Il 2022 porterà importanti novità a tutela dei diritti degli utenti online che interesseranno da vicino tutte le aziende in possesso di un sito web. Entro il 10 gennaio 2022, infatti, bisognerà adeguarsi alle nuove linee guida emanate dal Garante per la protezione dei dati personali in riferimento all’utilizzo dei cookies e di altri strumenti di tracciamento.
Anche se il provvedimento dell’Autorità è ormai datato 10 luglio 2021, molti operatori non hanno ancora ben compreso quali cambiamenti apportare e quali siano i possibili rischi in caso di mancata applicazione delle nuove regole.
Ecco quindi, dati i tempi stretti, una pratica guida per le aziende su alcune azioni da affrontare per mettersi in regola.
Innanzitutto, bisogna precisare che il provvedimento si applica a tutti quegli strumenti di tracciamento che praticano operazioni di lettura e scrittura all’interno dei terminali degli utenti di siti web. Non solo i cookies dunque, definiti dal Garante come indicatori attivi, perché gestibili attivamente dagli utenti (ad esempio rifiutando il consenso), ma anche altri strumenti di tracciamento “passivo”, ossia non gestibili in autonomia, come il fingerprinting.
Il principale obiettivo delle nuove disposizioni è quello di rafforzare il potere decisionale degli utenti in merito all’utilizzo online dei propri dati personali, ponendo un freno al tracciamento da parte delle aziende, conformemente a quanto stabilito dal Regolamento in materia di protezione dei dati personali (GDPR).
Concentrandoci sui cookies, bisogna però distinguere innanzitutto tra cookies tecnici e cookies di profilazione.
I primi sono strumenti necessari per garantire il miglior funzionamento dei siti e non richiedono per questo l’acquisizione di un consenso, ma soltanto che siano indicati nell’informativa privacy. I cookies di profilazione, invece, sono strumenti più pervasivi, tracciando i comportamenti dei singoli visitatori per fini diversi (ad esempio pubblicitari), e per questo motivo è sempre necessario raccogliere un apposito consenso degli interessati per attivarli.
Fatta questa importante premessa, vediamo nello specifico le novità introdotte.
Il Garante ha posto molta attenzione sul banner, strumento sempre più utilizzato sui siti, esprimendo la validità del meccanismo di acquisizione del consenso attraverso lo stesso, purché contenga le seguenti informazioni:
- l’indicazione in una breve informativa dell’utilizzo di cookies o di altri strumenti utilizzati dal sito per tracciare gli utenti, specificandone le finalità;
- un link alla privacy policy contenente l’informativa completa, permettendo agli utenti di acquisire in questo modo tutte le informazioni relative all’utilizzo dei propri dati;
- l’utilizzo di apposite caselle per prestare o rifiutare il consenso che non siano già preselezionate e che siano di uguali dimensioni, colori ed enfasi, in modo da non influenzare la scelta dell’utente;
- un link ad un’apposita area in cui l’utente potrà eventualmente selezionare analiticamente le funzionalità, gli strumenti e le parti a cui concedere il tracciamento (deve sempre essere permesso l’accesso a questa area anche dopo la chiusura del banner);
- la precisazione che la chiusura del banner, selezionando l’apposita X in alto a destra, non pregiudica la navigazione, comportando il tracciamento eventualmente solo attraverso cookies tecnici.
Una volta che l’utente ha espresso le proprie preferenze il banner potrà essergli riproposto sul medesimo sito soltanto dopo un periodo minimo di 6 mesi, a meno che non vi siano stati significativi cambiamenti inerenti al tracciamento dei dati.
Non è ammesso quindi l’utilizzo di cookie wall, cioè di quegli strumenti volti a bloccare l’accesso al sito in caso di mancato consenso alla profilazione, né di meccanismi di acquisizione implicita del consenso (scrolldown), salvo casi particolari.
Per il Garante della Privacy il titolare di un sito web deve sempre poter dimostrare di aver ottenuto un consenso valido per l’attività di profilazione, non costituendo in nessun caso una giustificazione giuridicamente valida l’indicazione di un mero interesse legittimo da parte del titolare del sito.
Ma quali sono i rischi per le aziende in caso di mancato adeguamento alle nuove linee guida?
In caso di controlli le sanzioni variano in base alle singole circostanze, ma possono arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato aziendale annuo in caso di violazioni del GDPR.
È necessario pertanto uno sforzo in termini di compliance da parte delle aziende per garantire la tutela di tutti gli utenti che navigano sui loro siti.
La materia è delicata ed in continuo aggiornamento, anche a causa delle importanti evoluzioni normative e dello sviluppo digitale degli ultimi anni.
Oltre alla previsione di un’apposita policy cookie, è bene infatti che le aziende si dotino di un’informativa privacy sempre aggiornata ed effettuino adeguati controlli anche su tutti i fornitori o i soggetti terzi a cui è permesso l’utilizzo dei dati dei propri utenti, essendo il principio di accountability previsto dal GDPR di applicazione molto rigorosa.
Per tutti questi motivi, è importante adeguarsi il prima possibile alle nuove linee guida dettate dal Garante Privacy in modo da iniziare il 2022 nel modo migliore.