Nel mese di giugno l’Autorità Garante ha pubblicato le nuove “Linee guida cookie e altri strumenti di tracciamento”, con le quali intende fornire regole ancora più chiare e precise sull'utilizzo dei cookie da parte dei gestori dei siti.
di Gaia Magrini, Data Protection Officer e Principal Consultant di Kirey Group
Molti sono stati negli anni gli interventi normativi in tema di cookie e più volte il Garante italiano si è espresso sulla materia dettagliando sempre di più gli adempimenti richiesti. Alla luce anche del Regolamento EU 679/16 l’autorità ha voluto individuare le modalità corrette per l’acquisizione del consenso e per la redazione dell’informativa, ponendo un accento sulla sempre maggior rilevanza di una completa trasparenza verso gli interessati.
Tutto questo avviene in un contesto dove la digitalizzazione dei servizi e i nuovi sviluppi tecnici impongono alle aziende di rivedere costantemente le procedure dei propri siti web per verificarne la conformità e nel quale l’incremento delle attività sanzionatorie da parte delle autorità nei diversi Paesi è sempre più evidente.
Negli ultimi mesi abbiamo assistito a casi di grande clamore come, ad esempio, la sanzione a WhatsApp da parte del Garante della privacy irlandese per oltre 225 milioni di euro per la condivisione dei dati personali degli utenti con Facebook, o la sanzione contro Google e Amazon in Francia, complessivamente 135 milioni di euro per aver installato cookies pubblicitari senza esplicito consenso.
Il comune denominatore di tutte queste decisioni è proprio la carenza delle informazioni e della trasparenza verso l’interessato, che non era in grado di percepire come venissero trattati i propri dati o di rendere un consenso idoneo.
I rischi di incorrere in multe sono molto alti anche per le realtà più piccole, per le quali le sanzioni, a differenza dei grandi big della tecnologia, possono avere un impatto significativo. Da non sottovalutare poi le conseguenze sull’immagine dell’azienda conseguenti alla eventuale sanzione accessoria della pubblicazione del provvedimento.
Cookie e legittimo interesse
Le linee guida definiscono in modo chiaro i cookie come “identificatori attivi” tramite i quali le persone fisiche possono essere associate a identificativi online prodotti da dispositivi, applicazioni o strumenti e protocolli e tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.
Rispetto ai cookie la normativa conferma e specifica ancora meglio la differenza principale tra cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio” e "cookie di profilazione“ utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern).
Mentre per l’utilizzo di meri cookie tecnici il titolare dovrà limitarsi a rendere idonea informativa, nel caso dei cookie di profilazione dovrà essere raccolto un consenso preventivo e idoneo, escludendo per la prima volta in modo esplicito la discriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.
Il Garante si sofferma anche sulla questione della reiterazione delle richieste di consenso, che non devono danneggiare l’utente. Anche la continua comparsa del banner contenente l’informativa breve può infatti essere invasiva e incidere sulla libertà dell’utente nell’espressione del consenso, portandolo, pur di fare sparire il banner, ad accettare trattamenti a cui altrimenti non avrebbe acconsentito. Le aziende, specialmente nel caso in cui l’utente abbia rifiutato cookie di profilazione, dovranno quindi adoperarsi per non riproporre la stessa richiesta, evitando di presentare nuovamente il banner all’utente addirittura per sei mesi. Peraltro, l’utente dovrà essere messo in grado di modificare autonomamente in qualunque momento le sue scelte.
Le ripercussioni per i siti delle aziende saranno considerevoli a partire dalla necessità di revisionare i propri sistemi e i dati raccolti e tenere traccia di tutti i cookie e delle tempistiche per non riproporli.
Il fatto di rendere sempre più facile il rifiuto da parte dell’utente, inoltre, avrà un impatto significativo sulla raccolta dei dati, ad esempio per attività di marketing considerando che le nuove misure, come la possibilità di esprimere il diniego ai cookie semplicemente chiudendo il banner cliccando sulla “crocetta” presumibilmente porteranno le aziende a raccogliere meno informazioni.
Sei mesi per adeguarsi; Privacy by Design e ruolo fondamentale del DPO
È di solo sei mesi il periodo concesso dall’Autorità per l’adeguamento alle nuove linee guida, un arco temporale durante il quale le aziende dovranno adoperarsi per rivedere le proprie politiche nel trattamento dei dati raccolti attraverso i cookie.
Per le aziende il lavoro per adeguarsi sui cookie dovrà essere preciso e puntuale dal punto di vista della messa a norma e aggiornamento. Molte in realtà si sono già adeguate e abbiamo notato il diffondersi di un numero sempre maggiore di strumenti e servizi per la gestione dei cookie.
Un elemento cardine di tale adeguamento sarà l’applicazione del principio di Privacy by design, che prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia fin dalla primissima fase di progettazione. Quindi sarà essenziale sviluppare i siti internet considerando fin dall’inizio le indicazioni contenute nel provvedimento dell’Autorità ai fini di individuare le modalità e le tecnologie più adeguate a garantire la liceità dei trattamenti posti in essere.
L’omessa valutazione Privacy by design è stata, fra le altre, oggetto della sanzione comminata dall’INPS lo scorso marzo. L’istituto è stato sanzionato per 300.000 euro dal Garante per aver violato il regolamento europeo in materia di protezione dei dati personali. Tra le violazioni accertate è emerso fra l’altro che l’INPS, nel procedere ad un nuovo trattamento di dati che riguardavano le verifiche sulle attribuzioni delle indennità da Covid, non aveva coinvolto fin dall’inizio nella valutazione il proprio Data Protection Officer (DPO) e specialmente questo nuovo trattamento non era stato preceduto da una valutazione formale di privacy by design né da una valutazione d’impatto.
Le realtà aziendali che hanno già adottato un modello privacy forte sapranno affrontare meglio e con fatica minore questo adeguamento e rispettare pienamente la scadenza dei sei mesi.
Il mio consiglio per tutte, e soprattutto per quelle che si occupano di servizi come Kirey Group che sono sempre sotto l’occhio vigile degli auditor e dei propri clienti, è quello di adottare un atteggiamento che consenta loro di prevenire le problematiche in fatto di cookie, coinvolgendo fin dall’inizio il proprio DPO e gli altri attori coinvolti nelle scelte.
Anche se molti considerano la privacy come un mero costo ed un onere eccessivo è altrettanto vero che, nel momento in cui un’organizzazione è in grado di armonizzare questi adempimenti con gli altri processi aziendali, il rispetto della normativa diventa più semplice. In sintesi, un efficace modello organizzativo di gestione della privacy può rappresentare anche un’opportunità utile a promuovere una migliore gestione dei dati, conferendo una corretta e piena visione di insieme.