Cookie, in vigore le nuove regole privacy: come adeguarsi per evitare sanzioni

15 Gennaio 2022

Dal 9 gennaio sono in vigore le nuove linee guida sui cookie dei siti web, presentate dal Garante Privacy a luglio. Le aziende che ancora non si sono messe in regola rischiano ora sanzioni. “Nelle prossime settimane partiranno le ispezioni”, fanno sapere dal Garante Privacy. Le sanzioni sono quelle, salate, del GDPR: fino al 4 per cento del fatturato annuale dell’azienda. Il Garante chiede insomma alle aziende di facilitare la vita agli utenti che navigano sui loro siti, con gli ormai noti (e famigerati) cookie banner. Tra l’altro deve essere possibile rifiutare tutti i cookie chiudendo il banner, con un clic sulla X; e non subirne più la riproposizione assillante, dopo il rifiuto. Fino a luglio invece – e ancora adesso con i siti non a norma – l’utente veniva spesso preso per sfinimento: accettare tutti i cookie era di gran lunga la scelta più comoda; rifiutare alcuni o tutti i cookie richiedeva alcuni clic in più, su varie caselle, a volte per altro impraticabili sul piccolo schermo del cellulare. E chi era riuscito a rifiutare i cookie, con una bella prova di pazienza, poi doveva averne altrettanta dopo: perché lo stesso sito poteva ignorare quella scelta e continuare a chiedere di accettarli.

Che devono fare le aziende

Dal punto di vista giuridico, la novità è che le aziende non potranno più usare cookie e altri strumenti di tracciamento sulla base del “legittimo interesse”; in altre parole dovranno sempre chiedere il consenso dell’utente. Unica eccezione: i cookie che non tracciano e non profilano. Quelli tecnici e assimilabili a loro, qui compresi anche quelli analitici (analytics) a patto che forniscano solo statistiche aggregate, quindi non traccino in alcun modo il singolo utente o computer, cellulare (niente indirizzo IP). Comunque l’uso di questi cookie deve essere comunicato nell’home page o nell’informativa generale del sito. Per i cookie di profilazione, tracciamento le nuove regole impongono una informativa in linguaggio semplice, resa anche in modalità multilayer e multi channel. L’utente deve poter chiudere il banner-informativa con un clic su una bella X ben visibile e questo clic equivale al rifiuto di tutti i cookie e altre tecniche di profilazione. Deve essere un comando per accettare i cookie e un link per scegliere in modo analitico cosa accettare e cosa rifiutare. E, come detto, l’azienda deve memorizzare questa informazione e non riproporre più la richiesta di consenso per almeno sei mesi.

Eccezione: può riproporre prima se sono mutate in modo significativo le condizioni del trattamento e sia impossibile per il gestore sapere se il cookie sia stato memorizzato sul dispositivo dell’utente (può capitare se si usano estensioni o modalità per “anonimizzare” la navigazione). Vietate alcune pratiche, comunque in disuso, come lo scrolling (quando i siti considerano accettati i cookie se l’utente fa scroll in basso nella pagina) e i cookie wall (i siti obbligano l’utente ad accettare i cookie per fornirgli informazioni o servizi).

«Necessario adeguarsi in fretta. Si rischiano davvero sanzioni per i cookie, come accaduto in Francia dove a fine anno l’autorità privacy ha sanzionato Facebook e Google per 60 e 150 milioni di euro», dice Rocco Panetta, avvocato.«Nella nostra esperienza alcune aziende italiane si sono adeguate in toto, altre per nulla e molte altre solo in parte. L’adeguamento parziale è frutto spesso dell’uso di soluzioni pronte», aggiunge.

Come devono adeguarsi le aziende

Il consiglio degli esperti è insomma di controllare manualmente l’adeguamento alle singole richieste del Garante Privacy; non affidarsi in toto a soluzioni o software automatici. Che comunque possono essere utili. Come dice l’avvocato Antonino Polimeni, «Il modo più veloce ed economico per adeguarsi è acquistare un tool. Ce ne sono molti in giro, tutti di qualità, ma occhio a non cadere nell’equivoco più comune: i tool vanno configurati, non fanno magie». «Ci sono alcune aziende che vendono i loro tool come se fossero consulenze legali, oppure vendono upgrade che aggiungono funzioni eccessive che superano il necessario, giocando un po’ col marketing e con la percezione delle aziende che acquistano. Non è così. I plugin, i saas, sono strumenti utilissimi e indispensabili per l’adeguamento, ma vanno sempre sottoposti al legale di fiducia o al DPO per la configurazione e per la suddivisione dei cookie in categorie. Che poi rivolgersi agli avvocati vuol dire anche far assumere loro la responsabilità per eventuali non conformità», dice Polimeni.

Fonte: Il Sole 24 Ore

Articolo precedente Modulo spaziale «Made in Italy»: il piano di Dallara per portare l’Emilia in orbita

Articolo successivo Il “liberi tutti” che divide: mini-quarantena e niente tampone per i positivi asintomatici