La direttiva Ue sull’e-commerce ha messo fine ai cookie liberi, allo scrolling vale a dire scorrere una pagina web equivale al consenso al marketing e alla profilazione, e simili furberie. Poi sono arrivate le Linee guida del Board europeo EDPB che raccoglie di garanti dei vari paesi Ue e poi le Linee guida del Garante italiano. Alla fine di tutto questa procedura dal 9 gennaio 2022 anche i siti web di aziende italiane si devono adeguare e dire chiaro se raccolgono dati personali per fare marketing e profilazione e soprattutto farlo raccogliendo il consenso documentato degli utenti.
Insomma l’utente deve essere consapevole di aver dato il consenso e a quali trattamenti e deve poterlo revocare per tutti i cookie o per una parte quando vuole e facilmente.
In sostanza non si possono più raccogliere dati tramite i cookie senza che l’utente ne sia consapevole e abbia dato il consenso esplicito. Resta che molti siti usano solo cookie tecnici (per navigare meglio) e quindi basta che lo dicano nell’informativa privacy sul sito o in fondo all’homepage.
La stragrande maggioranza dei siti sui quali ci troviamo a navigare tutti i giorni invece i cookie li usa eccome. Infatti coi cookie di profilazione si riesce a risalire non solo a dati interessanti come la lingua e quindi il paese da cui si collega l’utente ma anche il tipo di computer, i software scaricati, l’uso o meno di free software e anche il linguaggio. Ad esempio se vedo che un tizio si collega con Linux sarà facile capire che ha conoscenze informatiche di un certo tipo e non è di primo pelo. A questi si aggiungono finger-print impronte digitali, che aggiungono dati sulle ricerche fatte online, i siti consultati, quindi i gusti e le preferenze. Insomma per chi fa marketing o vuole profilare automaticamente i clienti i cookie sono una manna.
L’aria però è cambiata parecchio. Basta pensare alle multe record inflitte dal Garante francese a Google e Facebook Irlanda per 150 milioni di euro e 100 milioni di euro alla fine di dicembre 2021, il 30 e 31. Secondo il Garante francese il consenso ai cookie per marketing e profilazione sui siti di queste mega aziende non è per niente libero. In sostanza per usufruire dei servizi l’interessato è costretto a cliccare il consenso a tutti i cookie oppure deve vagare su decine di pagine senza arrivare al dunque. Il Garante ha notato che Facebook ha chiamato “accetta i cookie” il pulsante col quale l’utente li doveva rifiutare e che mentre per accettare tutto bastava un click, per rifiutare ne servivano diversi. Oltre a pagare la sanzioni le due aziende hanno tre mesi per adeguarsi. Se non lo fanno pagheranno altri 100 mila euro al giorno per i successivi giorni di ritardo. La Francia si è richiamata per la sanzione alla direttiva e-privacy europea e alla successiva applicazione in Francia con una legge del 17 giugno 2019 che rinnova una precedente legge del 1978.
Se volete approfondire vi consigliamo di andare a leggere i provvedimenti e l’infografica del nostro Garante (dal cui sito è tratta anche l’immagine che correda l’articolo).
Gianluca Amarù è un avvocato specializzato in privacy e se ne occupa da 25 anni. Alessandra Fava è una giornalista ed è Privacy Specialist. Fanno parte di un team con Marco Fossi, DPO di grandi aziende, 2fprivacy.it. Il team ha pubblicato una collana Compliance sul Regolamento europeo privacy entrato in vigore nel 2018 con Liberodiscrivere editore. E’ ora in uscita ‘Privacy in progress’ (Franco Angeli editore, Milano). Clicca qui per leggere tutti gli articoli.