Se sei il titolare di un sito web, o sei un webmaster, probabilmente sei già consapevole delle notizie in ambito Privacy che stanno provenendo da tutti i fronti.
Da un lato abbiamo l'introduzione del nuovo regolamento Cookie Law / GDPR, che disciplina il funzionamento dei Cookie, delle informative e dei corretti comportamenti da tenere per ciò che riguarda cookie e software di terze parti.
Dall'altro, abbiamo l'intensificarsi delle problematiche legate alla invalidazione del cosiddetto "Privacy Shield", dovuto alla Sentenza Schrems II, per cui è proibito il trasferimento di dati verso Stati Uniti o a soggetti Statunitensi che hanno i loro server / datacenter sul territorio Europeo.
Recente, infatti, una prima pronuncia di un tribunale tedesco, che impedisce l'utilizzo del software CookieBot.
Dall'altra, la pronuncia del Garante Privacy austriaco prima, e norvegese poi, che bloccano invece Google Analytics.
Recentissima invece la pronuncia del Garante Privacy Italiano, che nella sua Newsletter del 31 gennaio 2022, ha indicato i settori dove si concentrerà il piano ispettivo per il primo semestre di quest'anno.
Ecco il sunto della delibera:
L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:
a) ad accertamenti nell'ambito di
-trattamento di dati personali nei confronti di "fornitori di database"
-trattamento di dati personali in ordine alla corretta gestione dei cookies
-settore videosorveglianza
-trattamento dei dati da parte di siti incontri, operatori della data monetization, produttori di smart toys
Il Garante esplicita anche che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio, anche in relazione a segnalazioni o reclami.
Si sta delineando quindi un quadro complesso, mutevole, dove l'attività ispettiva verrà intensificata.
La domanda che ci si deve porre in questa fase è:
"Sono certo di essere a norma ?"
"La soluzione che sto utilizzando è di facciata, o realizza davvero il blocco preventivo richiesto dal regolamento ?"
"Quanto sto rischiando in termini economici e d'immagine per un mancato adeguamento ?"
Vediamo quindi in 5 punti quali caratteristiche deve avere la soluzione Software da utilizzare per l'adeguamento Cookie:
3 pulsanti + 1
I tre pulsanti presenti in un banner privacy devono essere “Accetta”, “Personalizza”, “Rifiuta” con i quali l’utente effettua le sue scelte. Questo è valevole in tutta Europa tranne che in Italia, dove è stata aggiunto il tasto X di chiusura con la stessa funzione del tasto “Rifiuta”. In linea teorica la X può sostituire il tasto “Rifiuta” ma ciò esporrebbe il sito a non essere più conforme con il resto della normativa Europea che richiede i tre tasti. Quindi, quando viene scelto un sistema privacy per il blocco dei Cookie, dobbiamo controllare che sia in regola sia con l’Europa (presenza dei tre tasti) sia con l’Italia (presenza X in alto a destra oltre ai tre tasti).
Riguardo alle diciture, in questo momento si stanno vedendo testi alternativi e molto fantasiosi rispetto ai canonici "Accetta", "Personalizza" e "Rifiuta".
La domanda che ci si dovrebbe porre è:
“Vale la pena rischiare con diciture fantasiose ?”
Ubicazione dei dati
Come è facilmente intuibile, un sistema software di gestione dei cookie può essere installato direttamente sull'hosting del proprio sito, oppure come servizio esterno, su server di aziende terze.
Questo può sembrare un dettaglio trascurabile, anche se ha certamente un impatto in termini di costi, in quanto ci può venire imposto un limite mensile alle visualizzazioni di pagina.
È tutto qui ? Purtroppo no, perchè spesso questi software esterni appartengono a società Statunitensi.
Con l’invalidazione del Privacy Shield avvenuta in luglio 2020, quel provvedimento che prima autorizzava il passaggio di dati tra UE ed USA, ora non consente più di esportare i dati negli Stati Uniti e quindi utilizzare servizi di società statunitensi.
Ne è un chiaro esempio ciò che è successo a fine dicembre del 2021 in Germania:
“L'università statale RheinMain non è più autorizzata a integrare il servizio Cookiebot sul proprio sito web www.hs-rm.de. La decisione d’urgenza del tribunale amministrativo di Wiesbaden ne ha tassativamente vietato l’uso”.
Cookiebot infatti richiede, come da impostazione di default, di memorizzare i cookie sui suoi sistemi. Il problema è che questa memorizzazione comporta il trasferimento di dati dei visitatori del sito Web ai server di una società statunitense, utilizzando quelli della società cloud Akamai Technologies.
Nonostante il server si trovi nell'Unione Europea, a causa della legge cosiddetta "Cloud Act", anche le autorità Statunitensi hanno pieno accesso a tali server, e a tutti i dati personali degli utenti ivi contenuti.
Tale norma entra in contrasto con la sentenza della Corte di Giustizia Europea, rendendo di fatto sanzionabile l’uso di tali strumenti. Sanzione, ovviamente, in capo al proprietario del sito.
La scelta consigliata e che più ti tutela, in attesa che le autorità Statunitensi ed Europee trovino un punto di accordo per la regolamentazione del passaggio di dati verso gli Stati Uniti, è sicuramente quella di privilegiare società Italiane o Europee, e dove possibile, soluzioni che archiviano i dati necessari nell'unico punto in cui devono risiedere: ovvero nel tuo servizio hosting.
Consenso granulare
Il consenso granulare è quella facoltà che ha l'utente nella possibilità di esprimere il proprio consenso all'utilizzo dei suoi dati.
Nelle linee guida del 10 giugno 2021, il Garante, attuando i principi cardine del GDPR (privacy by design e privacy by default ), permette la possibilità di raggruppare visivamente i cookie e software di terze parti per categorie.
Ciò non toglie che il consenso deve poter essere espresso in maniera analitica, ovvero cookie per cookie, indipendentemente dal raggruppamento visivo.
Infatti al paragrafo "7.1 Il meccanismo di acquisizione del consenso", al titolo "v", il Garante dichiara:
[il banner dovrà allora contenere ] il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti - il cui elenco deve essere tenuto costantemente aggiornato, siano essi raggiungibili tramite specifici link ovvero anche per il tramite del link al sito web di un soggetto intermediario che li rappresenti - ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
In modalità analitica quindi, ovvero dettagliata, particolareggiata.
La domanda che ci si dovrebbe porre è:
"Il banner che hai scelto per il tuo sito web permette una scelta analitica come richiesto dal Garante ?
Oppure si limita a un consenso espresso esclusivamente per categorie ?"
Registro delle preferenze Cookie
Relativamente alla documentabilità dell'acquisizione del consenso, il Garante, nelle sue FAQ, chiarifica che:
"Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico".
Non occorre quindi nessun registro per documentare le preferenze Cookie.
Questo asseconda perfettamente il principio di "Privacy by default", secondo cui i titolari dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.
Un registro infatti è un archivio storico, che tra l'altro, per essere a norma, deve essere impostato in modo da fotografare l'ultima scelta dell'utente, e non tenere archiviate le scelte precedenti. Diversamente si andrebbe a realizzare una vera e propria profilazione, la quale richiederebbe l'espressione di un consenso specifico.
Fortunatamente, il Garante è molto chiaro anche su questo aspetto, e relativamente alla documentabilità dell'acquisizione del consenso, chiarisce anche che "[l'uso di un cookie tecnico] è sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso".
Non occorre quindi nessun registro cookie, in quanto la creazione di un registro immodificabile costituirebbe una violazione del GDPR in quanto un trattamento, per essere lecito, deve soddisfare una delle due condizioni: avere una base giuridica, oppure avere un espresso consenso.
Blocco preventivo
Per blocco preventivo si intende quell’obbligo per cui tutti i cookie che non sono tecnici devono essere bloccati, a meno che l'utente non esprima un consenso, tramite il tasto Accetta o tramite la scelta granulare effettuata personalizzando le impostazioni.
Questo significa che ogni software esterno va identificato e configurato in modo tale da attivarsi solamente se richiesto. E, attenzione, deve valere per OGNI genere di software, sia esso una mappa Google, un codice di Recaptcha (che serve a discriminare gli utenti reali dalle navigazioni da parte di robot, tramite l'analisi anche di precedenti dati di pagine visitate) o l'inclusione di un video in una pagina, per citare alcuni degli esempi più comunemente riscontrabili.
L'adeguamento al GDPR e alla Cookie Law è quindi molto più che includere "di facciata" una finestra di avviso che il sito web ha già installato dei cookie traccianti e comunicato dati ad aziende terze.
Adesso occorre realmente lo sforzo tecnico necessario per essere a norma onde, evitare sanzioni economicamente rilevanti.
Non è davvero il momento di ignorare questi aspetti, visto quanto riportato in precedenza ovvero:
- lo scenario mutevole e in evoluzione a causa della decadenza del Privacy Shield che consentiva la trasmissione di dati sugli USA
- l'intensificazione dell'attività ispettiva da parte degli organi di vigilanza, Guardia di Finanza compresa.
E tu ?
Nell'ambito dei siti web tuoi e dei tuoi clienti, hai compiuto delle scelte DAVVERO consapevoli ?
Ti invitiamo a commentare con il tuo punto di vista il nostro post cliccando qui.
