Più trasparenza e consenso necessario. Al via le nuove linea guida per la gestione dei cookie sul web italiano. Dopo sei mesi dati per adeguare siti e servizi online, dal 10 gennaio sono diventate ufficialmente valide le nuove regole formulate lo scorso giugno sul trattamento dei frammenti di dati sugli utenti memorizzati sul computer e utilizzati per migliorare la navigazione e inviare informazioni personalizzate.
D’ora in avanti, infatti, dovranno essere rispettati i principi che il Garante della privacy aveva già annunciato aggiornando la precedente versione delle linee guida del 2014 con le novità introdotte dal Regolamento europeo in materia di privacy (Gdpr). Al primo accesso a un sito web solo i cookie tecnici possono essere memorizzati sul dispositivo dell’utente, mentre per tutti gli altri (ad esempio i cookie statistici e di profilazione) è obbligatorio il consenso esplicito.
“All’apparenza potrebbe sembrare un provvedimento con effetti superficiali, ma in realtà ha delle conseguenze molto profonde. Si tratta infatti delle regole su come gira il mondo dell’advertising online“, spiega a Dealflower Lorenzo Cristofaro, partner dello studio legale Panetta (nella foto).
Le nuove linee guida
Una delle principali novità riguarda quei siti, piattaforme o applicazioni collegati tra di loro che prevedono la registrazione dell’utente. “In questo caso è possibile fare una ricerca molto accurata sull’utente, grazie a tutti i dati da lui forniti su più piattaforme. Per questo, d’ora in avanti se si vuole svolgere una profilazione incrociata o aggregata, tracciando la navigazione degli utenti su più dispositivi, sarà necessario specificarlo nell’informativa e chiedere un consenso specifico“, ha sottolineato l’avvocato Cristofaro.
Se si utilizzano solo i cookie tecnici – cioè, quelli che servono solamente per fornire il servizio che si sta cercando – la relativa informazione può essere collocata in home page o nell’informativa generale del sito web. Se, invece, si trattano anche altri cookie, ad esempio quelli di profilazione (cioè, quelli utilizzati per profilare l’utente in base al suo comportamento sul sito), è obbligatorio: l’utilizzo di banner a comparsa immediata che contengano un comando per chiuderlo, l’indicazione che il sito utilizza cookie tecnici e di profilazione o altri strumenti di tracciamento indicando le finalità, il link alla privacy policy, un comando per accettare tutti i cookie o anche altre tecniche di tracciamento e il link a un’altra area nella quale poter scegliere le funzionalità, le terze parti e i cookie che si vogliono installare.
Oltre a una maggiore chiarezza e l’obbligo di dover dare il consenso per installare i cookie, un’altra rilevante misura prevede che, una volta che l’utente rifiuta i cookie, il banner non dovrà essere nuovamente mostrato a ogni successivo accesso. Le uniche eccezioni sono se sono state modificate le condizioni del trattamento, se è impossibile conoscere se un cookie è stato già memorizzato nel dispositivo o se sono passati sei mesi dall’ultima richiesta di consenso.
Il Garante, poi, ha sottolineato che il consenso non può essere manifestato con il semplice scrolling verso il basso della pagina ed è illegittimo anche l’uso del cookie wall, cioè una vera e propria barriera (ad esempio un pop-up) che blocca l’accesso a un sito web se l’utente non consente prima l’uso di cookie.
Le sanzioni previste
Dove voleranno le sanzioni più alte, secondo l’avvocato – e l’intenzione non è quella di farle passare come nel recente caso della Francia contro Facebook e Google – riguarda il punto, ribadito più volte dal Garante, che prevede che tutti i cookie di marketing e pubblicitari, quindi i cookie di profilazione, non possono essere impostati senza il consenso dell’utente. “Ad oggi sicuramente tanta parte del mercato non si è adeguata a queste linee guida, ma su questo ultimo punto il Garante non farà sconti”, ha aggiunto Cristofaro. Molti siti, ha garantito l’avvocato, non concedono nemmeno la possibilità di rifiutare i cookie, e tanti banner mettono solo l’opzione ‘accetta’. “Questo non è legale”, puntualizza.
Le sanzioni saranno calcolate in base anche alle percentuali di fatturato, ha spiegato l’avvocato: “Per determinati gruppi editoriali il fatturato derivante dall’advertinsing online non è di certo un’inerzia, stiamo parlando di decine e decine di milioni di euro. Se il Garante dovesse calcolare la percentuale di quel fatturato le sanzioni saranno molto alte”.
Le multe poi non arrivano mai da sole. Nella maggior parte dei casi, infatti, saranno accompagnate da misure prescrittive che, oltre a imporre l’adeguamento della la cookie policy dell’azienda in base alle linee guida in vigore, “possono chiedere di bloccare l’intero database illecito raccolto fino a quel momento e ripartire da zero”, ha sottolineato Cristofaro.
Il danno quindi non è solo economico. “La sanzione ti può bloccare o rallentare dal punto di vista del marketing online, recandoti anche un danno di immagine”, ha spiegato l’avvocato. Spesso, infatti, le multe imposte a grandi aziende in tema di policy privacy e dati occupano le prime pagine dei giornali e sono sulla bocca di tutti. “Questo, sicuramente, per i grandi gruppi quotati in Borsa non è il massimo. Per un po’ di tempo rischiano di avere un tracollo”, conclude.
