E’ stato un piacere per me intervistare Guido Scorza, Componente del Collegio del Garante per la protezione dei dati personali, rispetto a quello che sarà lo scenario a partire dall’entrata in vigore delle linee guida del Garante il 10 gennaio 2022.

 

Ha avuto la gentilezza di condividere con noi i suoi pareri in merito all’impatto che tali linee guida avranno sull’ecosistema digitale così come alcune delucidazioni pratiche su come rendere i banner di consenso conformi alla normativa. Continua a leggere per saperne di più.

 

Sommario:

 

 


 

Un piccolo preambolo sulle linee guida

 

Nel luglio scorso, il Garante ha seguito a ruota l’approccio adottato circa un anno fa dalla CNIL e ha impostato un termine di 6 mesi per la messa in conformità con le sue linee guida. La data di scadenza? 10 gennaio 2022. Superata questa data, il Garante comincerà la sua attività sanzionatoria nei confronti di qualsiasi sito web o applicazione che non non si sarà adeguato alla normativa.


Le nuove linee guida hanno il compito di correggere/modificare tutti quei comportamenti volti alla raccolta scorretta dei dati personali degli utenti. A tale proposito Didomi ti propone una Consent Managament Platform, ovvero una piattaforma di gestione del consenso, che ti aiuta a raccogliere, memorizzare ed utilizzare il consenso dell’utente su più punti di contatto e conformemente alla normativa. E c’è di più: puoi persino customizzare la tua soluzione secondo l’immagine del tuo marchio!

 

Blog Garante InfoLa Consent Management Platform (CMP) di Didomi sia su web che su mobile - Ti aiuta a gestire e ottimizzare la raccolta del consenso degli utenti su tutti i tuoi canali.

 

Scopri la CMP

 

I cambiamenti legali in termini di cookie e altri strumenti di tracciamento sono numerosi e li abbiamo già visti insieme in altri articoli di blog

 

Vediamo adesso di rispondere, insieme all’Avvocato Guido Scorza, ad alcune delle domande che vengono poste più frequentemente rispetto a quella che sarà la nuova normativa Garante.

 

La “X” sul banner è considerata obbligatoria o sarà sufficiente un bottone “Rifiuta tutto”?

 

Le linee guida chiariscono che il ricorso alla “X” in alto a destra è solo una soluzione proposta, a titolo esemplificativo, al mercato.

 

Il principio dell’accountability introdotto con il GDPR affida a ogni singolo titolare del trattamento il diritto-dovere di scegliere con quali modalità adempiere al GDPR medesimo: è, pertanto, certamente legittimo che i titolari del trattamento identifichino soluzioni alternative alla “X”.

 

È ovvio, peraltro, che ogni diversa soluzione dovrà, comunque, dare rigorosa attuazione al

principio che il Garante ha proposto di attuare attraverso la “X”: l’utente atterrando su un sito deve poter proseguire la navigazione senza prestare alcun consenso all’installazione dei cookie e senza dover necessariamente manifestare una volontà negativa all’installazione dei cookie, ovvero fare opt-out.

 

In questo senso si è ritenuto che la “X” rappresentasse un simbolo che ha già acquisito sufficiente rappresentatività nel senso di indicare l’azione di chi intende proseguire un’azione digitale senza manifestare alcuna diversa volontà negoziale. Ma opzioni diverse, come detto, sono certamente possibili.

 

Identificare quali siano coerenti con il richiamato principio, tuttavia, compete ai singoli titolari del trattamento nella dimensione dell’accountability e, quindi, non mi è possibile “validarne” talune e non talaltre.

 

È, infine, evidente che la convergenza della più parte del mercato su una medesima soluzione simbolica avrebbe svolto – e anche da qui l’idea di suggerire il ricorso alla “X” – e svolgerebbe un’importante funzione di standardizzazione capace di rendere più trasparenti e, quindi, più libere le scelte degli utenti.

 

Didomi riassume:

Secondo quanto chiarito dal Garante, la “X” in alto a destra del banner non è resa obbligatoria. Altre soluzioni sono certamente possibili. Rimane rigoroso il rispetto del principio del Garante che dice che qualsiasi utente che atterra su un qualsiasi sito web, debba poter navigare tranquillamente senza avere l’obbligo di compiere un’azione, positiva o negativa che sia, su tale sito web.

 

Le nuove linee guida sono indirizzate solo al mondo publisher o a tutti i settori presenti sul mercato?

 

Le linee guida proseguono sulla scia di quelle del 2014. Se da un lato la normativa che mirano a chiarire è la medesima, ossia la Direttiva e-privacy, dall’altro una revisione si era resa necessaria perché non si poteva non tener conto dei principi introdotti con il Regolamento UE (GDPR). Questi principi spaziano da una maggior attenzione all’effettività del consenso prestato dall’interessato al rispetto del principio di “accountability” e quelli di “privacy by design e by default”.

 

Questa premessa per dire che non vi sono novità di rilievo in quanto il destinatario primario resta sicuramente il publisher (o “prima parte”) ma, in generale, le linee guida sono rivolte a chiunque ricorra a cookie o altri marcatori per tracciare l’utente attraverso il suo dispositivo.

 

Qual è l'impatto che considerate le linee guida possano avere sul mercato?

 

Le nuove linee guida chiariscono una serie di vecchie discipline sulla privacy nelle comunicazioni elettroniche, come ad esempio la Direttiva del 2002 relativa al trattamento dei dati personali.

 

In tale contesto, in linea di principio, credo possa dirsi che per chi aveva applicato in maniera rigorosa le precedenti linee guida ed aveva, eventualmente, apportato qualche correttivo, nell’ottica dell’accountability, a seguito dell’entrata in vigore del GDPR, l’impatto delle nuove linee guida dovrebbe essere modesto.

 

Non ci sfugge, naturalmente, che la precedente disciplina – specie come integrata e corretta dal GDPR – aveva formato oggetto di diffuse e reiterate violazioni ed era stata disattesa da molti: in tanti, ad esempio, avevano ritenuto di identificare nel legittimo interesse una valida base giuridica per l’installazione dei cookie e altrettanti avevano abusato e frainteso le indicazioni in relazione alla possibilità di usare il cosiddetto scroll bar come soluzione per la raccolta del consenso degli utenti.

 

Per chi si trovasse in queste condizioni, inevitabilmente, le nuove linee guida comporteranno una compressione della percentuale di consensi raccolti, percentuale che diventerà meno plebiscitaria di quanto spesso accaduto sin qui. Si tratta, tuttavia, di un effetto fisiologico del rispetto delle regole e dell’effettivo riconoscimento agli interessati dei diritti loro spettanti.

 

Ci sarà un periodo di tolleranza successivamente al 10 Gennaio per permettere alle aziende di mettersi in conformità?

 

Al momento della pubblicazione delle linee guida, il 10 giugno 2021, è stato previsto un periodo di tolleranza di 6 mesi (a decorrere dalla pubblicazione in Gazzetta Ufficiale avvenuta il 9 luglio 2021) proprio per permettere a tutti di organizzarsi qualora vi fosse la necessità di apportare modifiche ai propri sistemi.

 

Ulteriori proroghe non farebbero l’interesse di nessuno e, in particolare, sarebbero poco

rispettose di chi si è impegnato per farsi trovare preparato alla scadenza. Ciò non vuol dire che dal 10 gennaio il Garante terrà un atteggiamento persecutorio nei confronti degli operatori. 

 

Dico spesso e ripeto anche, in questo caso, che sanzionare un titolare del trattamento per il Garante non è un successo ma una sconfitta perché significa che non è riuscito a orientare il mercato nella giusta direzione e a evitare che i diritti degli interessati venissero violati.

 

Per maggiori informazioni sulla conformità al Garante Privacy o su soluzioni di conformità, mettiti in contatto con me. Come Account Executive Italy, sarei lieta di aiutarti! In alternativa, visita il nostro sito su www.didomi.io/it

 

Richiedi una demo