L’Unione Europea ha approvato un nuovo Regolamento sulla protezione dei dati personali (General Data Protection Regulation, “GDPR” o “Regolamento”), che sarà pienamente attuato dal 25 maggio 2018, e che sostituirà l’attuale Codice Privacy (d.lgs. 196/2003) e le precedenti direttive europee in materia. Il Regolamento è stato introdotto per il rafforzamento della sicurezza e la protezione dei dati in UE, nonché per armonizzare la disciplina europea in ambito privacy, e sarà applicabile in tutti gli Stati Membri. Le nuove regole permettono una maggiore trasparenza, maggiori diritti per i cittadini e più responsabilità per chi tratta questi dati.
General Data Protection Regulation, “GDPR”
Il Regolamento prevede che le aziende rivedano i propri sistemi e le proprie procedure di gestione dei dati, per garantirne una maggiore protezione e mantenere un efficace controllo sui flussi di circolazione di tali dati. Esso si applica a tutte le aziende che, indipendentemente dalla loro collocazione geografica, processano o conservano i dati personali delle persone fisiche che risiedono nell’Unione Europea. Si definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Non è necessario elencare i cookie nome per nome o fornire un sistema di opt-out integrato sul tuo sito
Con l’arrivo del 25 maggio 2018, il GDPR ha creato ed integrato degli obblighi legati all’utilizzo dei cookie, già normati in precedenza. Per questo motivo, vogliamo cogliere l’occasione per chiarire alcuni dei malintesi più comuni relativi ai cookie e al GDPR sulla base delle domande di precisazioni ricevute dai nostri clienti ed utenti del sito.
Alla luce di questo in quale maniera il GDPR integra l’utilizzo dei cookie?
L’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law). Il modo più corretto di vedere il quadro è quello di ritenerela Direttiva ePrivacy come una normativa che procede in modo sinergico con il GDPR, che non viene abrogata da quest’ultimo. La Direttiva ePrivacy sarà abrogata dal Regolamento ePrivacy, che opererà insieme con il GDPR per regolamentare i requisiti per l’uso dei cookie. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.
È necessario elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati dal mio sito web?
No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome. Tuttavia, il gestore del sito è tenuto ad indicare chiaramente le loro categorie e finalità. Questa decisione da parte del legislatore è probabilmente motivata dalla volontà di evitare che ogni gestore di siti web sia costretto a monitorare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al suo controllo. Ciò sarebbe infatti irragionevole, nonché inutile per l’utente finale.
Devo fornire agli utenti un meccanismo per gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente dal mio sito web?
No, la Cookie Law non obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal tuo sito, ma solo a:
- predisporre un meccanismo chiaro per ottenere un consenso informato e attivo;
- fornire un metodo per la revoca del consenso;
- garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.
Il meccanismo di opt-out non necessariamente deve essere installato direttamente sul proprio sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo sufficiente ed utile a gestire o revocare il consenso. Possiamo indicare non solo le opzioni a disposizione all’interno del browser, ma anche gli strumenti di terze parti e i loro relativi link ai moduli di consenso in modo da rendere effettivamente responsabili della gestione dell’opt-out i proprietari di questi strumenti di tracciamento (es: Google Analytics).
Devo registrare i consensi ai cookie per ogni utente?
La Cookie Law non impone la tenuta di un registro dei consensi, ma stabilisce la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati. Il modo più semplice per soddisfare questo requisito è quello di adottare una soluzione cookie che utilizzi un meccanismo di blocco iniziale in quanto, in questo caso, i codici che installano cookie sono eseguiti solo dopo aver ottenuto il consenso. In questo modo, infatti, il fatto stesso che i codici siano stati eseguiti è una prova sufficiente del consenso.