Quali sono le basi legali da considerare nelle richieste di consenso per i siti web?

Le richieste di consenso devono rispettare i requisiti dell'Art. 7, comma 3, del GDPR (Regolamento Generale sulla Protezione dei Dati), inclusa la possibilità di revoca diretta, la semplice possibilità di rifiuto e la completa disattivazione di tutti i servizi dopo la revoca. Inoltre, gli scopi, i destinatari dei dati e i rischi devono essere chiaramente indicati.

Quali strumenti necessitano di consenso in base all'articolo?

Molti strumenti e plugin, come Google Analytics, Google Maps, Facebook Plugin, Vimeo Video, SoundCloud Player e script esterni, richiedono il consenso. Ciò vale anche per gli strumenti di consenso comuni come Borlabs Cookie o UserCentrics, poiché questi includono processi di elaborazione dei dati.

Perché la minimizzazione dei dati è importante sui siti web?

In base all'articolo 5, paragrafo 3 del GDPR, la minimizzazione dei dati afferma che devono essere evitati trasferimenti di dati non necessari. Ciò protegge la privacy degli utenti e riduce il rischio di violazioni della privacy.

Quali sono i problemi degli strumenti di consenso?

Gli strumenti di consenso spesso non sono in grado di soddisfare pienamente tutte le normative sulla privacy. Esistono ragioni oggettive per cui non funzionano in modo affidabile e quindi non dovrebbero essere utilizzati come unica soluzione.

Cosa deve fare un sito web per ottenere il consenso degli utenti?

I siti web devono informare chiaramente e in modo semplice gli utenti sui dati raccolti e sul loro utilizzo e ottenere un consenso esplicito alla raccolta e alla elaborazione dei dati. Questo è un requisito fondamentale per il rispetto del GDPR.

Lista di controllo per richieste di consenso conformi alla legge sui siti web: Regolamenti e basi legali

Il consenso è richiesto per molti strumenti e cookie. I cosiddetti strumenti di consenso dovrebbero aiutare in questo senso, ma non sono sufficienti, come ha dimostrato il mio test pratico. Quali requisiti deve soddisfare una richiesta di consenso?

Introduzione

L'impiego di plugin e strumenti per l'elaborazione dei dati sui siti web è, secondo Art. 6 comma 1 GDPR, in sostanza consentito solo se

a) esiste un interesse legittimo dell'operatore del sito web, oppure

b) il consenso è stato ottenuto dal visitatore del sito web.

I siti web che non utilizzano i cookie e che elaborano i dati solo in base alle esigenze (ad esempio, il modulo di contatto) non richiedono un "cookie pop-up".
Si applica anche se vengono utilizzati solo i cookie necessari, come ad esempio per la gestione del carrello della spesa.

La direttiva ePrivacy stabilisce nel suo art. 5, comma 3, che anche l'accesso a cookie o la lettura di cookie richiede il consenso. La direttiva si applica anche in Germania, come stabilito dal BGH nel 2020 con la sentenza Planet49 (28.05.2020 – I ZR 7/16). La normativa è stata ufficialmente introdotta in Germania nel dicembre 2021 con il § 25 TTDSG. ([1])

L'articolo 44 e seguenti del Regolamento generale sulla protezione dei dati (GDPR) stabiliscono che il trasferimento di dati in paesi terzi non sicuri (come gli Stati Uniti) è in sé vietato. Poiché le IP-Adresse sono già da considerarsi come dati personali, la legge GDPR si applica principalmente a tutte le pagine web. ([1])

Secondo queste basi giuridiche, ad esempio, sono obbligatorie le seguenti strumentazioni:*consenso:

Google Analytics: direttiva sull'e-privacy, trasferimento dei dati negli Stati Uniti. Maggiori dettagli
Google Maps: direttiva sull'e-privacy (e/o altre). Maggiori dettagli
Plugin Facebook: Direttiva sull'e-privacy (e/o altre)
Google Scritti (accesso esterno): Art 44ff. GDPR o Art. 5 GDPR (minimizzazione dei dati). Maggiori dettagli
Google reCAPTCHA: direttiva ePrivacy (e/o altre). Maggiori dettagli
Video YouTube con cookie: direttiva ePrivacy (e/o altre)
Video YouTube senza cookie: Art. 44ff. GDPR o Art. 5 GDPR (minimizzazione dei dati)
Video Vimeo: Art. 44ff. GDPR o Art. 5 GDPR (minimizzazione dei dati). Maggiori dettagli
Riproduttore SoundCloud: ePrivacy-Direttiva (e/o altri). Dettagli aggiuntivi

La lista può essere quasi allungata a piacere per includere altri strumenti noti. Il giusto interesse può essere escluso per tutti questi servizi. Ciò può essere in parte anche dimostrato tecnologicamente e quindi senza alcun dubbio.

Ecco la traduzione: Hier possono verificare in pochi secondi (gratuitamente e senza registrazione) se un sito web è conforme alla normativa sulla protezione dei dati o se Handlungsbedarf esiste.

Controllo di siti web online

Lista di controllo per gli strumenti di consenso

Se siete coscienti del rischio abbastanza da voler utilizzare una delle soluzioni di consenso più comuni, la seguente lista di controllo vi aiuterà a verificare il vostro progetto. Le soluzioni comuni sono infatti non soluzioni, come dimostrato dal mio test pratico.

Secondo i miei testi inadatti sono i seguenti strumenti di consenso:

Requisiti per le richieste di consenso:

Il diritto di recesso deve essere immediatamente visibile → Art. 7, comma 3 GDPR
Il rifiuto dovrebbe essere altrettanto semplice quanto l'accettazione → Sentenza Corte di Giustizia di Rostock
Una preimpostazione contraria al diritto all'oblio non è consentita → sentenza del Tribunale di giustizia dell'Unione europea Planet49
Facile possibilità di recesso → Art. 7, comma 3 GDPR
Il recesso deve essere semplicemente possibile (numero di clic!) → Art. 7 comma 3 GDPR
Il recesso deve essere completamente possibile (cancellazione di tutti i cookie, scarico di tutti i servizi) → Art. 7 comma 3 GDPR
Dopo la cancellazione, il sito web dovrebbe essere ricaricato automaticamente per disattivare i servizi precedentemente attivi ricaricando il sito web
Nominazione dei servizi a cui si è prestato il consenso. Possibilità di prestare il consenso per ciascun servizio o in categorie di servizi→ Art. 12 GDPR, Art. 7 comma 4 GDPR
Per servizio → Art. 13 GDPR
1. Nome del fornitore (nome completo dell'azienda, compreso l'indirizzo e il paese)
2. Denominazione degli scopi → Art. 5 comma 1 del GDPR
3. Nominare i destinatari dei dati (dati completi dell'azienda, compreso l'indirizzo e il paese)
4. Denominazione dei paesi di raccolta dei dati
5. Denuncia dei rischi nella trasmissione a paesi terzi non sicuri → Art. 49, comma 1, del Regolamento UE n. 2016/679
6. Denominazione di tutti i cookie per il servizio. Per ogni cookie:
  1. Nome del cookie
  2. Denominazione degli scopi → Sentenza del Tribunale di Giustizia dell'Unione Europea Planet49
  3. Denuncia della durata di vita → Sentenza del Tribunale Europeo di Giustizia Planet49
Registrazione della dichiarazione di consenso come prova in caso di richieste successive → Art. 7 comma 1 GDPR
Solo dopo l'autorizzazione possono essere caricati script per video da Vimeo o YouTube, font esterne, nonché la maggior parte degli strumenti di Google compreso il Google Tag Manager. Gli Stati Uniti sono un paese terzo instabile. Anche le clausole contrattuali standard non cambiano nulla. ([1])
Spiegazione completa di tutte le operazioni di trattamento dei dati per i servizi utilizzati nell'informativa sulla privacy.
L'informativa sulla privacy deve essere direttamente accessibile nonostante la finestra di consenso; il link ad essa non deve essere nascosto da un pop-up.
L'informativa sulla privacy deve essere leggibile senza dover cliccare su una domanda di consenso.

È possibile che ci siano altri requisiti. Sarei lieto di sapere da voi se manca qualcosa.

Importante da sapere:

Servizi vengono anche chiamati strumenti o plugin. Pressoché ogni tool richiede un consenso.
I cookie sono solo un motivo per una autorizzazione. Vedi le indirizzi IP e la minimizzazione dei dati, nonché il mioarticolo di specialità.
Indirizzi IP sono dati personali. Ogni accesso a un sito web o a un servizio significa scambiare dati personali.
Minimizzazione dei dati: sono da evitare i trasferimenti di dati non necessari → Art. 5 comma 3 GDPR.
Sono chiamati Consent Tools strumenti di consenso, secondo Praxistest, inadatti per rispettare tutte le norme sulla protezione dei dati. Ci sono anche motivazioni oggettive per cui gli strumenti di consenso non possono funzionare con affidabilità.