Hai un sito internet?
Allora le nuove linee guida sulla gestione dei cookie e il piano ispettivo del Garante privacy per il primo semestre 2022 riguardano anche te.
L’Autorità Garante per la protezione dei dati personali (Garante Privacy), con Deliberazione del 22 dicembre 2021 diffusa a fine gennaio 2022 ha comunicato che tra i target oggetto di particolare attenzione in fatto di attività ispettiva per il primo semestre 2022 ci saranno, tra pochi altri, i “trattamenti di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookie”.
Non solo, dunque, la scadenza del termine per conformarsi alle nuove linee guida in fatto di cookie, spirato lo scorso 10 gennaio, ma anche il piano ispezioni del Garante contribuisce ad accendere i riflettori sul tema dell’utilizzo di cookie (e altri tracciatori online) sui siti web. Anzi, la combinazione delle due circostanze rende quanto mai urgente, per tutte le aziende, verificare la propria conformità alla disciplina vigente.
Garante privacy 2022: controlli e sanzioni
La particolare attenzione del Garante in materia è, infatti, ormai conclamata e si tradurrà in controlli e sanzioni, diretti verso qualunque organizzazione dotata di un sito web e non, come pensano molti, solo alle Big Tech, alle Telco o ai grandi colossi industriali.
In questo senso, è bene ricordare sempre che ogni anno il Garante rinnova il protocollo d’intesa con il Nucleo speciale della Guardia di Finanza, il quale prevede che i controlli da parte di quest’ultimo possano essere svolti anche per via telematica.
Tradotto, se è vero che le autorità hanno mezzi non illimitati ed è dunque ragionevole supporre che distribuiscano le loro attenzioni in modo non perfettamente uniforme, privilegiando i player più esposti, è altrettanto vero (e, parola di operatori del settore, accade!) che un controllo, specialmente riguardante la compliance dei siti web, può avvenire a carico di chiunque e, anzi, ne vengono svolti quotidianamente.
Importante sottolineare che, peraltro, anche quando il controllo abbia per oggetto, in prima battuta, una specifica area di adempimenti (ad esempio la compliance in materia di utilizzo dei cookie), nulla vieta poi alle autorità di controllo di espandere il perimetro dell’indagine, laddove ravvisino lacune importanti nella compliance.
Le aree di controllo del Garante essenziali per una privacy policy corretta
Attenzione, dunque, alle informative o alle privacy policy ma anche a quel “corpus” di misure documentali e tecniche che sta alla base della GDPR compliance.
Ci riferiamo, ad esempio, al Registro dei trattamenti del Titolare, alla nomina di un DPO se obbligatorio, alla Valutazione dei rischi, alla corretta informazione dei dipendenti e dei fornitori circa i trattamenti di dati personali a loro riferiti, come anche agli adempimenti in fatto di videosorveglianza, ove presente (peraltro anch’essa posta tra le priorità del piano ispettivo del primo semestre 2022, come i cookie).
Ecco i principali punti che saranno oggetto di verifica, anche sulla base di quanto previsto dalle linee guida emanate nel giugno del 2021:
- Utilizzo sul sito di soli cookie tecnici (o analytics di terze parti, al ricorrere delle circostanze indicate nelle linee guida) o anche di cookie di diversa natura (es. profilazione, analytics non anonimi, statistici). Infatti, se nel primo caso è sufficiente indicare la circostanza con una breve informativa nella home del sito, in tutti gli altri casi è necessario provvedere a quanto segue;
- Esistenza di un banner a comparsa immediata e di adeguate dimensioni che contenga l’indicazione dell’utilizzo di cookie (ad es. di profilazione), che lo fa previo consenso, e di un link alla privacy policy contenente l’informativa completa;
- Verifica della presenza nel banner dell’indicazione per cui, alla chiusura del banner (es. clic sulla classica “X”), si procederà al solo utilizzo dei cookie attivi di default, ovvero gli unici che non prevedono la richiesta di un consenso (tecnici o equiparati);
- Verifica della circostanza per cui il sito sia effettivamente impostato in modo tale che, a meno di un consenso inequivocabile espresso dall’utente (che non può consistere nel mero “scroll” della pagina o nel continuare la navigazione), tutti i cookie non tecnici o equiparati saranno disattivati (privacy by default);
- Esistenza di un comando, nel banner, che consenta di accettare tutti i cookie e un link per accedere ad un’altra area che consenta di scegliere, invece, in modo analitico le funzionalità, le terze parti e i cookie che l’utente vuole installare, escludendo le altre e di un comando che consenta di dare il consenso o revocarlo, se non fatto nel layer precedente;
- La presenza di un segno grafico che indichi anche in modo essenziale lo stato dei consensi resi o revocati e che funga da comando utile a modificare o aggiornare i consensi resi;
- L’assenza di pratiche generalmente illecite come la reiterazione immotivata di richiesta di consenso, scrolling, cookie wall, o l’indicazione motivata della liceità delle stesse nel proprio caso specifico;
- Capacità, secondo il principio dell’accountability, di documentare e motivare tutte le scelte compiute.
Soluzioni IT per una corretta privacy policy
Il tutto, ovviamente, presuppone un’adeguata consapevolezza circa i servizi e i tool utilizzati dal proprio sito, un’analisi degli stessi sotto i profili privacy e una definizione di quanto è necessario fare nel proprio specifico caso, attività non semplice né rapida.
Ricordiamo sempre che, ai sensi dell’articolo 83 del GDPR, le sanzioni in caso di inadempimenti possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo.
Se qualcuno dubitasse della realisticità di tali soglie, sarebbe bene ricordare che, ad esempio, recentemente sono state comminate sanzioni anche molto ingenti.
Sono stati inflitti, ad esempio, 400.000 euro di sanzione a una Società che aveva tenuto condotte illecite (campagna di SMS marketing affidata a fornitore, anch’esso sanzionato per 200.000 euro, senza controllare che quest’ultimo si conformasse alle condizioni privacy previste dal contratto siglato tra i due) pur non trattandosi di grandi player globali del tech o, ancora, sanzioni meno corpose ma pur sempre di entità critica (90.000 euro) ad altre società per non aver dato riscontro alle richieste del Garante.
Vuoi saperne di più sull’adempimento alle nuove linee guida 2022 del Garante della Privacy?
