Una corretta gestione dei cookie è una parte fondamentale della compliance online. Questo vale anche per i siti di e-commerce che, come la maggior parte dei siti internet, possono utilizzare cookie e altri strumenti di tracciamento per migliorare la funzionalità del sito.
In questo articolo, realizzato dai nostri partner di Iubenda, spieghiamo quali sono i requisiti relativi ai cookie che un negozio online in Italia deve rispettare e cosa fare per adeguarsi in pratica.
Il tuo e-commerce utilizza i cookie?
Una delle domande più frequenti quando si parla di adeguamento ai requisiti sui cookie è: “Come faccio a sapere se il mio sito utilizza i cookie?”
Innanzitutto, dobbiamo capire cosa sono i cookie. I cookie sono piccoli file di testo che vengono salvati sul dispositivo o sul browser dell’utente quando visita un sito web. Possono avere vari scopi, tra cui memorizzare le preferenze dell’utente, tracciare la sua navigazione o raccogliere dati per fini statistici.
Esistono principalmente due tipi di cookie:
- Cookie tecnici: si tratta di cookie essenziali per il funzionamento di base di un sito web. Ad esempio, potrebbero essere utilizzati per mantenere un utente connesso o per memorizzare gli articoli salvati nel carrello. In quanto cookie tecnici, non raccolgono informazioni sull’identità dell’utente e quindi non hanno bisogno del consenso per essere installati. In alcuni casi, i cookie statistici di prima parte (quindi installati direttamente dal proprietario del sito web) possono rientrare in questa categoria.
- Cookie di profilazione: al contrario, i cookie di profilazione raccolgono informazioni sull’utente e permettono di tracciarne la navigazione. Solitamente si utilizzano per finalità pubblicitarie, come per offrire annunci più pertinenti e mirati. Se pensi di non utilizzare cookie di profilazione, ricorda che potresti utilizzare widget di terza parte che invece lo fanno. Ad esempio, i pulsanti di condivisione social possono installare cookie di profilazione sul dispositivo dell’utente.
Quindi, possiamo affermare che la maggior parte dei siti web – inclusi gli e-commerce – utilizza entrambi i tipi di cookie per garantire una buona user experience.
E-commerce e cookie: quali leggi si applicano
Se il tuo e-commerce opera in Italia, sono tre le leggi di riferimento per quanto riguarda i cookie:
- Direttiva ePrivacy (Cookie Law): la Direttiva ePrivacy fornisce linee guida in materia di protezione dei dati con mezzi elettronici, compreso l’email marketing e l’utilizzo dei cookie. Il gestore del sito ha l’obbligo di raccogliere il consenso informato dell’utente prima di memorizzare le sue informazioni o accedere al suo dispositivo.
- Regolamento Generale sulla Protezione dei Dati (GDPR): sebbene il GDPR non disciplini in modo diretto l’uso di cookie, tuttavia stabilisce requisiti per il trattamento di dati personali e i cookie che possono trattare dati personali.
- Linee guida del Garante Privacy: infine si applicano le Linee guida del Garante Privacy in materia di cookie, pubblicate nel 2022. Queste linee guida prevedono requisiti aggiuntivi rispetto a quelli della Direttiva ePrivacy, come la necessità di tenere un registro dei consensi per le preferenze cookie. Ne parliamo in dettaglio nel paragrafo successivo.
Fai attenzione però! Non è detto che questa lista sia esaustiva: potrebbero esserci altre linee guida da rispettare se il tuo e-commerce vende anche al di fuori dell’Italia. Questa tabella riassuntiva può aiutarti a fare maggiore chiarezza.
Quali sono le conseguenze del mancato adeguamento?
Come già spiegato nel nostro precedente articolo, le conseguenze del mancato adeguamento possono essere piuttosto serie.
Ad esempio, potresti rischiare richiami ufficiali, verifiche periodiche sulla protezione dei dati o sanzioni monetarie per aver violato la Direttiva ePrivacy o il GDPR. Le multe del GDPR sono diventate famosissime per il loro importo: infatti, il GDPR prevede sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione (il maggiore tra i due).
Infine, dobbiamo parlare del danno alla reputazione del tuo e-commerce. Un richiamo ufficiale o una multa possono incidere notevolmente sulla reputazione del tuo negozio online e, di conseguenza, sulle tue vendite.
Adeguarsi ai requisiti cookie in 4 passi
Come puoi capire, adeguarti ai requisiti sui cookie è nei tuoi migliori interessi. Vediamo come farlo in quattro passi.
1. Crea una cookie policy
La cookie policy è un documento legale che informa i tuoi utenti che il tuo sito utilizza i cookie. In particolare, spiega quali tipi di cookie utilizzi, per quali finalità e quali terze parti sono coinvolte.
Hai bisogno di una cookie policy anche se il tuo sito fa uso di semplici cookie tecnici, che non richiedono il consenso degli utenti. La cookie policy può essere una sezione specifica della tua informativa privacy e deve essere aggiunta con un link al tuo cookie banner.
2. Aggiungi un cookie banner
Poi devi creare un cookie banner. Si tratta di un avviso che viene mostrato sul tuo sito alla prima visita dell’utente. Serve a informare gli utenti della presenza di cookie, dei loro diritti a riguardo e chiederne il consenso all’installazione.
Il cookie banner è obbligatorio quando utilizzi cookie non esenti dal requisito del consenso e deve rispettare delle caratteristiche precise:
- contenere una breve spiegazione delle finalità di installazione dei cookie utilizzati dal sito;
- essere ben evidente e bloccare la navigazione prima che l’utente esprima le proprie scelte riguardo ai cookie;
- contenere un link a una cookie policy;
- esporre chiaramente quali azioni indicheranno il consenso.
Inoltre, se il tuo sito è accessibile dall’Italia, devi anche aggiungere:
- un pulsante “Rifiuta” (o un comando “X” con funzione di rifiuto);
- una sezione per permettere agli utenti di effettuare delle scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare. Di solito questo avviene con un pulsante come “Scopri di più e personalizza”.
3. Blocca preventivamente i cookie non esenti
Un altro requisito della Cookie Law è il cosiddetto blocco preventivo dei cookie. Se il tuo sito utilizza cookie di profilazione, non puoi installarli sul dispositivo dell’utente prima che questo abbia dato il suo consenso.
Quindi devi bloccare i codici che installano i cookie prima di aver raccolto il consenso dell’utente attraverso il cookie banner e, nel caso in cui il consenso venga rifiutato, mantenerli bloccati durante tutta la navigazione dell’utente sul sito.
4. Memorizza la prova di consenso
Infine – nel caso in cui tu abbia ottenuto il consenso all’installazione dei cookie – devi memorizzare una prova delle preferenze dell’utente.
I cookie possono trattare dati personali e quindi può applicarsi il requisito della prova del consenso del GDPR. Secondo il GDPR, il consenso deve essere sempre “libero, specifico, informato e inequivocabile”. Per questo motivo devi essere in grado di dimostrare di aver ottenuto il consenso ai cookie in modo conforme alla normativa.
Una prova di consenso completa dovrebbe includere:
- chi ha fornito il consenso;
- quando e come è stato acquisito il consenso del singolo utente;
- quali preferenze sono state espresse;
- quali documenti legali e condizioni erano applicabili nel momento in cui il consenso è stato acquisito.
Adeguarsi ai requisiti sui cookie può sembrare complicato, ma non con gli strumenti giusti. Privacy Controls and Cookie Solution di iubenda ti aiuta a rispettare gli obblighi della Cookie Law, del GDPR e delle Linee guida del Garante da un’unica dashboard. La configurazione automatica ti permette di applicare gli standard più severi, senza però rinunciare ai ricavi pubblicitari. iubenda è la soluzione per la compliance online scelta da oltre 90.000 clienti in tutto il mondo.