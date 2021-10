Il comune denominatore di tutte queste decisioni è proprio la carenza delle informazioni e della trasparenza verso l'interessato, che non era in grado di percepire come venissero trattati i propri dati o di rendere un consenso idoneo.

I rischi di incorrere in multe sono molto alti anche per le realtà più piccole, per le quali le sanzioni, a differenza dei grandi big della tecnologia, possono avere un impatto significativo.

Da non sottovalutare poi le conseguenze sull'immagine dell'azienda conseguenti alla eventuale sanzione accessoria della pubblicazione del provvedimento.

Cookie e legittimo interesse

Le linee guida definiscono in modo chiaro i cookie come "identificatori attivi" tramite i quali le persone fisiche possono essere associate a identificativi online prodotti da dispositivi, applicazioni o strumenti e protocolli e tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.



Rispetto ai cookie la normativa conferma e specifica ancora meglio la differenza principale tra cookie tecnici, utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio", e cookie di profilazione "utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte (pattern)".

Mentre per l'utilizzo di meri cookie tecnici il titolare dovrà limitarsi a rendere idonea informativa, nel caso dei cookie di profilazione dovrà essere raccolto un consenso preventivo e idoneo, escludendo per la prima volta in modo esplicito la discriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.



Il Garante si sofferma anche sulla questione della reiterazione delle richieste di consenso, che non devono danneggiare l'utente.

Anche la continua comparsa del banner contenente l'informativa breve può infatti essere invasiva e incidere sulla libertà dell'utente nell'espressione del consenso, portandolo, pur di fare sparire il banner, ad accettare trattamenti a cui altrimenti non avrebbe acconsentito.

Le aziende, specialmente nel caso in cui l'utente abbia rifiutato cookie di profilazione, dovranno quindi adoperarsi per non riproporre la stessa richiesta, evitando di presentare nuovamente il banner all'utente addirittura per sei mesi.

Peraltro, l'utente dovrà essere messo in grado di modificare autonomamente in qualunque momento le sue scelte.

Le ripercussioni per i siti delle aziende saranno considerevoli a partire dalla necessità di revisionare i propri sistemi e i dati raccolti e tenere traccia di tutti i cookie e delle tempistiche per non riproporli.



Il fatto di rendere sempre più facile il rifiuto da parte dell'utente, inoltre, avrà un impatto significativo sulla raccolta dei dati, per esempio per attività di marketing considerando che le nuove misure, come la possibilità di esprimere il diniego ai cookie semplicemente chiudendo il banner cliccando sulla "crocetta" presumibilmente porteranno le aziende a raccogliere meno informazioni.

Sei mesi per adeguarsi: Privacy by Design e ruolo fondamentale del DPO

È di solo sei mesi il periodo concesso dall'Autorità per l'adeguamento alle nuove linee guida un arco temporale durante il quale le aziende dovranno adoperarsi per rivedere le proprie politiche nel trattamento dei dati raccolti attraverso i cookie.

Per le aziende il lavoro per adeguarsi sui cookie dovrà essere preciso e puntuale dal punto di vista della messa a norma e aggiornamento.



Molte in realtà si sono già adeguate e abbiamo notato il diffondersi di un numero sempre maggiore di strumenti e servizi per la gestione dei cookie.

Un elemento cardine di tale adeguamento sarà l'applicazione del principio di Privacy by design, che prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia fin dalla primissima fase di progettazione.

Quindi sarà essenziale sviluppare i siti internet considerando fin dall'inizio le indicazioni contenute nel provvedimento dell'Autorità ai fini di individuare le modalità e le tecnologie più adeguate a garantire la liceità dei trattamenti posti in essere.

L'omessa valutazione Privacy by design è stata, fra le altre, oggetto della sanzione comminata all'INPS lo scorso marzo.

L'istituto è stato sanzionato per 300.000 euro dal Garante per aver violato il regolamento europeo in materia di protezione dei dati personali.



Tra le violazioni accertate è emerso fra l'altro che l'INPS, nel procedere ad un nuovo trattamento di dati che riguardavano le verifiche sulle attribuzioni delle indennità da Covid, non aveva coinvolto fin dall'inizio nella valutazione il proprio Data Protection Officer (DPO) e specialmente questo nuovo trattamento non era stato preceduto da una valutazione formale di privacy by design né da una valutazione d'impatto.

Le realtà aziendali che hanno già adottato un modello privacy forte sapranno affrontare meglio e con fatica minore questo adeguamento e rispettare pienamente la scadenza dei sei mesi.

Il mio consiglio per tutte, e soprattutto per quelle che si occupano di servizi come Kirey Group che sono sempre sotto l'occhio vigile degli auditor e dei propri clienti, è quello di adottare un atteggiamento che consenta loro di prevenire le problematiche in fatto di cookie, coinvolgendo fin dall'inizio il proprio DPO e gli altri attori coinvolti nelle scelte.



Anche se molti considerano la privacy come un mero costo ed un onere eccessivo è altrettanto vero che, nel momento in cui un'organizzazione è in grado di armonizzare questi adempimenti con gli altri processi aziendali, il rispetto della normativa diventa più semplice.

In sintesi, un efficace modello organizzativo di gestione della privacy può rappresentare anche un'opportunità utile a promuovere una migliore gestione dei dati, conferendo una corretta e piena visione di insieme.

Gaia Magrini, Data Protection Officer e Principal Consultant di Kirey Group