Fin dagli anni ’90, con la diffusione del [[Brief History of Internet | web]], si è iniziato a parlare in modo sempre più rilevante di privacy degli utenti durante la sua navigazione. Per lungo tempo, tuttavia, il quadro normativo è rimasto disomogeneo: leggi poco uniformi tra i diversi Paesi, scarsa trasparenza, sanzioni non sempre realmente deterrenti e numerose zone grigie: in pochi prendevano sul serio le direttive, e ci sono stati parecchi abusi di [[Cookie e tracciamenti]] da parte di grandi aziende internazionali. Nel 2018, l’Unione Europea introduce il **General Data Protection Regulation (GDPR)**, che rappresenta una svolta significativa. Il regolamento definisce norme rigorose e uniformi in materia di protezione dei dati personali, applicate a tutti i cittadini dell’UE e a tutte le organizzazioni che trattano i loro dati, indipendentemente dalla loro sede. Il GDPR ha generato un effetto domino a livello globale, molti paesi hanno iniziato a riformare o rafforzare le proprie normative sulla privacy, ma il quadro internazionale rimane ancora meno avanzato rispetto allo standard europeo. Anche negli Stati Uniti non esiste ancora una normativa federale unica equivalente, anche se uno degli stati più avanzati per quanto riguarda la privacy è la California, che ha introdotto CCPA & CPRA, riprendendo alcuni elementi del modello europeo, pur restando meno estesi e strutturati. ___ **Implicazioni concrete per i siti web:** La normativa richiede che: - ogni sito web disponga di una **privacy policy** che descriva in modo chiaro quali dati personali vengono raccolti, per quali finalità, per quanto tempo vengono conservati e quali soggetti ne sono responsabili o vi hanno accesso. - sia presente una **cookie policy**, separata oppure integrata nella privacy policy, che spieghi che cosa sono i cookie, specificando quali dati vengono raccolti, per quali finalità vengono impiegati, quali terze parti sono coinvolte e per quanto tempo rimangono attivi. - l’uso dei [[Cookie e tracciamenti| cookie non strettamente necessari]] al funzionamento del sito (es. cookie di marketing) sia subordinato al consenso esplicito dell’utente. - l’utente possa **modificare o revocare il consenso in qualsiasi momento** senza procedure complesse o nascoste. per questo motivo il **cookie banner** di gestione del consenso deve essere presentato al primo accesso e deve rimanere facilmente accessibile per tutta la navigazione del sito. - il sistema di gestione del consenso sia **granulare**, permettendo all’utente di scegliere per categorie di cookie e non solo con un consenso generico È sostanzialmente sempre necessaria una **privacy policy** e una **cookie policy**, poiché anche in assenza di finalità di marketing i siti web moderni raccolgono comunque una serie di dati tecnici, come indirizzi IP, identificatori del dispositivo e log di accesso. Questi elementi vengono considerati a tutti gli effetti come dati sensibili da tutelare, almeno in Europa. *PS: In teoria è possibile realizzare siti completamente privi di elementi soggetti a obblighi di informativa privacy e cookie policy. Tuttavia, questo richiede l’utilizzo di strumenti molto limitati e di nicchia, oltre all’esclusione della maggior parte dei servizi web moderni. Si tratta quindi di un caso estremamente raro, più vicino a un esercizio tecnico.* *Più realistico è invece lo scenario di un sito web senza cookie banner, che utilizza esclusivamente cookie tecnici necessari al funzionamento e li dichiara all’interno della cookie policy. Questo implica tra le varie rinunciare a qualsiasi strumento di tracciamento e analisi del traffico.* ___ Strumenti come **Iubenda** o **Cookiebot** sono in grado di - rilevare automaticamente la maggior parte dei cookie presenti sul sito. - generare i documenti sopra citati in maniera semplice ed economica, senza dover necessariamente ricorrere ad un avvocato. - creare un cookie banner facilmente implementabile nel sito tramite uno script. - bloccare automaticamente ogni cookie non tecnico previo consenso dell'utente (altrimenti andrebbe impostato un processo complesso con il Google Tag Manager oppure codice custom). ![[iubenda-adv_banner.png]]