Normativa

Il 9 gennaio scorso è scaduto il termine per rendere conformi i servizi web che utilizzano i cookie e altri strumenti di tracciamento con le Linee Guida emanate dal Garante nel giugno 2021. I titolari del trattamento, oltre a verificare la correttezza delle informazioni riportate nel loro Registro dei Trattamenti, nel caso in cui utilizzino cookie o altri identificatori “non tecnici” sono tenuti a mostrare un “banner” al momento dell’accesso al sito o al servizio web con:

• l’indicazione che il sito o il servizio web utilizza, previo consenso dell’interessato, anche cookie di profilazione e/o altri strumenti di tracciamento
• un comando evidente per rifiutare il consenso all’uso dei cookie non tecnici
• un comando per accettare tutti i cookie e le altre eventuali tecniche di tracciamento
• un link alla privacy policy con l’informativa completa di tutti contenuti previsti dagli artt. 13 e 14 del GDPR
• un link ad un’area nella quale poter scegliere tutte le funzionalità di tracciamento e i cookie per i quali si presta il consenso, poter modificare le scelte già fatte e poter prestare il consenso a tutti i cookie o revocarlo con un’unico comando. Questa area dovrà essere raggiungibile anche tramite un link posizionato nel footer di qualsiasi pagina del dominio

Il Garante ricorda che non è un consenso valido all’uso dei cookie non tecnici e di altri strumenti di tracciamento la semplice prosecuzione della navigazione dopo aver preso visione del banner o lo “scrolling” della pagina, così come non è conforme il meccanismo con cui un utente è obbligato ad accettare tutti i cookie e gli altri strumenti di tracciamento se vuole accedere ad un sito o a un servizio web (c.d. cookie wall).

I siti e i servizi web non conformi possono esporre il titolare al rischio di un trattamento illecito e alle relative sanzioni.

Il Garante per la Protezione dei Dati Personali dedica una sezione del sito alle istruzioni per utilizzare correttamente i cookie e gli strumenti di tracciamento a questo LINK.

In seguito ad alcune denunce presentate dall’organizzazione NOYB fondata dall’avvocato e attivistsa austriaco Maximilian Schrems, l’autorità austriaca per la protezione dei dati ha dichiarato illegale l’uso di Google Analytics in quanto viola il GDPR. Secondo l’autorità austriaca, i siti che utilizzano Google Analytics tramite questo servizio esportano dati personali dei loro visitatori negli Stati Uniti, e questi dati possono essere resi noti alle autorità in un quadro normativo (quello statunitense) non compatibile con quello europeo, come è emerso anche nel caso della decisione sull’annullamento del “Privacy Shield” nel 2020. Quali implicazioni pratiche possa avere questa decisione è difficile dirlo al momento ma, dato che NYOB ha presentato 101 segnalazioni in diversi paesi europei è probabile che altre decisioni simili arrivino nei prossimi giorni. In questa ottica potrebbero essere dichiarati illeciti molti trattamenti di dati personali che rientrano nell’ambito di applicazione del GDPR effettuati tramite cloud provider americani e non è pensabile sostituire tutti questi servizi con altri simili forniti da aziende che operano esclusivamente sul territorio europeo o equivalente in termini di garanzie “privacy”. L’unica soluzione sembrerebbe essere un nuovo e più “robusto” accordo tra UE e Stati Uniti, nel frattempo una percentuale enorme di organizzazioni pubbliche e private è, almeno in teoria, esposta a rischi di non conformità.