Se sei il titolare di un sito web o un webmaster, sei sicuramente investito dalle continue novità in materia di Privacy che arrivano da ogni fronte.
Da un lato c’è l’entrata in vigore della nuova Cookie Law e del GDPR, che impone regole precise su gestione cookie, informative e strumenti di terze parti.
Dall’altro, c’è il tema sempre più critico dell’invalidazione del “Privacy Shield” (sentenza Schrems II), con conseguente divieto di trasferire dati negli Stati Uniti o a soggetti statunitensi anche se i server sono in Europa.
Recentemente, un tribunale tedesco ha vietato l’uso di CookieBot; il Garante austriaco e quello norvegese hanno invece bloccato Google Analytics.
Proprio in questi mesi, il Garante Privacy italiano, con la sua newsletter del 31 gennaio 2022, ha indicato i settori prioritari per il piano ispettivo 2022:
- Trattamento dati da parte di fornitori di database
- Gestione corretta dei cookie
- Settore videosorveglianza
- Siti di incontri, operatori di data monetization, produttori di smart toys
Il Garante specifica anche che potranno essere avviate ulteriori ispezioni a campione, su segnalazione o reclamo.
È dunque uno scenario complesso e in rapida evoluzione, con controlli destinati a intensificarsi.
La domanda chiave da porsi:
“Sono davvero conforme?”
“La mia soluzione blocca davvero i cookie come richiesto dal regolamento, o è solo di facciata?”
“Quali rischi corro in termini economici e reputazionali se NON mi adeguo?”
Ecco 5 requisiti essenziali che deve soddisfare un software per la gestione dei cookie:
1. 3 pulsanti + 1
Il banner privacy deve sempre presentare tre pulsanti: “Accetta”, “Personalizza” e “Rifiuta”. In Italia, è obbligatorio aggiungere anche la “X” in alto a destra che ha lo stesso effetto di “Rifiuta”. Se manca la X, NON sei in regola in Italia; se manca “Rifiuta”, NON sei in regola in Europa.
Attenzione alle diciture fantasiose: testi troppo creativi o personalizzazioni sui pulsanti ti espongono a rischi di non conformità.
“Vale la pena rischiare solo per un testo diverso dal canonico?”
2. Ubicazione dei dati
Il software per la gestione dei cookie può essere installato sull’hosting del sito o fornito come servizio SaaS esterno. Questa scelta ha impatti legali e pratici:
- Molte soluzioni SaaS sono statunitensi: il Privacy Shield potrebbe nuovamente decadere, e nessun dato UE potrebbe essere trasferito su server/proprietà USA.
- Anche se il server è in Europa, la legge “Cloud Act” dà pieno accesso alle autorità USA.
Esempio: la sentenza tedesca che ha vietato CookieBot per uso di server gestiti da Akamai.
La soluzione migliore è affidarsi a provider europei o, meglio ancora, gestire tutto sul proprio hosting.
3. Consenso granulare
L’utente deve poter dare il consenso analitico, cookie per cookie, non solo per macro-categorie.
Il Garante, nelle linee guida del 10/06/2021 (vedi qui), prescrive la possibilità di scegliere in dettaglio, da un’apposita area, ciascun cookie o soggetto terza parte.
“Il tuo banner offre davvero questa granularità, o solo il consenso per categorie?”
4. Registro preferenze cookie
Il Garante chiarisce: “per tracciare il consenso è sufficiente un cookie tecnico, non serve alcun registro”.
Un eventuale registro, che salva più scelte/utilizzi, viola il GDPR (profilazione senza consenso esplicito). Serve solo la memorizzazione dell’ultima preferenza.
5. Blocco preventivo
TUTTI i cookie non tecnici vanno bloccati fino al consenso espresso (anche Recaptcha, mappe Google, video embed, ecc). Questo richiede una soluzione tecnica reale, non solo l'avviso nel banner.
Adeguarsi significa avere una soluzione che blocchi davvero i cookie prima del consenso, o si rischiano (davvero!) multe e contestazioni.
Morale: la fine del Privacy Shield e il boom di ispezioni impongono attenzione vera, non scelte di facciata.
Hai scelto davvero consapevolmente la tua soluzione o quella dei tuoi clienti?
Confrontati con noi: clicca qui per commentare il post.
