Privacy e Cookie nel 2022: Le Nuove Regole per i Siti Web

Privacy e Cookie nel 2022: Le Nuove Regole per i Siti Web

Il 2022 è un anno di svolta per la privacy online in Italia e in Europa. Le linee guida del Garante per la Protezione dei Dati Personali, entrate in vigore il 9 gennaio 2022, hanno introdotto regole più stringenti sulla gestione dei cookie e dei meccanismi di consenso. Parallelamente, Google ha annunciato il Consent Mode v2 e il progressivo abbandono dei cookie di terze parti su Chrome. Per chi gestisce un sito web, adeguarsi non è solo un obbligo legale ma una necessità operativa per continuare a raccogliere dati di analytics e far funzionare le campagne pubblicitarie.

Le Linee Guida del Garante Privacy Italiano

Il provvedimento del 10 giugno 2021, con entrata in vigore il 9 gennaio 2022, ha chiarito e inasprito le regole sulla gestione dei cookie per i siti web che operano in Italia. Ecco le principali novità:

Il Banner dei Cookie

Il banner dei cookie deve essere presentato alla prima visita dell’utente e deve rispettare requisiti precisi:

• Primo livello: il banner deve contenere un’informativa breve con l’indicazione dei cookie utilizzati (tecnici, analitici, di profilazione), la possibilità di accettare o rifiutare, e un link all’informativa estesa
• Pulsante “Rifiuta”: deve essere presente e avere la stessa evidenza grafica del pulsante “Accetta”. Non è più sufficiente nascondere il rifiuto dietro alla voce “Personalizza”
• X di chiusura: la chiusura del banner tramite il pulsante X equivale al rifiuto di tutti i cookie non tecnici
• Niente scroll = consenso: lo scorrimento della pagina non può più essere considerato come forma di consenso

Cookie Wall

Il Garante ha preso posizione anche sui cookie wall, quei meccanismi che impediscono la navigazione a chi non accetta i cookie. In linea di principio, il cookie wall è considerato illecito in quanto non garantisce la libertà del consenso. Tuttavia, il Garante ha lasciato aperta una possibilità: il cookie wall è ammissibile solo se il sito offre un’alternativa equivalente per accedere ai contenuti senza accettare i cookie (ad esempio, un abbonamento a pagamento).

Ripresentazione del Banner

Il banner non deve essere ripresentato a ogni visita se l’utente ha già espresso le proprie preferenze. Deve però ripresentarsi dopo un periodo non superiore a 6 mesi dall’ultima espressione del consenso, oppure quando cambiano significativamente le condizioni di trattamento.

Per una panoramica completa sugli obblighi previsti dal GDPR per i siti web, consulta il nostro articolo su GDPR e siti web.

Google Consent Mode v2: Come Funziona

Il Consent Mode di Google è un framework che permette di adattare il comportamento dei tag Google (Analytics, Ads, Tag Manager) in base allo stato del consenso dell’utente. Con la versione 2, Google ha introdotto due nuovi parametri di consenso che si aggiungono ai due originali:

• analytics_storage: controlla i cookie di Google Analytics
• ad_storage: controlla i cookie pubblicitari di Google Ads
• ad_user_data (nuovo): controlla se i dati dell’utente possono essere inviati a Google per finalità pubblicitarie
• ad_personalization (nuovo): controlla se i dati possono essere usati per annunci personalizzati

Quando l’utente rifiuta i cookie, il Consent Mode non blocca completamente Google Analytics ma invia ping senza cookie che permettono a Google di stimare il traffico attraverso la modellazione statistica. Questo consente di avere dati di analytics approssimati anche senza il consenso esplicito, pur nel rispetto della privacy.

Implementazione Pratica

Per implementare il Consent Mode, il tuo sito deve:

1. Utilizzare una Consent Management Platform (CMP) compatibile (Cookiebot, Iubenda, OneTrust, Complianz)
2. Configurare il default state dei consensi prima del caricamento di qualsiasi tag (impostare tutto su “denied” per i visitatori europei)
3. Aggiornare lo stato dei consensi tramite il comando gtag('consent', 'update', ...) quando l’utente interagisce con il banner
4. Verificare con il Google Tag Assistant che il Consent Mode funzioni correttamente

Analytics Privacy-Friendly: Le Alternative

Le nuove regole sulla privacy e le decisioni di alcuni Garanti europei (in particolare il provvedimento austriaco e quello francese su Google Analytics) hanno spinto molte aziende a valutare alternative privacy-friendly per il tracciamento web:

• Matomo (ex Piwik): piattaforma open source installabile sul proprio server, che garantisce il pieno controllo dei dati. Con la configurazione corretta (IP anonimizzato, no cookie), può essere utilizzata senza consenso
• Plausible Analytics: soluzione leggera e conforme al GDPR per design, non utilizza cookie e non raccoglie dati personali. Hosting in UE
• Fathom Analytics: simile a Plausible, con prezzi a partire da 14$/mese e server in Europa
• Simple Analytics: analytics senza cookie con dati aggregati, fondato nei Paesi Bassi

Queste alternative non sostituiscono completamente Google Analytics in termini di funzionalità avanzate, ma per molte PMI offrono dati più che sufficienti senza i grattacapi legali. Per capire come sfruttare al meglio i dati che raccogli, leggi la nostra guida pratica a Google Analytics.

Come Adeguare il Tuo Sito: Checklist Pratica

Ecco una checklist operativa per verificare che il tuo sito sia conforme alle regole del 2022:

1. Banner cookie conforme: pulsanti Accetta e Rifiuta con uguale evidenza, niente consenso implicito per scroll
2. Blocco preventivo: nessun cookie non tecnico deve essere installato prima del consenso esplicito
3. Informativa cookie aggiornata: elenca tutti i cookie, le finalità, la durata e le terze parti coinvolte
4. Registro dei consensi: documenta quando e come l’utente ha espresso il consenso (necessario per dimostrare la compliance)
5. Scadenza del consenso: ripresentare il banner dopo massimo 6 mesi
6. Consent Mode v2: se usi Google Analytics o Google Ads, implementa il Consent Mode
7. Privacy policy aggiornata: verifica che rifletta le pratiche attuali di raccolta e trattamento dati
8. DPO: se necessario, nomina un Responsabile della Protezione dei Dati

Le Sanzioni: Un Rischio Concreto

Il Garante Privacy italiano ha intensificato l’attività di controllo nel 2022, con ispezioni mirate ai siti web italiani. Le sanzioni per violazioni del GDPR possono arrivare fino al 4% del fatturato annuo globale o 20 milioni di euro. Ma anche per le PMI, le sanzioni “minori” possono ammontare a decine di migliaia di euro. Inoltre, dal provvedimento del Garante è emerso che anche il semplice utilizzo di Google Analytics senza adeguate misure tecniche può costituire un trasferimento illecito di dati verso gli USA.

Non sottovalutare la conformità privacy del tuo sito: oltre al rischio economico, una sanzione pubblica danneggia gravemente la reputazione aziendale. La configurazione corretta del banner cookie, del Consent Mode e delle piattaforme di analytics richiede competenze tecniche e legali specifiche. Il team di G Tech Group può aiutarti a mettere in regola il tuo sito web in tempi rapidi. Contattaci a su*****@********up.it oppure via WhatsApp al 0465 84 62 45 per un audit gratuito della conformità privacy del tuo sito.