniziamo a preoccuparci e capire come agire e informare correttamente gli utenti circa i cookie che il sito installa nei browser. Ciò si può fare solo attraverso una specifica attività informatica che deve da un lato identificarli e dall’altro capirli rispetto alla loro invasività.

webinar, 21 aprile
Smartworking e Security: come fronteggiare gli attacchi che sfruttano l’emergenza da Coronavirus?
Sicurezza

Il primo passaggio è sicuramente capire se il sito utilizza o meno cookie, a prescindere dalle dichiarazioni del titolare del trattamento che potrebbe non essere tecnicamente preparato per rispondere a questa domanda.

La prima operazione è quindi l’attività di verifica dell’esistenza dei cookie e ciò può avvenire eseguendo le attività di seguito elencate.

Su un qualsiasi sito è possibile, cliccando il taso destro del mouse, intercettare il comando di “ispezione” o di analisi dell’elemento e della pagina, comando che farà aprire sulla destra una schermata di sistema che rende visibili alcune (a volte anche tante) notizie tecniche rispetto al sito che stiamo guardando.

Nella schermata che si apre, cliccando a destra sulla voce Application (la voce potrebbe cambiare a seconda del browser utilizzato) iniziamo a scendere nel dettaglio tecnico e di configurazione per concentrarci, appunto, sulla voce relativa alla gestione dei cookie.

Vediamo subito che il sistema, cliccando sui singoli cookie, ci offre subito una lista di quelli utilizzati ed è in base a questi che occorre poi decidere come scrivere l’informativa relativa e il testo da esporre attraverso il banner che viene visualizzato visitando il sito Internet.

Naturalmente oltre a questa tecnica manuale, ma molto precisa, l’individuazione dei cookie può passare anche dall’utilizzo di diversi strumenti presenti sul mercato come ad esempio: Wappalyzer e BuiltWith. Entrambi sono componenti aggiuntivi per i browser più comuni e consentono un’analisi approfondita di tutte le risorse e le tecnologie implementate all’interno di un sito web.

L’informativa sui cookie: come realizzarla

Qualunque sia il metodo utilizzato per “intercettare” i cookie attivi su un sito Internet, il passo successivo consiste nel capire cosa fanno e quanto diventano invasivi rispetto alle regole imposte dal GDPR e dal Garante Privacy.

È sufficiente effettuare una ricerca su Internet utilizzando il nome del cookie come parola chiave. Nel nostro esempio, cercando con un qualsiasi motore di ricerca il cookie trovato scopriremo che la stringa server id 6897 significa:

  1. Nome del cookie: SERVERID68971
  2. Scopo: Cookie di memorizzazione dati in cache per una navigazione più veloce e performante.
  3. Scadenza: Quando termina la sessione di navigazione
  4. Terza parte: No

Solo dopo aver preso queste informazioni è possibile scrivere un’informativa cookie corretta, perché solo in questo momento siamo capaci di dire cosa fa e come lo fa il nostro sito. Solo adesso possiamo decidere anche come costruire il banner informativo del sito.

Il testo visualizzato al suo interno potrebbe essere ad esempio questo:

“Informativa privacy

Questo sito o gli strumenti di terze parti in esso integrati trattano dati personali (es. dati di navigazione, indirizzi IP) e fanno uso di cookie o altri identificatori necessari per il funzionamento e per il raggiungimento delle finalità descritte nella cookie policy.

Dichiari di accettare l’utilizzo di cookie o altri identificatori chiudendo o nascondendo questa informativa, proseguendo la navigazione di questa pagina, cliccando un link o un pulsante o continuando a navigare in altro modo.”

Da quanto visto finora si comprende che è necessaria una buona conoscenza delle tecniche precise.

Come disabilitare i cookie dal browser

A questo punto, è utile anche impostare una privacy policy corretta che deve riportare, tra le altre cose, anche sezioni che spiegano come disabilitare i cookie indicando la procedura da seguire a seconda del browser utilizzato dagli utenti per visitare il sito Internet.

Ad esempio, potrebbe essere opportuno pubblicare la seguente tabella che deve precedere o seguire rispetto alla spiegazione dei cookie identificati come precedentemente mostrato, e nella quale vengono indicati i link alle pagine informative dei browser in cui vengono mostrate le modalità di archiviazione dei cookie:

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5