È di questi giorni la notizia che il CNIL (il Garante Privacy francese) ha sanzionato la SOCIÉTÉ DU FIGARO con una multa di 50.000 euro per l’uso non corretto di cookie pubblicitari nel sito www.lefigaro.fr. 
I controlli dell’Authority, infatti, hanno rivelato che quando un visitatore navigava sul sito del famoso quotidiano, cookie di profilazione di terze parte venivano  automaticamente memorizzati sui dispositivi, a prescindere dalla sua volontà e dall’eventuale rifiuto.

Quasi in contemporanea il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.

L’aggiornamento delle precedenti Linee guida del 2014 (che tanti grattacapi avevano causato ai gestori dei siti…) si è reso necessario non solo alla luce del nuovo quadro normativo introdotto dal GDPR, ma anche per  ulteriori motivi:

• l’evidenza della non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei dati;
• il crescente uso di tracciatori particolarmente invasivi;
• la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.

Il meccanismo di acquisizione del consenso on line dovrà -innanzitutto- garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Ecco, in sintesi, i principali contenuti nelle nuove Linee guida sui cookie.

Informativa
Nel rispetto di quanto previsto dal GDPR, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale.

Consenso
Per i cookie di profilazione (ossia tutti quelli “non tecnici”) rimane la necessità del consenso da richiedere attraverso uno specifico banner, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati (ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra).

Riguardo in particolare al c.d. scrolling, il Garante precisa che il semplice spostamento in basso del cursore non rappresenta una idonea manifestazione del consenso, a meno che non sia inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile, che possa essere qualificato come azione positiva idonea a manifestare la volontà di prestare un consenso al trattamento.

Riguardo al c.d. cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

- - - -

Se sei una PMI e sei interessata ad approfondire i temi della Privacy in azienda scrivi a elena.piccinato@friulinnovazione.itper ricevere un avviso quando saranno attivate le prossime iniziative.

- - - -

News a cura di Studio Avvocati D'Agostini (Udine)
partner di Friuli Innovazione nell'ambito dello sportello ICTDigitaLaw