19 Luglio 2021 by in Privacy e GDPR

INTRODUZIONE

Il 9 luglio 2021 è stato pubblicato nella Gazzetta Ufficiale il Provvedimento del Garante per la Protezione dei Dati Personali denominato “Linee guida cookie e altri strumenti di tracciamento”. 

Con l’adozione delle Linee guida in materia, il Garante ha inteso sottolineare l’importanza della c.d. “coscienza del navigatore”, evitando che l’accettazione dei cookie possa diventare un automatismo involontario da parte dell’utente che, pur di continuare senza interruzioni la propria navigazione in rete, può essere portato a cliccare indiscriminatamente sull’opzione “accetta tutto e prosegui”. 

Obiettivo del Provvedimento, dunque, è quello di cercare “una posizione di equilibrio tra l’esigenza di garantire agli utenti più trasparenza e controllo sui dati personali e quella di non demonizzare dei trattamenti che, se posti in modo corretto, possono contribuire a rendere sostenibile l’attività degli editori online“, come opportunamente spiegato dall’Avvocato Guido Scorza, Componente del Garante per la protezione dei dati personali.

Di seguito le più importanti novità introdotte dal Provvedimento dell’Autorità Garante.

Cookie

ed altri identificatori tecnici

Il Garante, dopo aver ricordato che sono considerati cookie ed altri identificatori tecnici solo quelli utilizzati unicamente al fine di «effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio» ai sensi dell’art. 122 comma 1 del Codice Privacy, precisa che non è richiesta l’acquisizione di uno specifico consenso per tali strumenti, ma la loro presenza deve essere adeguatamente indicata nell’informativa privacy consultabile dagli utenti, la quale dovrà avere le caratteristiche esplicate nel paragrafo seguente.

Informativa e consensi

Nel rispetto del principio di Accountability di cui all’art. 5 del Regolamento europeo 679/2016 (GDPR), al fine di accrescere la consapevolezza dell’utente durante la navigazione in rete, l’informativa relativa al trattamento dei dati personali e all’utilizzo dei cookie deve essere elaborata in modo semplice e facilmente fruibile da parte di tutti gli internauti.

Se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale. 

Se si utilizzano anche cookie e/o altri identificatori “non tecnici”, la relativa informazione dovrà essere riportata in modalità di pronta comprensione, anche attraverso un banner a comparsa immediata e di adeguate dimensioni.

Stop all’uso dei dark pattern

Il Garante, inoltre, mette in guardia gli editori dall’utilizzo dei c.d.  dark pattern sui propri siti, è cioè di stratagemmi tecnici appositamente ideati al fine di mettere in evidenza grafica l’opzione favorevole all’azienda a scapito di quella opposta, in modo tale da veicolare le scelte dell’utente. 

Il dark pattern è considerato una vera e propria forma di manipolazione dell’utente, in violazione dei principi di correttezza e trasparenza enunciati dal GDPR.

Come si legge nel Regolamento, il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo e consapevole dell’utente, opportunamente riscontrabile e dimostrabile, che consenta di qualificarlo come in linea con tutti quei requisiti (libero, informato, inequivoco e specifico, cioè espresso in relazione a ciascuna diversa finalità del trattamento) richiesti dal Regolamento.

Meccanismo agevolato

per rifiutare i cookie

La chiusura del banner, dunque, dovrà essere resa il più agevole possibile per l’utente. Dovrà, pertanto, essere sufficiente selezionare l’apposito comando usualmente utilizzato a tale scopo, e cioè la X posizionata (di norma), in alto a destra all’interno del banner medesimo, senza essere costretti ad accedere ad altre aree o pagine a ciò appositamente dedicate. 

Il Garante precisa che il comando di chiusura dovrà avere una evidenza grafica pari a quella degli ulteriori comandi o pulsanti necessari ad esprimere le altre scelte da parte dell’utente. 

Le modalità di prosecuzione nella navigazione senza prestare alcun consenso dovranno, dunque, essere immediate, fruibili e accessibili con la stessa facilità di quelle previste per la prestazione del consenso.

Contenuti del banner

Il banner informativo dovrà, pertanto, contenere almeno le seguenti indicazioni ed opzioni: 

  • l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra, comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici; 
  • una informativa relativa all’utilizzo di cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, cioè in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti, con la specificazione che tale uso sarà legato esclusivamente alla previa acquisizione del consenso esplicito da parte dell’utente, da prestarsi con modalità indicate nella medesima informativa. 
  • il link alla privacy policy, ovvero ad una informativa estesa posizionata in un second layer – che sia accessibile con un solo click anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio cui l’utente accede – ove vengano fornite in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai predetti cookie o altri strumenti tecnici;
  • un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento; 
  • il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti – il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti – ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Nel caso in cui i cookie siano raggruppati per categorie omogenee, qualora si verificassero successive modifiche nel novero delle terze parti e dunque qualora ulteriori terze parti venissero aggiunti alla lista, è rimessa al gestore del sito, la loro accurata selezione, nonché l’attività di costante vigilanza per assicurare che l’ingresso di tali soggetti ed il trattamento che ne discende permanga in linea con il raggruppamento per categorie omogenee come già effettuato.

Anche in questo caso, il rispetto degli obblighi di privacy by default impone che le possibili scelte granulari siano inizialmente tutte preimpostate sul diniego all’installazione dei cookie, e che pertanto l’azione dell’utente possa, esclusivamente essere positiva, accettando, anche appunto in modo granulare, il posizionamento.

Possibilità di modificare le proprie preferenze

L’Autorità precisa, inoltre, la necessità che utenti siano posti nella condizione di poter modificare le scelte compiute – sia in termini negativi che in termini positivi e, dunque, prestando un consenso inizialmente negato oppure revocando un consenso già prestato – in qualsiasi momento e in maniera semplice, immediata e intuitiva, attraverso un’apposita area da rendere accessibile attraverso un link posizionato nel footer del sito e che ne renda esplicita la funzionalità attraverso la dicitura “rivedi le tue scelte sui cookie” o  altra analoga.

Stop alle richieste illimitate di consenso

Ulteriore problematica affrontata nel Provvedimento è la riproposizione ultronea e invasiva da parte dei gestori dei siti web del banner ad ogni nuovo accesso dell’utente al medesimo sito, anche quando a seguito di scelte già liberamente effettuate. Tale pratica non solo compromette la libera fruizione del servizio da parte dell’utente, ma, altresì, non trova alcun fondamento negli obblighi di legge. 

Ne consegue che, secondo quanto previsto dalle nuove Linee Guida, la riproposizione potrà avvenire solo nelle seguenti circostanze: 

  • quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”; 
  • quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati); 
  • quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Tempistiche di adeguamento dei sistemi ai nuovi principi

Il Provvedimento concede ai gestori dei siti sei mesi di tempo per adeguarsi alle nuove Linee Guida (a partire dalla pubblicazione in Gazzetta Ufficiale), per evitare di incorrere nelle possibili sanzioni da parte del Garante Privacy, che, come noto, rischiano di essere molto salate (fino al 20% del fatturato mondiale dell’azienda in questione).

Per ulteriori approfondimenti è possibile prendere visione del citato Provvedimento e consultare il relativo allegato 1 contenente la scheda di sintesi contenente le “Linee Guida Cookie e altri strumenti di tracciamento” sul sito del Garante Privacy all’indirizzo: www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876

Conoscere l’organizzazione aziendale, nondimeno la suddivisione dei suoi ruoli, è il primo passo per progettare un intervento formativo che tenga conto della Valutazione dei Rischi connessi al ciclo di lavoro.

I nostri programmi formativi sono progettati ed erogati in modalità E-learning.

Per maggiori informazioni visita la nostra offerta formativa:

FORMALAV

Studio Rivelli Roma prevenzione e protezione

Pic by: Sentavio – www.freepik.com

Comments
Share
Claudio Rivelli

«Il genio non è altro che una grande attitudine alla pazienza.» Nato a Roma l’08/08/1968, ha conseguito il diploma di maturità classica e si è laureato in Chimica con lode all’Università degli Studi “La Sapienza”. Dal 1996 occupata di salute e sicurezza nei luoghi di lavoro e nel 2004 ha fondato la Studio Rivelli Consulting s.r.l., credendo fortemente nell’importanza di realizzare sinergie di professionisti con specifiche competenze al servizio delle Aziende. Gli Imprenditori che si affidano a noi non trovano un semplice fornitore di servizi, ma un Partner affidabile che consente loro di pensare serenamente al proprio business.

logo

 Lun - Ven:
9.00 / 13.00 - 14.00 / 18.00
 +39 06 886 439 98