Internet

Cookie, in vigore le nuove regole privacy: come adeguarsi per evitare sanzioni

Dal 9 gennaio sono in vigore le nuove linee guida sui cookie dei siti web, presentate dal Garante Privacy a luglio

di Alessandro Longo

4' di lettura

Dal 9 gennaio sono in vigore le nuove linee guida sui cookie dei siti web, presentate dal Garante Privacy a luglio. Le aziende che ancora non si sono messe in regola rischiano ora sanzioni. “Nelle prossime settimane partiranno le ispezioni”, fanno sapere dal Garante Privacy. Le sanzioni sono quelle, salate, del GDPR: fino al 4 per cento del fatturato annuale dell'azienda. Il Garante chiede insomma alle aziende di facilitare la vita agli utenti che navigano sui loro siti, con gli ormai noti (e famigerati) cookie banner. Tra l'altro deve essere possibile rifiutare tutti i cookie chiudendo il banner, con un clic sulla X; e non subirne più la riproposizione assillante, dopo il rifiuto. Fino a luglio invece – e ancora adesso con i siti non a norma – l'utente veniva spesso preso per sfinimento: accettare tutti i cookie era di gran lunga la scelta più comoda; rifiutare alcuni o tutti i cookie richiedeva alcuni clic in più, su varie caselle, a volte per altro impraticabili sul piccolo schermo del cellulare. E chi era riuscito a rifiutare i cookie, con una bella prova di pazienza, poi doveva averne altrettanta dopo: perché lo stesso sito poteva ignorare quella scelta e continuare a chiedere di accettarli.

Che devono fare le aziende

Dal punto di vista giuridico, la novità è che le aziende non potranno più usare cookie e altri strumenti di tracciamento sulla base del “legittimo interesse”; in altre parole dovranno sempre chiedere il consenso dell'utente. Unica eccezione: i cookie che non tracciano e non profilano. Quelli tecnici e assimilabili a loro, qui compresi anche quelli analitici (analytics) a patto che forniscano solo statistiche aggregate, quindi non traccino in alcun modo il singolo utente o computer, cellulare (niente indirizzo IP). Comunque l'uso di questi cookie deve essere comunicato nell'home page o nell'informativa generale del sito. Per i cookie di profilazione, tracciamento le nuove regole impongono una informativa in linguaggio semplice, resa anche in modalità multilayer e multi channel. L'utente deve poter chiudere il banner-informativa con un clic su una bella X ben visibile e questo clic equivale al rifiuto di tutti i cookie e altre tecniche di profilazione. Deve essere un comando per accettare i cookie e un link per scegliere in modo analitico cosa accettare e cosa rifiutare. E, come detto, l'azienda deve memorizzare questa informazione e non riproporre più la richiesta di consenso per almeno sei mesi.

Loading...

Eccezione: può riproporre prima se sono mutate in modo significativo le condizioni del trattamento e sia impossibile per il gestore sapere se il cookie sia stato memorizzato sul dispositivo dell'utente (può capitare se si usano estensioni o modalità per “anonimizzare” la navigazione). Vietate alcune pratiche, comunque in disuso, come lo scrolling (quando i siti considerano accettati i cookie se l'utente fa scroll in basso nella pagina) e i cookie wall (i siti obbligano l'utente ad accettare i cookie per fornirgli informazioni o servizi).

«Necessario adeguarsi in fretta. Si rischiano davvero sanzioni per i cookie, come accaduto in Francia dove a fine anno l'autorità privacy ha sanzionato Facebook e Google per 60 e 150 milioni di euro», dice Rocco Panetta, avvocato.«Nella nostra esperienza alcune aziende italiane si sono adeguate in toto, altre per nulla e molte altre solo in parte. L'adeguamento parziale è frutto spesso dell'uso di soluzioni pronte», aggiunge.

Come devono adeguarsi le aziende

Il consiglio degli esperti è insomma di controllare manualmente l'adeguamento alle singole richieste del Garante Privacy; non affidarsi in toto a soluzioni o software automatici. Che comunque possono essere utili. Come dice l'avvocato Antonino Polimeni, «Il modo più veloce ed economico per adeguarsi è acquistare un tool. Ce ne sono molti in giro, tutti di qualità, ma occhio a non cadere nell’equivoco più comune: i tool vanno configurati, non fanno magie». «Ci sono alcune aziende che vendono i loro tool come se fossero consulenze legali, oppure vendono upgrade che aggiungono funzioni eccessive che superano il necessario, giocando un po’ col marketing e con la percezione delle aziende che acquistano. Non è così. I plugin, i saas, sono strumenti utilissimi e indispensabili per l’adeguamento, ma vanno sempre sottoposti al legale di fiducia o al DPO per la configurazione e per la suddivisione dei cookie in categorie. Che poi rivolgersi agli avvocati vuol dire anche far assumere loro la responsabilità per eventuali non conformità», dice Polimeni.

«Non basta mettere a norma il banner cookie. L’errore più frequente è quello di dimenticarsi del fatto che serve un’area all’interno del sito, sempre accessibile (magari tramite link nel footer), che consenta all’utente di modificare in ogni momento le proprie preferenze sui cookie», continua Polimeni. L'avvocato Vittorio Colomba avverte sulla necessità di un adeguamento reale e non solo formale: «L’eventuale inadeguatezza delle informative finirebbe, inevitabilmente, per inficiare la validità dei successivi consensi, e i profili di illegittimità presenti durante la fase di raccolta dei dati trascinerebbero i propri effetti su tutte le successive operazioni». Anche se gli strumenti sono utili, non ci sono scorciatoie: «Le aziende dovranno fare una approfondita analisi dei loro processi legati ai propri siti web e alle app, aggiornare le informative e gli strumenti di raccolta dei consensi, di modo che questi siano sempre dimostrabili e incontestabili», dice l’avvocato Elio Franco.

I vantaggi

Gli esperti concordano che lo scopo dell'adeguamento non è solo evitare le sanzioni.«Un cookie fatto bene, che ispiri la fiducia dell’utente, porta dei benefici all’azienda. Ci sono studi fatti su ampissimi campioni di aziende che dimostrano che, trattando i dati in modo etico (e quindi con una comunicazione chiara sugli utilizzi del dato e su come concedere o revocare il consenso), si ottiene un ROI fino a cinque volte superiore», dice Polimeni. La fiducia paga. Secondo il Pew Research center, metà degli americani hanno già deciso almeno una volta di non usare un servizio o di non acquistare il prodotto a causa di dubbi e preoccupazioni su come venivano trattati i loro dati. «Crescita economica, rispetto della normativa, approccio etico al trattamento e alla valorizzazione dei dati personali vanno ormai di pari passo», concorda Panetta.


Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti