Cookie: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m Annullate le modifiche di FrescoBot (discussione), riportata alla versione precedente di 95.233.98.184 |
Inserita implicazione della direttiva GDPR sulla gestione dei cookie nei siti |
||
Riga 222:
In merito ai chiarimenti richiesti sull'ambito di applicazione della normativa in materia di cookie<ref>{{Cita web|url = http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878#aui_3_2_0_1118|titolo = Chiarimenti in merito all'attuazione della normativa in materia di cookie - Garante Privacy|accesso = 2016-01-10|sito = garanteprivacy.it}}</ref>, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (cfr. art. 5, comma 2, del Codice privacy<ref>{{Cita web|url = http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248|titolo = Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy|accesso = 2016-01-10|sito = garanteprivacy.it}}</ref>).
== La nuova legislazione europea: il GDPR ==
Il 25 maggio 2018 inizierà ad essere applicato il '''[[regolamento generale sulla protezione dei dati]]''' (GDPR, ''General Data Protection Regulation- Regolamento UE 2016/679)''. Il GDPR sostituirà l’attuale direttiva italiana sulla protezione dei dati (ufficialmente Direttiva 95/46/EC)<ref>{{Cita web|url=http://eur-lex.europa.eu/summary/IT/URISERV:l14012|titolo=Direttiva 95/46/CE}}</ref> e abrogherà le norme del [[Codice in materia di protezione dei dati personali|Codice per la protezione dei dati personali]] (dlgs.n. 196/2003) che risulteranno con esso incompatibili.
Secondo la [[Commissione europea|Commissione Europea]] "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o [[Indirizzo IP|indirizzi IP]] di computer."<ref>{{Cita web|url=http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en|titolo=European Commission’s press release announcing the proposed comprehensive reform of data protection rules}}</ref>
Per questo anche i cookie dovranno essere trattati come '''dati personali''' e dovranno essere gestiti come segue:
* I dati personali non potranno essere tracciati o usati prima che l’utente abbia dato il consenso esplicito;
* Devono essere specificati tutti i tracciamenti dei dati personali su tutte le pagine/URLs del sito coinvolte;
* Gli utenti del sito devono essere informati in un linguaggio semplice su:
** Chi riceve i loro dati e come sono usati;
** La data di scadenza dei cookie;
* Ogni autorizzazione deve essere salvata/registrata per provare alle autorità che è stata concessa (''Formato della prova'');
* La revoca del consenso deve essere facile da fare, anche in un secondo momento. <ref>{{Cita web|url=https://onetrust.com/EU-Cookie-Compliance.pdf|titolo=Implicazioni del GDPR sulla gestione dei cookie (in inglese)}}</ref><ref>{{Cita web|url=https://ittrust.eu/what-is-gdpr/|titolo=Implicazioni del GDPR sulla gestione dei cookie (in inglese)}}</ref>
Inoltre la cookie policy dovrà contenere la lista di tutti i cookie presenti su tutte le pagine del sito e per ognuno di essi: chi riceve i dati, per cosa sono utilizzati e la data di scadenza.
Nel gennaio 2017 la [[Commissione europea|Commissione Europea]] ha proposto un’alternativa <ref>{{Cita web|url=https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications|titolo=Proposta ePrivacy}}</ref> volta a semplificare l’esperienza online, auspicando che siano gli stessi browser a poter gestire le preferenze degli utenti per il consenso/rifiuto dei cookie – eliminando quindi la necessità di gestire le singole accettazione dei cookie nei singoli siti. Questa proposta non ha avuto seguiti finora a quasi un anno di distanza ed è stata molto criticata e giudicata non fattibile. <ref>{{Cita web|url=https://www.iabeurope.eu/wp-content/uploads/2017/06/20170328-IABEU-ePR_Position_Paper.pdf|titolo=Posizione IAB Europe}}</ref><ref>{{Cita web|url=https://www.adversitement.com/proposed-eu-eprivacy-regulation-browser-based-privacy-settings-good-idea|titolo=Critica proposta ePrivacy (in inglese)}}</ref>
Tecnicamente i browser non riescono a leggere lo scopo di un cookie (come viene utilizzato) e non possono fornire una sua descrizione in un “linguaggio semplice” così come è richiesto nel GDPR. Inoltre i browser non possono registrare tutti i cookie presenti in un intero sito, ma solo uno per volta per pagina singola. I browser non possono gestire consensi differenti in base ai diversi siti (per cui sarebbe un’accettazione di tutti i cookie o di nessuno) e non possono inoltre fornire il ''Formato della prova'' (il salvataggio dei consensi) così come richiesto dal GDPR. Alla luce di nessun nuovo sviluppo di questa proposta da parte della [[Commissione europea|Commissione Europea]], i gestori dei siti web dovranno attenersi a quanto richiesto dal GDPR.
=== Cosa cambia rispetto alla legislazione attuale ===
Nel caso di un sito con la presenza di soli '''cookie tecnici/funzionali''' (shopping cart, selezione lingua, preferenze) e/o di '''cookie di statistica di prima parte''' (es. Piwik e simili): rimane tutto come è ora e quindi non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi (''formato della prova)''.
In questo caso rientrano anche i '''cookie di statistica di terza parte''' come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l’indirizzo IP con tecniche di “reverse engineering”. Utilizzando Google Analytics bisogna quindi disattivare la condivisione dei dati con gli altri prodotti/servizi Google<ref>{{Cita web|url=https://www.iubenda.com/it/help/posts/943|titolo=Come disattivare la condivisione dei dati su Google Analyitcs}}</ref>, altrimenti si rientra nel caso successivo.
Nel caso di presenza di altri tipi di cookie, e quindi quelli '''pubblicitari''' (Google Adsense, DoubleClick, retargeting, ecc) e '''tutti gli altri di terze parti''' (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede:
* il consenso esplicito (opt-in) e quindi non più esplicito come ad esempio "scrollare" la pagina;
* il blocco preventivo dei cookie prima del consenso;
* la registrazione dei log del consenso da fornire come “prova”;
* la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza;
* la possibilità di poter revocare il consenso in modo semplice anche in un secondo momento.
== Tecnologie analoghe ==
| |||