La Direttiva ePrivacy, nota anche come legge sui cookie dell'Unione Europea (UE), è una normativa sulla privacy che impone ai siti di ottenere il consenso dei visitatori prima di recuperare o memorizzare le loro informazioni personali.
Il suo scopo è quello di proteggere i diritti alla privacy dando ai consumatori il diritto di dire "no" se un'azienda vuole raccogliere, conservare e utilizzare le loro informazioni.
Continuate a leggere per saperne di più sulla legge sui cookie e su come garantire la corretta conformità ai requisiti dei cookie. In primo luogo, esamineremo la legge sui cookie dell'Unione Europea e chi deve rispettarla, quindi tratteremo le leggi sui cookie simili negli Stati Uniti e nel Regno Unito.
Che cos'è la legge UE sui cookie?
La legge europea sui cookie o legge sui cookie dell'UE è un soprannome della direttiva ePrivacy dell'UE: un atto legislativo che impone ai siti web di ottenere il consenso degli utenti prima di memorizzare, utilizzare o recuperare le loro informazioni personali.
La Direttiva ePrivacy è stata la prima legge che ha imposto ai siti di ottenere il consenso preventivo degli utenti dell'UE prima di attivare tracker e cookie per il trattamento dei loro dati. Insieme al Regolamento generale sulla protezione dei dati (GDPR), la direttiva ePrivacy costituisce uno dei regimi di privacy più severi al mondo.
Quali sono i requisiti della legge UE sui cookie?
La legge sui cookie dell'UE richiede di:
- Astenersi dall'inserire tracker e cookie nei browser degli utenti fino a quando questi non vi abbiano dato il loro consenso
- Chiedete agli utenti il consenso per tutti i tracker e i cookie presenti sul vostro sito
- Fornite agli utenti informazioni dettagliate su tutti i tracker e i cookie presenti sul vostro sito
- Dare agli utenti la possibilità di ritirare o rinunciare al consenso con la stessa facilità con cui si può scegliere di aderire.
La legge sui cookie impone di farlo solo per i cookie non essenziali, come quelli pubblicitari e quelli dei social media. Non è necessario seguire queste regole per i cookie essenziali, che sono i tipi di cookie dei siti web:
- Necessario per fornire un servizio online, come il vostro sito web o il servizio sul vostro sito web
- Utilizzato esclusivamente per facilitare o effettuare la trasmissione di comunicazioni in rete.
Occorre inoltre tenere presente che la legge sui cookie non riguarda solo i cookie. Nonostante il suo nome, la Direttiva ePrivacy si applica a ogni tipo di tecnologia che si può utilizzare per memorizzare ed elaborare le informazioni degli utenti. Per questo motivo non cita esplicitamente alcuna tecnologia, ma vuole includere tutte le tecnologie, comprese quelle che non sono ancora state create.
Si parla di legge sui cookie dell'UE solo perché i cookie sono attualmente la tecnologia più comune per la memorizzazione delle informazioni degli utenti sui dispositivi personali.
Chi deve rispettare la legge sui cookie?
La normativa UE sui cookie si applica a tutti i siti web con visitatori provenienti dall'UE, indipendentemente dalla sede della vostra azienda. Ciò significa che dovete conformarvi alla legge sui cookie dell'UE se:
- Il vostro sito web utilizza i cookie
- Trattate e memorizzate i dati di cittadini dell'UE
Inoltre, per essere più sicuri, dovreste seguire le regole sui cookie dell'UE anche se non avete visitatori dell'UE, poiché in futuro potreste ricevere traffico dall'UE.
Come rispettare la legge sui cookie
Ci sono tre modi per conformarsi alla legge sui cookie dell'UE:
Utilizzare una soluzione gestita
Questo è il metodo più semplice, perché esistono molti strumenti e applicazioni che possono essere utilizzati per conformarsi automaticamente alla legge sui cookie dell'UE.
Ad esempio, il nostro consenso ai cookie Manager vi aiuterà:
- Assicurarsi che gli utenti abbiano sul proprio browser solo i cookie a cui hanno acconsentito.
- Rilevare, classificare e bloccare l'esecuzione di script in base alle impostazioni uniche dei cookie degli utenti.
- Creare una politica dei cookie su misura per la vostra azienda
- Raccogliere il consenso dell'utente attraverso banner cookie completamente personalizzati nella lingua che dipende dalla posizione di ciascun utente
Oltre ad aiutarvi a rispettare la normativa UE sui cookie, il nostro strumento può anche aiutarvi a rispettare altre leggi sulla privacy dei dati come il GDPR e il CCPA.
Opzione manuale
Se non volete utilizzare una soluzione gestita, potete scegliere di eseguire manualmente tutte le funzioni del nostro cookie manager. Tuttavia, questo metodo richiede molto più tempo e va provato solo se si conoscono bene le leggi sulla privacy e se si dispone delle capacità tecniche necessarie. Per alleggerire almeno in parte il vostro carico di lavoro, potete utilizzare il nostro cookie scanner siti web.
Non utilizzate affatto i cookie
Infine, è possibile scegliere di non utilizzare affatto i cookie. Tuttavia, se il vostro sito non utilizza solo HTML statico, può essere difficile non utilizzare i cookie. Potreste dover sacrificare alcune funzioni, come i commenti o i video incorporati.
Sanzioni per la mancata osservanza della legge sui cookie
La legge europea sui cookie lascia che le sanzioni siano decise dai governi locali. Pertanto, le sanzioni per la mancata osservanza della legge sui cookie variano a seconda del luogo in cui ci si trova.
In genere, la maggior parte delle autorità di regolamentazione locali intraprende le seguenti azioni in caso di mancata osservanza della legge sui cookie:
Richiesta di informazioni
L'ente regolatore locale vi chiederà di fornire ulteriori informazioni, tra cui:
- Link alla sezione informativa sui cookie nei vostri Termini e condizioni e nella vostra politica sui cookie
- Tipi di cookie utilizzati dal sito
- Qualsiasi altra cosa che possa aiutarli a determinare se siete in regola con le norme.
Richiesta di modifiche
Se l'ente regolatore stabilisce che il vostro sito web non è conforme, probabilmente vi chiederà di renderlo conforme. Per farlo, utilizzate uno dei metodi descritti sopra.
Applicazione
Se non riuscite a conformarvi alla legge sui cookie dell'UE dopo la richiesta di modifiche, l'autorità di regolamentazione locale elencherà le azioni specifiche che dovrete completare entro un certo periodo di tempo. Se non vi conformate, potreste incorrere in accuse penali e multe.
Le multe variano a seconda della giurisdizione e della gravità delle violazioni, ma possono arrivare a centinaia di milioni. Ad esempio, la Francia ha recentemente inflitto a Google una multa di 169 milioni di dollari e a Facebook di 67 milioni di dollari per aver richiesto agli utenti un numero eccessivo di clic per rinunciare ai cookie.
Esiste una legge sui cookie negli Stati Uniti?
No, non esiste una legge sui cookie negli Stati Uniti. Tuttavia, alcuni Stati hanno leggi che regolano l'uso dei cookie in relazione ai loro residenti, come il California Consumer Privacy Act(CCPA).
Conformarsi gratuitamente alle normative statunitensi sui cookie utilizzando Termly
Passo 1: inserire l'URL del proprio sito web nello scanner qui sotto
Fase 2: Esamineremo il vostro sito e classificheremo la maggior parte dei vostri cookie
Fase 3: Genereremo la tua politica dei cookie e un cookie banner personalizzabile
La CCPA o "Legge sui cookie della California"
Il California Consumer Privacy Act (CCPA) è una delle leggi più severe che regolano i cookie dei siti web negli Stati Uniti. Come la legge sui cookie dell'Unione Europea, regola le modalità di utilizzo dei cookie per accedere e raccogliere le informazioni personali dei consumatori.
L'obiettivo del CCPA è quello di dare ai consumatori californiani i seguenti diritti:
- Conoscere le informazioni che le aziende raccolgono su di loro
- Sapere se le aziende vendono o divulgano le loro informazioni e a chi.
- Per rifiutare o dire "no" alla vendita dei propri dati personali (o per accettare se di età compresa tra i 13 e i 16 anni).
- A parità di prezzo e di servizio, anche se decidono di esercitare i loro diritti alla privacy
- Cancellare e accedere alle informazioni personali
Per questo motivo, è necessario utilizzare e regolare i cookie in un certo modo per conformarsi al CCPA.
In particolare, il CCPA richiede esplicitamente di riconoscere:
- Se i dati ottenuti dai cookie vengono venduti o condivisi con terze parti
- Che i consumatori hanno il diritto di rifiutare i cookie non essenziali.
È inoltre necessario creare un'informativa sui cookie di facile lettura che gli utenti possano utilizzare ogni volta che optano per l'accettazione o la disattivazione dei cookie.
Inoltre, è necessario rispondere alle richieste dei clienti in merito a quanto segue entro 45 giorni su "richiesta verificabile":
- Quali informazioni raccogliete attraverso i cookie e i tracker
- Quali parti del vostro sito utilizzano i cookie
- Se vendete le informazioni raccolte attraverso i cookie e per quale scopo
- Se vi sono destinatari terzi delle informazioni raccolte
Analogamente alla legge sui cookie dell'UE, il CCPA si applica a tutti i cookie, ad eccezione di quelli essenziali.
A chi si applica il CCPA?
Secondo la sezione 9 del CCPA, ogni "azienda" che raccoglie i dati dei consumatori californiani è soggetta alla conformità al CCPA. Il CCPA definisce "azienda" qualsiasi entità a scopo di lucro che raccoglie i dati dei consumatori californiani e che soddisfa almeno una delle seguenti condizioni:
- Il 50% o più delle sue entrate annuali proviene dalla vendita di informazioni personali dei consumatori californiani.
- Il fatturato annuo lordo è di oltre 25 milioni di dollari.
- Ogni anno acquista, vende, riceve o condivide a fini commerciali le informazioni personali di 50.000 o più consumatori, dispositivi o famiglie californiane.
Preparazione alla legge sui diritti alla privacy della California (CPRA)
Il CCPA sarà sostituito dal California Privacy Rights Act (CPRA) il 1° gennaio 2023. Questa nuova legge amplia i tipi di dati protetti e conferisce nuovi diritti ai consumatori, tra cui:
- Il diritto alla rettifica, che consente ai consumatori di correggere le informazioni inesatte che le aziende hanno raccolto da loro.
- I consumatori avranno anche il diritto di restrizione, che dà loro la possibilità di limitare l'uso e la divulgazione di informazioni personali sensibili.
Poiché è più severo del CCPA ed entrerà in vigore molto presto, è necessario iniziare a prepararsi per la conformità al CPRA.
Ad esempio, dovreste iniziare a cambiare la dicitura "vendita di informazioni" con "condivisione e vendita di informazioni" nelle vostre notifiche sui cookie, poiché il CPRA copre la condivisione e la vendita di informazioni.
Possibile legge sui cookie del Wisconsin
Attualmente il Wisconsin non dispone di una legge sui cookie o di una legge sul consenso ai cookie , ma presto potrebbe farlo.
Il 10 febbraio 2020, il Wisconsin ha introdotto un trio di leggi sulla privacy sul modello del GDPR. Queste nuove leggi - Assembly Bills (AB) 870, 871 e 872 - costituiranno il Wisconsin Data Privacy Act.
La legge del Wisconsin sulla privacy dei dati e sui cookie imporrà obblighi significativi alle aziende. Il Procuratore Generale del Wisconsin applicherà questa nuova legge, che potrebbe comportare sanzioni fino al 4% del fatturato annuo totale dell'ente trasgressore o 20.000.000 di dollari, a seconda di quale sia il valore più alto.
Come il CCPA, questa legge si applicherà a tutte le aziende che trattano i dati personali di persone residenti in Wisconsin. Tuttavia, a differenza del CCPA, si applica a una gamma molto più ampia di individui e aziende.
Ad esempio, si applica a tutti i "responsabili del trattamento", definiti come persone che determinano i mezzi e le finalità del trattamento dei dati personali da soli o congiuntamente ad altri.
Questa potenziale legge sui cookie del Wisconsin ha una definizione ampia di "dati personali", che definisce come qualsiasi informazione relativa a un consumatore che consenta di identificarlo indirettamente o direttamente, anche con riferimento a identificatori quali l'ubicazione, gli identificatori online e i dati di localizzazione.
Ciò significa che i cookie e i tracker sono inclusi nella sua definizione.
Inoltre, presenta requisiti severi GDPR, che nessun'altra legge statunitense sui cookie prevede. Ad esempio, secondo la AB 872, ogni responsabile del trattamento deve soddisfare i seguenti criteri prima di utilizzare cookie e tracker per trattare i dati personali dei consumatori:
- Effettuare il trattamento dei dati per una finalità a cui il consumatore acconsente attraverso un'azione esplicita o una dichiarazione.
- Ottenere un consenso libero (cioè non forzato), non ambiguo e informato.
- Consentire al consumatore di ritirare il proprio consenso con la stessa facilità con cui lo fornisce
- Distinguere il consenso al trattamento dei dati personali da altre questioni
- Essere in grado di dimostrare che il consumatore ha dato il suo consenso (ad esempio, attraverso una traccia elettronica come il clickwrap).
- Lasciare che il consumatore utilizzi il vostro servizio senza acconsentire al trattamento dei dati
Esiste una legge sui cookie nel Regno Unito?
Sì, esiste una legge sui cookie nel Regno Unito: il Data Protection Act 2018.
È la versione britannica del GDPR e della direttiva ePrivacy dell'UE e riguarda le modalità di ottenimento, archiviazione e utilizzo dei consensi per i cookie da parte dei visitatori del Regno Unito e dell'UE.
Il Data Protection Act 2018 è composto da quattro sezioni, ognuna delle quali crea un diverso regime di protezione dei dati:
- La prima parte si basa sul GDPR. Il GDPR viene adattato al diritto nazionale del Regno Unito.
- La seconda parte estende il GDPR e lo modifica per adattarlo alla legge del Regno Unito.
- La terza parte crea un nuovo regime di privacy per le forze dell'ordine.
- La quarta parte crea un nuovo regime per i servizi di intelligence del Regno Unito.
La maggior parte delle disposizioni del Data Protection Act sui cookie sono simili a quelle contenute nel GDPR e nella legge sui cookie dell'UE. Come nel caso del GDPR e della legge europea sui cookie, la legge britannica sulla protezione dei dati richiede il consenso esplicito dei consumatori prima di trattare i loro dati personali.
I consumatori hanno anche il diritto di correggere le informazioni inesatte che li riguardano.
Domande frequenti sulla legge sui cookie
La legge sui cookie dell'UE si applica ai siti web statunitensi?
Le normative sui cookie non statunitensi possono essere applicate anche ai siti web statunitensi. Ad esempio, il Regolamento generale sulla protezione dei dati (GDPR) si applica a tutte le aziende che commercializzano a consumatori del SEE. I siti web statunitensi che hanno visitatori non statunitensi possono avere bisogno di valutare il luogo in cui risiedono i loro utenti per capire quali leggi sui cookie devono seguire.
Esiste una legge sui cookie in Canada?
No, il Canada non ha una legge specifica sui cookie. Tuttavia, regolamenta l'uso dei cookie utilizzando leggi anti-spam e sulla privacy come la PIPEDA.
Provate Termly gratuitamente!
Termly è una soluzione facile da usare per la gestione consenso ai cookie e la conformità alla privacy dei dati.
Sappiamo che tenersi al passo con le complesse leggi sulla privacy dei dati può essere fonte di confusione e di perdita di tempo; ecco perché facciamo il lavoro duro per voi!
Provate GRATUITAMENTE le nostre soluzioni per la gestione dei consenso ai cookie e i generatori di norme legali di consenso ai cookie !
Riassunto
La legge europea sui cookie, nota anche come direttiva ePrivacy, è una normativa sulla privacy che impone ai siti di ottenere il consenso dei visitatori prima di inserire i cookie nei loro dispositivi.
Insieme al GDPR, la legge sui cookie dell'UE impone requisiti rigorosi ai siti che trattano le informazioni personali dei cittadini dell'UE. La mancata osservanza della legge sui cookie dell'UE può comportare multe e accuse penali.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
