Alessio, puoi aggiornarci su cosa sta succedendo ultimamente in ambito privacy e trattamento dei dati personali?
Volentieri! In questo momento ci sono 2 temi caldi.
Il primo è legato alla pubblicazione in Gazzetta Ufficiale del provvedimento 263 del 10 giugno 2021 del Garante della Privacy (“Linee guida cookie e altri strumenti di tracciamento). Il provvedimento disciplina le modalità con cui i proprietari di siti web possono permettere agli utenti di prestare o rifiutare il consenso al trattamento dei dati personali.
Con questo provvedimento, il Garante recepisce le linee guida indicate nel regolamento europeo 679/2016, con cui è stata introdotta la GDPR. Le novità sono tante. Ad esempio, il legislatore impone che il banner abbia sempre un tasto per rifiutare il consenso, e che questo possa essere reso sia da un pulsante o da una X. Oppure che il banner dia all’utente la possibilità di scegliere a quali cookie prestare il proprio consenso. L’utente potrà quindi accettare i cookie utilizzati a fini statistici ma non quelli utilizzati a fini di marketing, o viceversa.
Le conseguenze per chi possiede siti web sono rilevanti. Chiunque tracci i dati dei siti dovrà fare degli interventi di adeguamento più o meno importanti in base alla quantità, al tipo di dati raccolti e all’utilizzo a cui sono destinati. Da ora in poi, il consenso o il rifiuto dovranno essere espliciti: non saranno più valide le modalità di accettazione implicita, come ad esempio quelle basate sullo scroll della pagina.
Il Garante impone inoltre che l’utente sia sempre in grado di poter cambiare i consensi già dati. Quindi nel sito ci deve essere un’area che permetta agli utenti di fare questa operazione.
Infine, in base al provvedimento, le aziende devono salvare in un database tutte le dichiarazioni di consenso. In questo modo, se una persona cita l’azienda in giudizio per violazione della privacy, l’azienda deve essere in grado di dimostrare che quella persona ha prestato il consenso al trattamento dei propri dati personali.
Il secondo tema riguarda gli strumenti di analytics e la loro compatibilità con la GDPR. Su questo però c’è ancora un po’ di confusione.
In Europa, alcuni garanti hanno dichiarato che i cookie possono essere usati a patto che non permettano di risalire a un utente preciso e che i dati siano utilizzati a solo scopo statistico. In questo scenario i cookie degli strumenti di analytics possono essere equiparati a cookie tecnici, quei cookie necessari al funzionamento del sito.
I dati raccolti con queste modalità diventano quasi dati aggregati, perché non individuano un singolo utente, ma una serie di caratteristiche generali degli utenti che visitano il sito. Questa potrebbe essere una soluzione a uno dei problemi che spaventa di più le aziende, cioè il calo repentino di traffico causato dalle nuove regole sul consenso. Calo che che non è reale ma legato alla mancanza di tracciamento.
C’è anche un altro aspetto da considerare, cioè cosa succede ai dati dopo che sono stati raccolti. Di recente, il Garante per la Privacy dell’Austria ha dichiarato che l’utilizzo di Google Analytics non è conforme al regolamento GDPR perché i dati raccolti da questo strumento sono trasmessi negli Stati Uniti, dove le regole sono diverse. E l’Austria non è il solo paese ad avere preso questa posizione. A fine febbraio anche la Francia ha dichiarato che Google Analytics non è conforme ai regolamenti europei e quindi non può essere usato in Francia.
Il problema di fondo è che ancora manca un accordo tra Stati Uniti ed Europa sul modo in cui i dati debbano essere trattati.