BLOG

Aggiornamento Cookie Law: come prepararsi e cosa aspettarsi

Giovanni Favero

17 Gen 2022

Il 2022 si apre con una grande sfida per chi si occupa di web marketing: continuare a portare avanti iniziative promozionali online a un pubblico mirato e analizzarne i risultati con meno dati a disposizione.

Sì, perché il 10 Gennaio è entrato in vigore un importante aggiornamento della normativa italiana relativa alla “Cookie Law” (ovvero la legge finalizzata alla tutela della privacy online degli utenti) che come effetto avrà una limitazione delle informazioni che le aziende avranno a disposizione per tracciare i propri utenti online.

In questo articolo, vorrei prima di tutto raccontarti più nello specifico quali sono questi aggiornamenti e spiegarti cosa occorre fare per mettersi in regola.
Inoltre, ti condividerò quelle che potrebbero essere le prime contromisure a questo grande cambiamento.

A chi è rivolta la “Cookie Law”?

Una risposta “semplice” potrebbe essere: a tutte quelle aziende proprietarie di siti web o applicazioni che, tramite l’utilizzo di cookie, raccolgono informazioni sui propri visitatori.

L’obiettivo è regolamentare i casi in cui, oltre ai cookie tecnici (necessari per far funzionare un sito), vengono utilizzati cookie con lo scopo di tracciare o profilare l’utente. Questo avviene ad esempio con strumenti di raccolta dati non aggregati o non anonimizzati (es. Google Analytics, in determinate situazioni), con piattaforme di advertising (es. Google Ads o Facebook Ads), oppure con strumenti di analisi dell’usabilità dei siti (es. Hotjar).

In tutti questi casi, la normativa richiede che l’utente debba dare il consenso tramite l’ormai famoso “banner cookie” prima della loro attivazione.

Principali conferme e novità dell’aggiornamento

Il focus dell’aggiornamento riguarda la modalità di richiesta del consenso dell’utente e la gestione dello stesso. In particolare, alcune delle principali conferme e novità sono:

  • il consenso deve essere esplicito, ovvero tramite un pulsante di accettazione (non può avvenire alla continuazione della navigazione o al semplice scroll di pagina)
  • è obbligatoria la presenza del pulsante per rifiutare il consenso, oltre a quello per accettare
  • è necessario prevedere una “X” di chiusura, in alto a destra, per permettere all’utente di chiudere il banner (in tal caso non è da intendersi come accettazione)
  • deve essere data la possibilità all’utente di compiere una scelta granulare sulle diverse categorie di cookie da accettare o meno, raggruppati per finalità affini
  • l’utente deve poter modificare facilmente e in qualsiasi momento la preferenza data
  • l’azienda deve tenere un registro delle preferenze date dagli utenti
  • non è consentito impedire la navigazione del sito all’utente che non dà il consenso ai cookie (anche detto “cookie wall”)

Per ulteriori approfondimenti, ti condivido il link alla comunicazione ufficiale del Garante della privacy e il link alla guida di Iubenda (di cui parlerò in seguito) con un riassunto esaustivo.

Come adeguarsi?

Non tutte le aziende hanno in casa chi si occupa di privacy online oppure un DPO (“Data Protection Officer”) a cui affidarsi.
È sempre bene in questi casi rivolgersi a degli esperti del settore, come consulenti esterni oppure, in certa misura, ad agenzie di digital marketing come MOCA che si occupano anche di queste tematiche.

In ogni caso, dal momento che abbiamo pur sempre a che fare con aspetti tecnici, oltre che legali, una soluzione vincente è quella di sfruttare servizi dedicati nella gestione di questi temi.
Tra i più diffusi cito Iubenda, Cookiebot e Onetrust, tre piattaforme che offrono soluzioni per la gestione della “Cookie Law” di cui MOCA è partner e rivenditore autorizzato (per cui se dovessi aver bisogno di consulenza su questi, scrivici! :) ).

Questi servizi permettono principalmente di creare e personalizzare il banner con l’informativa breve secondo gli standard delle normative internazionali, generare il testo della Cookie Policy sulla base dei cookie effettivamente utilizzati nel sito web e avere un registro per la raccolta dei consensi.

I vantaggi di sfruttare queste piattaforme (in genere a pagamento se non si tratta di siti web semplici con poco traffico e poche esigenze), invece di soluzioni personalizzate, sono molteplici:

  • si tratta di servizi specifici, per cui ad ogni aggiornamento della normativa questi adeguano la loro soluzione
  • creano in automatico il testo della Cookie Policy, senza la necessità di doversi affidare a consulenti privacy che scrivano il testo; in più sono disponibili anche le traduzioni in diverse lingue (facendo risparmiare costi di traduzione)
  • offrono la possibilità di personalizzare la grafica del banner e di installarlo facilmente nel sito web con basso effort lato sviluppo
  • spesso prevedono sistemi di monitoraggio e scansione automatica per individuare anomalie
  • sono facilmente integrati con Google Tag Manager (strumento tramite il quale spesso vengono gestite le piattaforme che rilasciano cookie di profilazione da bloccare preventivamente)

Cosa rischia chi non si adegua?

Le sanzioni per le aziende che, più in generale, violano le linee guida del GDPR (tema ancora più ampio della “Cookie Law”) sono molto salate e possono andare dal 2 al 4% del fatturato aziendale. Non esiste però naturalmente un listino delle multe associate alle singole trasgressioni come avviene ad esempio con il codice della strada.

Analizzando il report di Federprivacy del 2020 sulle violazioni GDPR (da qui puoi scaricare il pdf) emerge che una delle violazioni più frequenti è la mancanza di gestione dei consensi, soprattutto nell’attività di marketing. Inoltre, dato preoccupante per noi, l’Italia è al secondo posto per numero di sanzioni (dopo la Spagna), con un importo medio per sanzione di 1,6 mil €.
Nel 59% dei casi la violazione ha riguardato il trattamento illecito dei dati (penso quindi più alle attività di email marketing).

La gestione dei cookie e delle informative sulle privacy nei siti viene considerata generalmente come il punto di partenza dal quale il Garante va a scovare le aziende che non sono adeguate o che hanno fatto l’adeguamento in malo modo, per cui è bene prestare molta attenzione.

Quali sono le probabili conseguenze?

Come puoi immaginare, con i nuovi accorgimenti diventati obbligatori sul banner (soprattutto il pulsante per rifiutare) diventa un po’ più difficile per le aziende ottenere il consenso della persona alla raccolta del dato e alla sua profilazione, anche se si tratta solo di un cookie (non di un indirizzo email o un numero di telefono).

Questo comporterà una restrizione degli elenchi di utenti su cui poter fare remarketing o a cui poter proporre offerte personalizzate e basate sulla loro navigazione o sugli interessi.
Inoltre, saranno meno anche i dati che avremo a disposizione per analizzare le performance e il ritorno delle attività marketing che vengono messe in campo.

Come regolarsi e quali contromisure adottare?

Innanzitutto occorre monitorare le conseguenze. Iubenda come Cookiebot e altri servizi forniscono delle loro statistiche sulle preferenze date dagli utenti tramite il banner.
Sarà quindi facilmente possibile capire la percentuale di quelli che non hanno dato il consenso per farsi tracciare e di cui quindi perderemo informazioni.
Mi aspetto che questo possa portare anche ad un cambiamento su come vengono fatti i report di marketing, perché ad esempio i confronti con il passato saranno meno attendibili, così come si dovrà per forza tener conto di quanti utenti non stiamo tracciando quando si andrà ad analizzare il ritorno di certi canali di traffico.

Altra cosa da fare è sfruttare il “Google Consent Mode”, una funzionalità sviluppata da Google che permette di ottenere dati anonimi, senza l’uso di cookie o dati personali, in modo pienamente conforme al GDPR.
In questo modo, se l’utente non dà il consenso al tracciamento, Google Ads registrerà le conversioni relative a una specifica campagna a livello aggregato anziché a livello di singolo utente, dando quindi lo stesso la possibilità di stimare in parte il ritorno sull’investimento (Google sostiene che riesce a “recupereare fino al 70% delle conversioni di cui altrimenti si perderebbe traccia”).

Infine, quando sarà effettivamente maturo e stabile, si dovranno iniziare a fare le analisi su Google Analytics 4, la nuova e innovativa versione dello strumento di web analytics di Google, che attraverso modelli statistici e il machine learning, raccoglie dei “segnali” sulle visite anche se l’utente non ha dato il consenso ai cookie, facendo delle previsioni di traffico.

Ecco, questo un po’ quello che ci aspetta il prossimo futuro, in attesa, come promesso da un po’, che dal 2023 sentiremo sempre meno parlare di cookie.

E tu, ti sei già adeguato alla nuova normativa?

Vuoi avere via mail
anche i prossimi articoli?

  • contenuti pensati solo per la newsletter (oltre agli articoli del blog)
  • cadenza irregolare: quando c'è qualcosa da dire
  • 4.024 iscritti (no, non è dinamico: lo aggiorniamo quando ce ne ricordiamo)

Se ti è piaciuto questo articolo...

regalaci un momento di gloria e condividilo
nei tuoi profili social

Ti consigliamo anche:

Commenti

Lascia un tuo commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *