Il 2022 comincerà con una casella da flaggare nella to-do list delle aziende operanti sul web: il gennaio prossimo sarà il termine ultimo per l’adeguamento alle linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021 del Garante per la Protezione dei Dati Personali.
Molti operatori, tuttavia, non hanno ancora ben compreso quali sono le azioni da intraprendere e quali i possibili impatti in caso di mancata applicazione.
D’altronde, nell’era in cui si fa ancora richiamo a lettere normative che forniscono descrizioni con espressioni quali “L’archiviazione delle informazioni nell’apparecchio terminale”, il business storce il naso, sente di essere un passo più avanti rispetto al legislatore e, allo stesso tempo, in diritto di non avvicinarsi agli adempimenti da questo richiesti, soprattutto se in materie che sembrano essere lontane dalla competenza di chi richiede tali obblighi.
Questo articolo mira, pertanto, a cercare di evitare ridondanti richiami normativi e a fornire suggerimenti alle aziende, in merito ad impatti e azioni da affrontare, entro l’anno (per aggiungere una voce alla lista delle cose da chiudere prima che l’anno finisca).
Indice degli argomenti
Le nuove linee guida sui cookie
Le nuove linee guida sui cookie e altri strumenti di tracciamento del 10 giugno 2021[1] del Garante hanno fatto scattare il conto alla rovescia per molte aziende operanti sul web verso nuovi adempimenti. O meglio, alcuni dei requisiti erano già stati raccomandati da altre autorità, come ad esempio l’European Data Protection Board[2] e sono stati protagonisti di parte della giurisprudenza[3] degli ultimi anni, nelle more di un Regolamento e-Privacy e di nuovi orientamenti locali, fermi, fino ad oggi, al 2014.
Tale stasi, infatti, iniziava non solo a costringere gli interpreti a ricorrere alla case law per individuare le migliori soluzioni il più coerente possibile con i requisiti in materia di protezione dei dati personali, ma anche i tecnici ed operativi a dover combattere con un linguaggio normativo poco conforme all’evoluzione tecnologica dell’ultimo decennio (per non parlare del biennio appena trascorso, che ha contribuito ad un’accelerazione della curva dell’innovazione tecnologica).
Ebbene, dal gennaio 2021 ci saranno poche giustificazioni per le aziende, che potrebbero vedere nei prossimi anni anche la corretta implementazione delle misure relative ai cookie tra il piano ispettivo dell’Autorità. Come farsi trovare preparati lo vedremo a breve, ma un breve refresh di ciò che occorre inserire nella to-do list è d’obbligo.
Innanzitutto, le nuove Linee Guida interesseranno non solo i cookie, definiti come indicatori attivi, ma anche i c.d. indicatori passivi, ossia strumenti come il fingerprinting, sui quali vegliano ancora luci ed ombre.
Con riferimento ai cookie, invece, sono state recepite alcune indicazioni già fornite dalla giurisprudenza e autorità europee[4], quali, ad esempio:
- il divieto di utilizzare caselle di consenso ai cookie pre-selezionate;
- il divieto di considerare lo scroll-down come metodo di acquisizione implicito del consenso;
- il divieto di impedire agli utenti che non abbiano accettato i cookie di fruire dei contenuti del sito web (c.d. cookie wall);
- la possibilità per l’utente di scegliere le preferenze sui cookie da accettare o meno, scelta che potrà essere richiamabile anche durante il prosieguo della navigazione, mediante un link o pulsante posizionati nel footer del sito;
- l’utilizzo di un pulsante “X” per proseguire la navigazione senza l’attivazione di alcun cookie;
- l’utilizzo, all’interno del banner, di pulsanti di uguali forme, colori e dimensioni.
Ancora, è introdotta la possibilità di venire incontro anche ad utenti disabili, mediante l’implementazione di funzioni di assistenza o configurazioni che permettano la fruizione del sito web rispettando le misure sopra richiamate.
Il Garante ha voluto incentrare le Linee Guida sulla trasparenza verso l’utente, che fino a questo momento era stata accantonata da molti gestori a vantaggio del business, che, effettivamente, è di gran lunga aiutato dall’installazione dei cookie nell’economia digitale.
Basti pensare, ad esempio, al grande aiuto dei plugin erogati dai social network, che permettono una riproposizione di contenuti personalizzata sulla base degli interessi dell’utente che abbia visitato un determinato sito web, anche mentre “scrolla” i propri feed.
Il bivio, di conseguenza, resta ridotto ad una scelta: rischio o compliance?
Ebbene, il rischio in cosa consiste? In caso di ispezione e susseguente procedimento, una sanzione può variare a seconda della gravità e delle circostanze, fino ad un massimo di 20 milioni di euro, o il 4% del fatturato mondiale annuo di gruppo, qualora le misure relative al consenso ed informazione degli interessati, nonché relative all’esercizio dei diritti di questi non siano conformi alle previsioni del GDPR.
La compliance che costi ha? Un investimento iniziale è sicuramente quello legato all’ingaggio di soluzioni e fornitori affidabili che siano in linea con le previsioni normative. Si parla di cifre, in ogni caso, di gran lunga inferiori rispetto ad un possibile e futuro massimo edittale sanzionatorio.
Lista delle cose da fare per mettersi in regola
Ma veniamo al dunque: come può un’azienda farsi trovare preparata all’avvento del nuovo anno?
Assessment as-is
Innanzitutto, è utile stilare una lista di quali cookie vengono utilizzati e/o si intende utilizzare all’interno del proprio sito web.
I cookie sono identificati dalle nuove Linee Guida come tecnici e di profilazione. Sembra che la categoria dei cookie analitici sia stata tenuta da parte, o meglio, assorbita all’interno dell’una o altra divisione. Infatti, i cookie analitici, come già prevedeva il Provvedimento del 2014[5] del Garante, qualora garantiscano l’anonimizzazione dell’indirizzo IP, possono essere assimilati ai cookie tecnici e, di conseguenza, non è necessario il consenso per la loro installazione. Diversamente, il consenso dell’utente sarà un requisito imprescindibile. I cookie tecnici, invece, restano sempre attivi, essendo la loro principale funzione quella di garantire una corretta funzionalità del sito. All’interno della categoria dei cookie di profilazione, ricadono, invece, quelli volti alla personalizzazione di annunci ed erogazione di pubblicità mirata. Anche questi saranno soggetti al consenso dell’interessato.
La categorizzazione dei cookie, di conseguenza, consiste in un primo step preliminare da affrontare.
Successivamente, occorre verificare come questi cookie sono attualmente installati sul sito web, quali sono i vendors cui ci si affida, ma, soprattutto, come l’utente viene informato e le impostazioni utilizzate per l’acquisizione del consenso.
In particolare, occorre domandarsi se vengano garantite all’utente informazioni utili in merito alle tipologie e finalità dei cookie utilizzati all’interno del sito web, se sono fornite possibilità di scegliere i cookie, di accettarli, rifiutarli e proseguire la navigazione senza che venga installato alcun cookie. Infine, capire se sono utilizzate “strade alternative” al consenso dell’utente per l’installazione dei cookie.
Individuazione dei gap
A questo punto, sarà opportuno stilare una lista di quelli che sono i requisiti richiesti dall’Autorità, e confrontarla con la situazione attuale del proprio sito web. Questo metodo aiuta nell’individuazione dei gap sui quali occorrerà agire.
Ricerca del fornitore
Una volta individuate le azioni, occorre identificare un fornitore che sia in grado di fornire adeguate garanzie in termini di misure organizzative e di sicurezza.
Ciò dovrebbe far parte di un processo più generale di valutazione di suppliers, che permetta di verificare in dettaglio il grado della loro affidabilità in termini di protezione dei dati personali. Alcuni dei più recenti provvedimenti del Garante[6] hanno fatto leva sulla necessità di verificare la filiera da parte dei titolari del trattamento nell’appalto dei propri servizi, richiedendo un controllo e monitoraggio costante ed a cascata della catena dei soggetti operanti per loro conto. A tal proposito sarà certamente utile avvalersi di strumenti come, ad esempio, dei questionari di valutazione, preliminari alla contrattualizzazione con i fornitori.
Tali questionari, soprattutto nel caso di terze parti che agiscano in qualità di responsabili[7] del trattamento, sono un efficace strumento per valutare la sussistenza delle misure organizzative e tecniche di tali soggetti, che permetta di soddisfare i requisiti di cui all’art. 28 del GDPR.
Sarà quindi importante far leva sulle misure in materia di organizzazione dei ruoli interni da parte dell’azienda fornitrice, nonché sulle misure in essere con riferimento alla gestione di data breach, gestione delle richieste di esercizio dei diritti da parte degli interessati, etc. Ancora, assume eguale importanza la valutazione delle misure tecniche, quali, a titolo d’esempio: cifratura dei dati, separazione degli ambienti e degli accessi, business recovery e incident management.
Come anticipato, tale processo di valutazione è una buona prassi per conciliare il controllo e monitoraggio delle terze parti che trattino dati per conto delle aziende titolari e permettere di assicurare fiducia nell’utente e valutazioni positive in caso di ispezioni. Ciò vale anche e soprattutto nel caso in cui la gestione del sito web e relative funzionalità sia affidata a terzi.
Definizione
In seguito alla ricerca ed individuazione del fornitore, sarà quindi possibile provvedere alla definizione delle caratteristiche da implementare all’interno del proprio sito web. In questa fase sarà importante non lasciarsi allettare da proposte economiche più convenienti: la qualità in termini di compliance potrebbe essere il contro-prezzo da pagare.
Una volta disegnate le nuove funzionalità conformemente a quanto previsto dalle nuove Linee Guida, sarà altresì opportuno provvedere all’aggiornamento della cookie policy. Questo documento, assieme alla privacy policy costituisce il libro mastro dei trattamenti dei dati personali, anche quelli raccolti mediante i cookies, all’interno del sito web, nonché il biglietto da visita più esposto che un titolare del trattamento abbia a disposizione verso gli interessati.
Ultimo punto da tenere in considerazione (e che la gestione di un’azienda richiede) è costituito da due variabili: le complicazioni e le peculiarità caso per caso rilevanti. Per ovviare a tali problematiche- ma anche per una consulenza per una corretta strutturazione sin dal design- è opportuno rivolgersi al proprio consulente e/o legale, che sarà in grado di fugare dubbi e fornire il supporto necessario per riportare l’operatività nel corretto binario del rispetto della normativa.
Conclusioni
In conclusione, il processo sembra tortuoso e soprattutto la normativa di riferimento assume un linguaggio poco vicino alla velocità delle operazioni online e del business.
Ma la scelta tra rischio e compliance, se si vuole comprendere l’importante ruolo che sta assumendo la data protection nell’era dell’impennata tecnologica, può trasformarsi anche in un’opportunità di far sentire l’utente al sicuro e, di conseguenza, contribuire alla crescita e valore della propria azienda.
Assumere, pertanto, consapevolezza sulla materia aiuta la programmazione delle attività, evitando che la corsa agli adempimenti comporti ulteriori check da spuntare prima della chiusura annuale.
NOTE
Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021) del Garante per la Protezione dei Dati Personali. ↑
Guidelines 05/2020 on consent under Regulation 2016/679 dell’European Data Protection Board. ↑
Si veda, per esempio la Sentenza della Corte di Giustizia dell’Unione Europea (Grande Sezione) del 1° ottobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV contro Planet49 GmbH. ↑
Guidelines 05/2020 on consent under Regulation 2016/679 dell’European Data Protection Board. ↑
Provvedimento del Garante Personale per la protezione dei dati personali “ Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” dell’ 8 maggio 2014 ↑
Si veda, per esempio, l’ordinanza ingiunzione nei confronti di Fastweb S.p.A. del 25 marzo 2021 da parte del Garante per la Protezione dei Dati Personali ↑
Sui ruoli di titolare e responsabile, cfr. anche Linee Guida dell’European Data Protection Board n. 7/2020, sui concetti di titolare e responsabile ↑