Le risposte alle domande dei partecipanti

• È obbligatorio avere un cookie banner se il sito usa solo cookie tecnici?

  No, se usi SOLO cookie tecnici ti basterà la cookie policy. Il cookie banner è richiesto se fai uso di cookie di profilazione (in genere questo avviene quando si integrano servizi di terza parte).

• È vero che Google Analytics è illegale?

  Con l’invalidazione del Privacy Shield - l’accordo UE-USA per gli scambi di dati personali - si pone il problema dell’illegittimità di Google Analytics (soprattutto di GA 3, oggetto di analisi): quest’ultimo trasferisce infatti dati personali degli utenti europei negli Stati Uniti, un paese sprovvisto di adeguate misure di sicurezza secondo gli standard dell’UE.
  
  Siamo in attesa di un nuovo accordo fra Europa e USA che dovrebbe essere raggiunto l’anno prossimo. Nel frattempo cosa occorre fare? Si può usare Google Analytics?
  
  Sappiamo con certezza che per il Garante Privacy (e le autorità francese, austriaca e danese) le misure tecniche di conformità di Google Analytics 3 sono insufficienti.
  
  La nuova versione Google Analytics 4 prevede dei settaggi aggiuntivi che, secondo Google, dovrebbero essere sufficienti a renderlo conforme, ma le Autorità non si sono ancora espresse su questa versione di Analytics.
  
  Che fare allora? Per ora le alternative sono due:
  
  - Abbandonare Analytics in favore di altri strumenti (generalmente a pagamento) che non trasferiscono dati personali al di fuori dell’Unione Europea.
  - Passare a Google Analytics 4 attivando ulteriori opzioni e impostazioni riguardanti la privacy, consapevoli però del fatto che potrebbe non essere sufficiente.
  
  Al momento, l'abbandono di Google Analytics - e di qualsiasi servizio con sede negli Stati Uniti - è l'unica opzione che può essere considerata sicura (ma potrebbe risultare difficile da realizzare).
  
  Per maggiori informazioni sull’argomento si invita a leggere l’articolo "Google Analytics illegale in Europa? Facciamo chiarezza" sul nostro blog.
  
  

• Siamo un’agenzia, rischiamo di incorrere in controversie o responsabilità di tipo legale se configuriamo policy e cookie banner per i nostri clienti?

  iubenda prevede un programma di certificazione per aiutare agenzie e professionisti web ad assistere i propri clienti nell'adeguamento alle normative dei loro siti, con numerosi vantaggi tra cui template e modelli di manleva per lo scarico delle responsabilità legali. In caso di dubbi, la strada più sicura resta sempre la consulenza di un legale.

• Cosa sono i cookie wall?

  I cookie wall sono un meccanismo che permette all’utente di accedere a un sito web in un solo modo: prestando il consenso a tutti i cookie. Il Garante Privacy non ammette cookie wall, a meno che il sito non offra all’interessato la possibilità di accedere a un contenuto o a un servizio equivalenti senza prestare il proprio consenso.

• Può farmi qualche esempio pratico di aziende o comunque situazioni in cui conviene consigliare la registrazione dei Consent Solution?

  La Consent Solution è stata pensata per raccogliere e mantenere traccia (ai sensi del GDPR) dei consensi prestati dagli utenti attraverso la compilazione di form: è pertanto consigliata se sul sito sono presenti form di iscrizione a newsletter, di raccolta dati, di pagamento ecc.

• Ho visto e-commerce specificare nel testo di informativa che il diritto di recesso era di 7 giorni. È quindi sbagliato? Sono per legge 14 giorni? Mi viene da pensare che sia stata una loro scelta arbitraria.

  Per contratti conclusi online/a distanza da consumatori europei, il periodo per poter esercitare il diritto di recesso è di norma di 14 giorni. Tieni presente che ci sono categorie di prodotti esenti (ad esempio merce personalizzata e creata ad hoc): è possibile che il diritto di recesso non si applicasse ai prodotti venduti da quel e-commerce, e che fosse una sorta di servizio extra (e non “dovuto”) fornito dal titolare.

• Se si ha un semplice blog come si fa a sapere se si stanno usando cookies?

  Se usi Google Chrome per navigare, cliccando sull’icona del lucchetto a sinistra della barra dell’indirizzo noterai la voce “cookie“, seguita dal numero di quelli in uso. In alternativa puoi sempre rivolgerti al site scanner di iubenda (basta un account gratuito).

• In un sito che ha un forum che consente all'utente di decidere di ricevere le notifiche via email se ci sono nuovi post in un argomento che gli interessa, è obbligatorio il cookie banner o in questo caso è chiaro l'utilizzo dell'email?

  Attenzione a non confondere il consenso per i cookie di profilazione (quello che ottieni tramite un cookie banner) con il consenso per la ricezione di newsletter e altre mail con finalità di marketing.
  
  Nella tua domanda fai riferimento alle mail, quindi l’aspetto di cui sincerarsi è in primis la base giuridica applicabile a questo caso. Se si tratta del consenso, avrai bisogno di un registro che ti permetta di dimostrare di aver raccolto il consenso in linea con quanto richiesto dal GDPR. Per farlo può venirti in aiuto la Consent Solution di iubenda, una soluzione pensata per form e newsletter.
  
  Tieni presente che il consenso non è l’unica base giuridica applicabile per il trattamento di dati personali: essendo però un aspetto molto delicato, ti invitiamo a rivolgerti a un legale per scoprire SE - per questa specifica finalità - non ti serve il consenso dell’utente.
  

• Come identificare un utente nel registro preferenze cookie? Tramite IP?

  Per ogni consenso prestato il Registro Preferenze Cookie di iubenda salva questi dati:
  
  - una stringa di 6 caratteri esadecimali casuali insieme al timestamp per identificare in modo univoco uno specifico consenso e il momento in cui tale unico consenso è stato dato (memorizzati in un cookie tecnico)
  - indirizzo IP dell’utente
  
  In questo modo il consenso raccolto attraverso la stringa di 6 caratteri esadecimali insieme all’indirizzo IP viene collegato in maniera univoca ad un unico utente.
  
  Se necessario, il Garante potrà esaminare il browser dell’utente e compararlo con il record unico presente nel database dei consensi, verificandone la prova ed utilizzare l’indirizzo IP per fare controlli incrociati e verificare l'informazione.
  

• Possiamo avere qualche indicazione sul team di legali internazionale che sarebbe alle spalle dei servizi di iubenda?

  Si tratta di un team legale internazionale con diversi background che si occupa di monitorare costantemente le principali normative e aggiornare i software offerti da iubenda in modo che documenti e prodotti siano sempre aggiornati. Dai un’occhiata alla pagina LinkedIn dell’azienda per saperne di più.

• I cookie di Google Analytics sono tecnici o di profilazione?

  Profilazione: come tali vanno quindi prese le adeguate misure per bloccarli preventivamente (ma ora c’è il problema del trasferimento dei dati fuori dall’UE, leggi "Google Analytics illegale in Europa? Facciamo chiarezza").

• Com'è possibile registrare le preferenze espresse per i cookie (tool di iubenda a parte)? Come posso tracciare questi dati? Con un apposito plugin di WordPress, per esempio?

  Il Garante non specifica quali debbano essere le modalità tecniche per raccogliere e documentare le preferenze di consenso ai cookie.
  
  I cookie sono sostanzialmente piccole stringhe di testo che vengono salvate direttamente sui browser degli utenti. Senza un registro non è quindi possibile per il Titolare del sito provare che l'utente abbia effettivamente accettato i cookie in un determinato momento nel passato.
  
  Per farti un esempio: il Titolare, in caso di controllo da parte dell'Autorità, dovrebbe a quel punto teoricamente chiedere all'utente di inviargli i cookie salvati sul proprio browser relativamente ai cookie e questo ci sembra molto difficile per via di diverse criticità:
  
  1. Il Titolare non può contattare i suoi utenti se non ha il loro contatto e un espresso consenso a fare ciò;
  2. L'utente potrebbe nel frattempo aver cancellato i dati di navigazione dal browser e quindi anche i cookie relativi al sito del Titolare;
  3. L'utente potrebbe semplicemente non rispondere al Titolare lasciando questo nell'impossibilità di provare il consenso.
  
  

• Per accettare le condizioni generali di vendita è sufficiente una spunta sotto al testo al momento del checkout o è necessario implementare il sistema point-and-clic (spunta attivabile solo dopo aver scorso l'intero testo delle CGV e seconda spunta per le clausole vessatorie)?

  La normativa non scende così tanto nel dettaglio dell’implementazione tecnica, l’importante è che ti assicuri che l’utente abbia letto e accettato i termini e condizioni PRIMA di aver effettuato l’acquisto. Una checkbox obbligatoria, una nota del tipo “Proseguendo dichiari di aver letto e accettato i Termini e Condizioni”, o obbligare l’utente a scorrere l’intero testo sono tutte alternative corrette.

• Abbiamo un sito web bilingue (tedesco e italiano). Va bene se il cookie banner é scritto in inglese?

  No, documenti legali e cookie banner dovranno essere nelle stesse lingue del sito, quindi nel tuo caso tedesco e italiano.
  
  Tieni poi presente che in alcuni casi - tra questi la Germania - i documenti devono essere disponibili anche nella lingua del paese in cui ha sede l'azienda, nonostante il sito web/app non sia tradotto in quella lingua.
  

• Ci sono dei libri che descrivono gli argomenti trattati nel webinar?

  Non è da escludere, ma trattandosi di un argomento in continua evoluzione, il nostro consiglio è di informarsi online (e/o rivolgersi a un legale per una consulenza). iubenda ha un’ampia documentazione all’indirizzo iubenda.com/it/help sia lato requisiti di legge che uso delle proprie soluzioni.

• In caso di un portale di servizi va comunque indicato il termine di recesso? Il sito si occupa di inserire annunci e la vendita viene conclusa fuori dal sito

  Il diritto di recesso può non essere garantito ai consumatori soltanto in casi specifici, regolati dall'Articolo 59 del decreto legislativo sui diritti dei consumatori. Ti invitiamo a verificare con l'aiuto di un legale.

• Nel cookie banner è obbligatoria la voce 'rifiuta' quindi oltre a quella 'accetta'?

  Sì, nelle nuove linee guida per l’uso dei cookie, il Garante Privacy ha previsto che ogni banner mostrato da un sito web al primo accesso di un utente includa un comando per continuare la navigazione senza accettare i cookie (e chiudere il banner). Può trattarsi del pulsante “Rifiuta” o di un comando “X” con funzione di rifiuto.

• Come possiamo fare per far analizzare il nostro sito e verificare cosa serve per essere in regola?

  Visita iubenda.com e crea un account gratuito, già con il piano free avrai modo di scansionare il tuo sito (dev’essere online) e ricevere indicazioni su cosa ti serve. Per info sul site scanner di iubenda: iubenda.com/it/help/19014-site-scanner

• Come faccio a dormire sonni tranquilli? Come mettere la mano sul fuoco su eventuali azioni di componenti del sito a me magari oscuri?

  iubenda scansiona regolarmente il tuo sito alla ricerca di potenziali difformità con le normative vigenti, e (previo consenso alla ricezione delle mail) ti avvisa qualora rileva qualcosa che non va, ad esempio un servizio di terza parte che tratta dati personali che hai appena aggiunto al tuo sito, e ti sei scordato/a di aggiungere alla privacy policy.

• Quando si dice che nel registro bisogna dimostrare "chi" e quando ha dato il consenso, il 'chi' è riferito a indirizzo IP oppure nome e cognome?

  Sì, il consenso viene salvato tramite IP. L'IP è paragonabile a un identificativo e il salvataggio tramite IP è consentito dalla legge.

• Con una configurazione GA4 server side in iubenda cosa bisogna fare?

  Dai un’occhiata alla guida a Google Tag Manager o contatta il supporto di iubenda (usa la linguetta verde “Aiuto” che trovi sulla destra, in tutte le pagine del sito).

• Registro consenso: dove vengono archiviati i consensi?

  I consensi vengono archiviati sui server di iubenda, e sono sempre accessibili tramite la dashboard dell’utente.

• Il nostro sito gira con WordPress in cui usiamo un plugin iubenda. Pur usando solo cookie tecnici, abbiamo da poco modificato il piano di abbonamento: è necessario aggiornare la documentazione sui cookie presente nel nostro sito?

  Devi assicurarti che i servizi che hai indicato nella tua privacy e cookie policy siano effettivamente quelli in uso sul tuo sito. Per farlo ti può venire in aiuto il site scanner.

• Come vengono effettuati i controlli (come e quando?) Vengono fatti prevalentemente su aziende in crescita o comunque già di grandi dimensioni? Vengono fatti su segnalazione di qualcuno o sono aleatori?

  Non c’è una categoria specifica di aziende su cui vertono i controlli: questi possono essere aleatori o su segnalazione. In genere vengono effettuati in sede, dietro preavviso di qualche giorno. Qui e qui trovi informazioni sui provvedimenti del 2021.

• Sui server gli IP nei log vengono memorizzati. Questi come sono classificati? Va solo messo nell'informativa?

  Gli indirizzi IP sono considerati dati personali dal GDPR. Di conseguenza, alla stregua di qualunque altro dato personale, se li trattiamo, dobbiamo indicarlo nella privacy policy.

• Noi abbiamo tre siti distinti con tre domini distinti, ma fanno tutti parte della stessa srl. Possiamo usare gli stessi documenti o sono specifici per dominio?

  Quando più siti sono gestiti dallo stesso proprietario, riguardano la stessa attività e sono identici sotto il profilo del trattamento dati (quindi usano gli stessi servizi) o possono comunque essere descritti da un’unica privacy/cookie policy, è possibile avvalersi anche di una sola policy comune a tutti.
  
  Tieni però presente che solitamente il modo corretto per affrontare la situazione è quello di creare una privacy policy per ogni sito perché di norma siti diversi integrano servizi diversi, e quindi non possono essere descritti da un’unica policy.
  
  Per maggiori informazioni dai un’occhiata a questo articolo.
  

• Oltre alla Cookie Policy e al cookie banner, è indispensabile o preferibile avere anche il Registro Preferenze Cookie? Se sì, come dev’essere tenuto?

  Le nuove linee guida del Garante Privacy richiedono esplicitamente di documentare le preferenze all’uso dei cookie. Questo perché i cookie possono trattare dati personali, e valgono i requisiti sul registro dei consensi derivanti dal GDPR.
  
  Il Garante specifica infatti che per poter considerare l’azione di un utente come un consenso valido all’installazione dei cookie, a questa azione deve corrispondere un “evento informatico inequivoco, documentabile” e “riconoscibile e registrabile da parte del titolare“.
  
  A differenza di un cookie tecnico, il Registro Preferenze Cookie di iubenda permette di conservare e documentare la prova del consenso e di collegarlo ad un unico utente per future verifiche.
  
  Il registro è ospitato sui server di iubenda e sempre accessibile tramite la tua dashboard (ovviamente i dati in esso contenuti non sono da te manipolabili).
  

• Se ho un sito vetrina con unicamente un form di richiesta informazioni (senza iscrizioni) cosa mi serve avere?

  Sicuramente ti serve una privacy policy, in quanto tratti dati personali tramite quel form di contatto. Se poi il tuo sito fa uso di cookie, ti servirà anche una cookie policy. E se hai integrato servizi di terza parte che fanno uso di cookie di profilazione (generalmente servizi statistici, di retargeting, pubblicitari o legati a piattaforme social, o che permettono di visualizzare contenuti provenienti da piattaforme esterne - es. video incorporati di YouTube, mappe incorporate di Google Maps, etc) ti servirà anche un cookie banner.

• Desidero sapere se avete in programma altri webinar sul tema privacy in ambito sanitario (modelli per la sanità pubblica)

  Difficile, non scendiamo così nel dettaglio di un caso specifico: lato iubenda in genere teniamo appuntamenti “di più ampio respiro”. Qui i prossimi webinar di iubenda in programma.

• Gestite la valutazione di impatto sui dati personali (DPIA) obbligatoria secondo l’art. 24 del GDPR? Quando si possiede un e-commerce si utilizzano nuove tecnologie e, almeno per finalità di marketing, si effettua una profilazione degli utenti tramite sistemi automatizzati che obbligano il titolare a procedere in tal senso.

  Qui trovi informazioni utili sulla DPIA, incluso un template che puoi scaricare e utilizzare.

• Il fatto è che l'accettazione dei cookie non è legata a un nominativo preciso esplicitato, ma al limite da un IP, che se non registro in alcun modo, non posso appunto poi dimostrare che tipo di preferenze ha espresso, qualora mi venisse chiesto dall'Autorità...

  Il Registro Preferenze Cookie di iubenda risolve proprio questo problema, vedi la risposta alla domanda “Come identificare un utente nel registro preferenze cookie? Tramite IP?”

• È possibile gestire anche i cookie banner?

  Certo, la Cookie Solution di iubenda permette di generare un cookie banner completamente personalizzabile, ottenere il consenso ai cookie di profilazione, configurare il blocco preventivo, impostare le preferenze pubblicitarie, raccogliere il consenso per la personalizzazione dei Google Ads e altro ancora.

• Posso indicare Analytics nella Privacy Policy e volendo controllare il mio sito web (non gestito da me)?

  Premessa: che il tuo sito sia gestito direttamente da te o meno (immaginiamo ti appoggerai a un’agenzia o un professionista web) è indifferente: in quanto proprietario, sei il titolare del trattamento, quindi colui/colei che decide "perché" e "come" devono essere trattati i dati personali degli utenti del sito.
  
  Chiaramente è tua facoltà aggiungere un servizio di statistiche al tuo sito, tieni presente che se quest’ultimo tratta dati personali (ad esempio gli indirizzi IP) lo dovrai aggiungere alla tua privacy policy. Se fa uso di cookie, anche alla tua cookie policy. Se poi fa uso di cookie di profilazione, ti servirà un cookie banner per bloccarlo preventivamente e rilasciarlo soltanto quando gli utenti hanno prestato il consenso.
  
  Se vuoi utilizzare Google Analytics, tieni presente quanto risposto alla domanda “È vero che Google Analytics è illegale?”.
  

• Come faccio a sapere se il servizio Analytics è attivo?

  Dovresti avere uno script di Google Analytics in tutte le pagine del tuo sito, puoi facilmente verificarlo sbirciando il codice sorgente (in caso fatti aiutare da un professionista web).

• Il sistema di Linktr.ee è a norma con le normative GDPR, cookies, ecc.?

  Andrebbe fatta un’analisi del sito, senza non possiamo sbilanciarci.

• Nel caso di un semplice sito che non prevede né l'accesso come utente registrato né la raccolta di dati dei visitatori per finalità di marketing né newsletter, ma sul quale sono presenti widget come Google Maps, Social Share, Pulsante WhatsApp, etc. è necessario dotarsi di una Consent Solution per documentare i consensi prestati per i relativi cookie?

  Stando ai servizi che citi, ti servirà sicuramente la Cookie Solution per disporre di un cookie banner e gestire il consenso ai cookie di profilazione in uso dal tuo sito. Attenzione a non confondere la Cookie Solution con la Consent Solution: quest’ultima ti aiuta ad adeguare form e newsletter.

• Uno dei nostri siti è una piattaforma in SaaS, dove i nostri clienti caricano LORO dati per LORO uso. Che impatto ha sulla nostra GDPR?

  In generale, ti ricordo che solitamente i proprietari di siti web sono considerati "titolari" e che quindi se trattano dati di individui identificati o identificabili, sono soggetti agli obblighi del GDPR. Servirebbero maggiori informazioni (ad esempio qual è il tuo ruolo) per dare una risposta più precisa.

• La raccolta di un biglietto da visita consegnatomi a mano da un potenziale cliente, come lo registro?

  Sicuramente non puoi inserire nella tua mailing list i dati contenuti nel biglietto da visita: il GDPR vieta l’iscrizione automatica degli utenti a una lista, anche nel caso in cui possano disiscriversi liberamente.
  
  Estendendo il concetto ai form (siano essi online o offline), devi poter dimostrare di aver ottenuto un consenso esplicito e verificabile tramite una chiara opzione di opt-in. Ecco perché, ad esempio, il regolamento non ammette neppure meccanismi di iscrizione alle newsletter tramite checkbox pre-selezionate.
  
  Discorso diverso invece se l’attività di trattamento che intendi intraprendere con i dati raccolti rientra in una base giuridica diversa dal consenso: se ad esempio userai i dati di quel biglietto da visita per fornire un preventivo, rientrerai nella base del contratto, e potrai quindi contattare l’utente (solo ed esclusivamente) per quel fine.