Siti web e cookie – Nuove linee guida e FAQ del Garante privacy

Il Garante privacy ha adottato nuove Linee guida a tutela degli utenti ed ha pubblicato nuove FAQ in risposta ai quesiti più frequenti sul tema, che costituiscono lo spunto per opportune riflessioni operative per imprese e fornitori di servizi tecnologici e comunicazione

Redazione MTS

Il Garante per la protezione dei dati personali ha adottato nuove Linee guida sui cookie che rafforzano il potere di decisione degli utenti dei siti web.  

Le linee guida sono particolarmente interessanti in quanto contengono una disamina ragionata di aspetti sia normativi sia tecnici. Sono corredate, inoltre, da una scheda di sintesi molto utile sia per le azioni interne sia per la gestione del rapporto con i terzi che eventualmente dovessero erogare servizi in tale ambito.

 L’Autorità garante ha recentemente pubblicato anche delle FAQ sintetiche, ma decisamente utili.

L’esigenza del nuovo intervento del Garante su di un tema delicato e di rilevante attualità trae origine, innanzitutto, dalla necessità di aggiornare le linee guida del 2014 alla luce delle innovazioni introdotte dal GDPR. A ciò va aggiunto che l’Autorità nel tempo ha riscontrato una non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati da parte di numerosi Titolari del trattamento dati. Inoltre, l’evoluzione comportamentale degli stessi utenti della rete, sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall’accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network ha comportato, di riflesso, sia un aumento considerevole dell’incrocio dei loro dati e la creazione di profili sempre più dettagliati sia un crescente uso di tracciatori e sistemi similari per azioni di marketing, re marketing e similari.

Alcuni aspetti di particolare interesse tratti dalle linee guida:

• Il meccanismo di acquisizione del consenso on line dovrà garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web (o altro strumento che utilizza cookie e tracciatori), nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting);
• l’informativa agli utenti, che deve essere chiara, comprensibile e perfettamente rispondente ai trattamenti posti in essere, dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni e potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali);
• per i cookie tecnici resta confermato l’obbligo della sola informativa, anche inserita nell’informativa generale;
• per i cookie di profilazione o altri strumenti di tracciamento ed i cookies non tecnici in generale viene ribadita la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà essere facilmente permesso di individuare quali cookie accettare  oltre che la possibilità di proseguire la navigazione senza essere in alcun modo tracciati;
• il semplice spostamento in basso del cursore (scroll down) non rappresenta un’idonea manifestazione del consenso;
• il cookie wall (sistema che vincola gli utenti all’espressione del consenso) è un meccanismo illegittimo, salve particolarissime ipotesi (residuali);
• la ripresentazione del banner, ad ogni nuovo accesso, per la richiesta di consenso agli utenti che in precedenza lo abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento o sia impossibile sapere se un cookie sia già memorizzato nel dispositivo (tale situazione potrebbe tuttavia rappresentare una violazione dei principi by design e by default) oppure siano trascorsi almeno 6 mesi;
• il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato viene confermato. La gestione tecnica di questi aspetti, quindi, deve essere definita con attenzione rendendo agevoli le modalità di revoca del consenso come quelle di acquisizione.

La gestione di tali strumenti e dei processi di trattamento dati personali ad essi connessi offre l’opportunità di richiamare alcuni temi fondamentali per la gestione della data protection. In particolare è necessario che:

• i processi di trattamento siano adeguatamente mappati nel registro dei trattamenti redatto ai sensi dell’art.30 GDPR, distinguendo tra gestione cookies tecnici da quelli di profilazione poichè le finalità sono assolutamente differenti;
• siano mappati tutti gli strumenti utilizzati per i servizi/attività web/digitale con la collaborazione attiva ed indispensabile dei propri fornitori tecnici e con una chiara individuazione degli strumenti tecnici e non tecnici.  Questo aspetto è essenziale per poter adeguatamente gestire gli eventuali consensi, le informative, i tempi di conservazione e più in generale trasparenza ed accountability, ed ovviamente per la corretta gestione del registro dei trattamenti;
• sia effettuata una valutazione del rischio in ambito data protection e le successive valutazioni di impatto (DPIA) per trattamenti ad elevato rischio, tra i quali devono essere considerati i trattamenti dati che comportano la profilazione degli interessati;
• nelle valutazioni del rischio e di impatto sia considerata correttamente la tipologia di attività esercitata e i dati personali trattati poiché, ad esempio, un sito che tratta argomenti, prodotti o servizi inerenti alla salute tramite il tracciamento del comportamento ed interessi degli utenti potrebbe ricostruire profili inerenti dati particolari (patologie, fobie, etc.etc.);
• le misure di sicurezza siano valutate in modo preventivo sulla base di specifici obblighi normativi e del rischio che incombe su libertà e dignità degli interessati e siano aggiornate periodicamente e testate in modo comprovabile;
• eventuali responsabili del trattamento (agenzia web, fornitori di servizi it etc.etc.) siano verificati sia preventivamente sia durante il rapporto professionale e siano adeguatamente mappati nel registro dei trattamenti che deve contenere anche puntuale indicazione dei trattamenti loro affidati.

Il rapporto che intercorre tra fornitori di beni e servizi che rivestono il ruolo di Responsabili del Trattamento e Clienti nella veste di Titolari del trattamento stesso richiede una particolare, non a caso infatti:

• il Garante privacy negli ultimi tempi ha più volte applicato sanzioni, anche di rilevante importo, per l’inadeguata gestione del rapporto tra titolari e responsabili;
• il 4 giugno 2021, la Commissione Europea ha pubblicato le clausole contrattuali standard ritenute adeguate a garantire la corretta gestione proprio del rapporto tra titolari e responsabili;
• nella stessa data la Commissione Europea al fine di contribuire a risolvere le problematiche sorte dopo che la Corte di Giustizia Europea ha invalidato nel luglio 2020 l’accordo con gli Stati Uniti sul trasferimento dati, ha pubblicato anche un set di clausole standard finalizzate al raggiungimento delle adeguate garanzie per il trasferimento dei dati personali in paesi al di fuori dello spazio economico europeo.