Non c’è pace per i cd.: cookie , soprattutto se a complicare la situazione arriva una PEC da parte di un gruppo di attivista che vieta l’utilizzo dei cd. Google Analitycs.
Se ne torna a parlare a seguito della circolare dell’Assonime n. 5/2022 dedicata alla disciplina sull’utilizzo dei cookie, alla luce del provvedimento del Garante della privacy del 10 giugno 2021 n. 231, operativo dal 10 gennaio.
E se è ormai assodato che il legittimo interesse può giustificare i cookie, la circolare ripropone l’operatività dello scrolling (scorrimento del cursore) e ricorda che il Garante, nelle linee guida censura la prassi di ricorrere all’interesse legittimo come base giuridica per l’utilizzo di cookie.
Ma che cosa è il legittimo interesse nell’impianto GDPR?
I legittimi interessi (es. commerciale, sicurezza dei beni aziendali, ecc…) del titolare del trattamento possono costituire la base giuridica del trattamento dei dati, purché siano bilanciati con i diritti e le libertà dell’interessato, ad eccezione per le pubbliche amministrazioni.
Con il Regolamento 679/16 sono i titolari a dover svolgere tale operazione, consentendone un’applicazione generalizzata, fermo restando la possibilità di verifica successiva da parte del Garante.
Spetterà quindi al titolare valutare se le sue azioni sono in linea con le ragionevoli aspettative dell’utente e proprio perché è un concetto che si presta ad consentire abusi nel trattamento dei dati, il Garante potrà in ogni evenienza verificare tale ragionevolezza e il corretto bilanciamento effettuato dal titolare rispetto agli interessi contrapposti.
Tornando all’argomento “cookie”, destano ancora forte interesse i sistemi di tracciamento delle navigazioni realizzati attraverso i cookie, i quali sono in grado di marchiare e rendere riconoscibile un dispositivo, cosi come a seguire i ogni azione svolta sul web.
Si attendono, sotto questo profilo, le risultanze delle ispezioni del Garante: il controllo della gestione dei cookies da parte delle piattaforme e dei siti web è una priorità indicata nel piano ispettivo del primo semestre 2002 (provvedimento n. 452 del 22 dicembre 2021).
Da questo punto di vista, le imprese dovranno verificare i loro siti valutando se ci sono cookie di profilazione.
In tale caso dovranno raccogliere un consenso inequivoco, tracciabile; diversamente non si potrà fare uso di tali cookie di tracciamento. Dove c’è un cookie ci deve essere traccia di un consenso: chi invoca l’uso del legittimo interesse lo fa a proprio rischio e pericolo
Sappiamo che i cookie possono essere tecnici oppure possono essere utilizzati a contare l’audience di un certo sito («analitici) oppure ancora possono servire a costruire «profili» di chi visita le pagine in rete, al fine di mandargli, anche all’istante, messaggi promozionali mirati.
Un primo provvedimento del Garante risale è del 2014 e nonostante l‘intervento del GDPR la situazione normativa non si è stabilizzata, neanche a seguito delle recenti linee guida entrate in vigore il 9 gennaio 2022.
La questione dei cookie “va a braccetto” con quello dei trasferimenti dei dati all’estero e, in particolare, verso gli Stati Uniti. L’uso di sistemi di analisi dei cookie coinvolge operatori come Google, i quali sono stati bocciati dal Garante austriaco della privacy. Quest’ultimo con provvedimento pubblicato il 12 gennaio 2022 ha, infatti, deciso che l’uso continuo di Google Analytics viola il GDPR, dal momento che comporta il trasferimento di dati verso gli Usa, dove non è garantito un adeguato livello di tutela dei dati personali.
Il Garante italiano invece ancora non si è pronunciato sulla questione. il Comitato europeo per la protezione dei dati l’11 novembre 2020 ha adottato raccomandazioni sulle misure che integrano gli strumenti di trasferimento dei dati per garantire il rispetto del livello UE di protezione dei dati personali, nonché raccomandazioni sulle cosiddette “garanzie essenziali europee” in rapporto alle misure di sorveglianza.
Le raccomandazioni intendono assistere i titolari e responsabili del trattamento che siano esportatori di dati nell’individuazione e nell’attuazione di adeguate misure supplementari, ove queste siano necessarie per garantire ai dati trasferiti verso paesi terzi un livello di protezione sostanzialmente equivalente. In tal modo, il comitato mira a un’applicazione coerente del RGPD e della sentenza della Corte in tutto il SEE.
Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: “Il comitato è pienamente consapevole dell’impatto della sentenza Schrems II su migliaia di imprese dell’UE e dell’importante responsabilità che tale sentenza attribuisce agli esportatori di dati. Il comitato si augura che le raccomandazioni possano aiutare gli esportatori di dati a individuare e attuare misure supplementari efficaci laddove siano necessarie. Il nostro obiettivo è consentire trasferimenti leciti di dati personali verso paesi terzi, garantendo nel contempo che ai dati trasferiti sia assicurato un livello di protezione sostanzialmente equivalente a quello vigente all’interno del SEE.”