COOKIE: NUOVE LINEE GUIDA E SOLO 6 MESI PER ADEGUARSI

Il Garante della Privacy detta le linee guida a tutela degli utenti e in attesa di una nuova Direttiva Europea mette un limite alla profilazione on line e all’utilizzo dei dati personali raccolti sul web e utilizzati per finalità di marketing predisponendo linee guida specifiche e soprattutto chiare, che dovranno essere messe in pratica dai titolari dei siti web entro il 9 gennaio 2022. Limitando l’utilizzo ai più diffusi metodi di tracciamento oggi usati per raccogliere dati, obbligando il titolare del sito ad impostare di default solo cookie tecnici e a richiedere, con un’azione libera (non condizionata dall’impossibilità di visualizzare il sito) e verificabile, il consenso ad essere tracciati e a raccogliere i propri dati.

Il Garante italiano ha dimostrato una presa di posizione decisa e che non lascia dubbi a interpretazioni: il potere di decisione dei dati spetta agli utenti, anche (e forse soprattutto) su Internet.

L’aggiornamento delle precedenti Linee guida, ormai del 2014, si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori come i numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici, sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati, il crescente uso di tracciatori particolarmente invasivi e la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati. Non meno importante è stata la consultazione pubblica promossa alla fine dello scorso anno che ha evidenziato una grande insofferenza verso i cookie di tracciamento e soprattutto verso le azioni che ne sono conseguenza diretta, come i banner pubblicitari, la pubblicità personalizzata e i contatti marketing. Tutte attività per le quali, la maggior parte degli utenti, non è preventivamente informato e per il quale quindi non rilascia consenso.

D’ora in avanti il titolare di un sito web dovrà garantire, per impostazione predefinita, al momento del primo accesso ad un sito web, che nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Sarà inoltre obbligatorio indicare nell’informativa gli eventuali oggetti destinatari dei dati personali e i tempi di conservazione, mentre i cookie analytics, usati per valutare l’efficacia di un servizio, dovranno essere utilizzati solo a scopi statistici.

A conferma di quanto detto, si evidenzia come nella relazione annuale 2020 presentata venerdì 2 luglio, si evinca una necessaria quanto decisa azione del Garante italiano contro il marketing invasivo ed illecito, con il telemarketing che nel solo 2020 ha avuto un peso sanzionatorio pari a 57 milioni di euro.

E se i reclami in materia di marketing hanno riguardato, in assoluta prevalenza, il telemarketing, non sono mancate, in forte aumento anche queste, le segnalazioni per le comunicazioni commerciali via e-mail o sms. In questo settore permangono le segnalazioni portate all’attenzione del Garante che, in ragione della loro numerosità e della complessità, continuano a costituire il carico di lavoro assolutamente prevalente dell’Autorità.

In questo contesto vengono principalmente lamentate non solo la violazione del diritto di cancellazione o di opposizione all’ulteriore trattamento per finalità di marketing, ma anche l’assenza o la carenza di riscontro rispetto alle necessarie informazioni richieste, ad esempio, circa l’origine dei medesimi dati o dell’acquisizione del consenso.

Oltre a quanto sopra sono state evidenziate le segnalazioni relative alla liceità della raccolta dei dati online, con particolare riguardo alle formule di acquisizione del consenso e alla presenza di un’idonea informativa mentre si evidenzia il provvedimento di ammonimento (provv. 19 maggio 2020, n. 90, doc. web n. 9443795) a seguito del reclamo pervenuto da un cliente che lamentava la ricezione di e-mail promozionali da parte di una società senza una base legittima.

Per quello che riguarda i data analytics, in considerazione del fatto che questa attività è ormai caratterizzata come business autonomo a disposizione di piccole, medie e grandi imprese, il Garante ha evidenziato come il legittimo interesse previsto dal Reg. Europeo 679/2016 in molti casi non può essere una base giuridica idonea per l’attività di profilazione strettamente legata alle strategie di marketing e a trattamenti di dati effettuati mediante sistemi di data analytics finalizzati alla commercializzazione invasiva e personalizzata verso l’esterno.