LEGALLAB
Home // News // Blog

Le principali novità del Regolamento e-privacy nel settore del Digital Marketing e le Linee Guida del Garante in tema di cookie e di strumenti di tracciamento (applicabili dal 9/01/2022)

Articolo di Lisa Maiorca.

Le principali novità del Regolamento e-privacy nel settore del Digital Marketing e le Linee Guida del Garante in tema di cookie e di strumenti di tracciamento (applicabili dal 9/01/2022)

L’ultima versione del Regulation on Privacy and Electronic Communications, denominato anche Regolamento e-privacy (il “Regolamento”) potrebbe essere quella definitiva e ottenere, a breve, l’approvazione. 

Una volta approvato il Regolamento entrerà in vigore il 21° giorno successivo alla pubblicazione nella Gazzetta Europea, ma troverà applicazione – al pari di quanto è accaduto con il Regolamento UE 2016/679 (GDPR) – nei 24 mesi successivi all’entrata in vigore. 

Principali punti del Regolamento:

  • abrogazione della Direttiva 2002/58/EC relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;
  • complementarità col GDPR. Il Regolamento #e-privacy integra la materia, andando a disciplinare specifici aspetti relativi alle comunicazioni elettroniche personali e ai cookie;
  • applicabilità della normativa anche nei confronti delle persone giuridiche;
  • tutte le comunicazioni elettroniche di default sono considerate riservate, e conseguentemente, qualsiasi tipo di interferenza riguardante questi dati (compresi l’ascolto, il monitoraggio e il salvataggio della posizione della persona) sarà vietato, salvo il consenso preventivo prestato dall’utente;
  • il Regolamento verrà applicato nei confronti degli utenti finali che si trovano all’interno del perimetro territoriale degli Stati Membri, indipendentemente dal luogo ove avvenga il trattamento e sia ubicato il fornitore di servizi;
  • applicabilità anche per il trattamento di cd. metadati, vale a dire le informazioni sui dati, come per esempio la posizione, i dati sui destinatari, la data, l’ora e la durata della comunicazione tra utenti. Tale trattamento resterebbe condizionato all’assolvimento di determinati obblighi giuridici, oppure previo consenso dell’utente per finalità specificate;
  • possibilità per gli utenti di creare una cd. #Cookie White list di fornitori di cookie nelle impostazioni del browser così da arginare il fenomeno del Cookie #banner fatigue;
  • possibilità di adottare da parte dei fornitori il cd. Cookie wall a condizione che all’utente venga offerta un’alternativa equivalente che non implichi la concessione del consenso ai cookies e ai trackers;
  • l’ultima versione del testo del #Regolamento non prevede la possibilità di ricorrere all’interesse legittimo per il trattamento dei dati basati sui cookies.

Il settore maggiormente interessato dall’applicazione del Regolamento, oltre a quello delle comunicazioni elettroniche (come, ad esempio, le #app di messaggistica istantanea, i servizi di posta elettronica, i #socialnetwork, etc.) è il settore del #digitalmarketing nell’ambito del quale tutti gli operatori dovranno necessariamente adeguare la gestione dei #cookies e dei #trackers

Questo adeguamento potrebbe rivelarsi più complesso di quanto si possa immaginare, in quanto le aziende che operano in questo specifico settore dovranno considerare, oltre alle disposizioni del Regolamento, anche tutte le ulteriori previsioni che adotteranno le singole autorità di controllo nazionali nell’ambito della discrezionalità decisionale, loro prevista.

L’adeguamento più complesso potrebbe riguardare, ad esempio, la predisposizione della #CookieWhitelist. Questo strumento, al momento non obbligatorio, potrebbe essere integrato nei browser o nei motori di ricerca, ma non è scontato che tutti i fornitori di servizi siano in grado di poterlo fare agevolmente.

Inoltre, l’ampia discrezionalità decisionale di cui godono le singole autorità nazionali di controllo potrebbe comportare il (concreto) rischio che la Cookie White list diventi obbligatoria in alcuni Stati, e consigliata in altri, comportando in tal modo un’applicazione disarmonica tra gli Stati membri.

Un altro aspetto da considerare per l’applicazione della Cookie White list riguarda l’esperienza dell’utente che, nonostante decida di escludere dalla White list i cookie di marketing o di terze parti delle #website, potrebbe – ad ogni visita – vedere il banner con la richiesta del consenso specifico per i cookies, in contrasto con le previsioni del Regolamento.

In questo contesto, le aziende che operano nel settore del Digital marketing stanno cercando metodi alternativi al sistema di #tracciamento con i cookie, che permetteranno un tracciamento #anonimizzato dell’utente.

Ad ogni modo, i fornitori di servizi che intendono lanciare nel breve periodo un nuovo prodotto, come una #app, una #website, una #digitalplatform non potranno esimersi dal considerare quanto prevede l’attuale testo del Regolamento.

In attesa dell’approvazione del Regolamento, il Garante italiano per la Protezione dei dati personali (il “Garante”) ha emesso il provvedimento 10 giugno 2021, n. 231 contenente le nuove ed aggiornate “Linee guida cookie e altri strumenti di tracciamento” pubblicato in Gazzetta Ufficiale n.163 il 9 luglio 2021 (le “Linee Guida”) (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9677876). 

Il Garante – in armonia con le previsioni del Regolamento – fornisce con le Linee Guida indicazioni in materia di cookie, di strumenti di tracciamento e di consenso. 

Di seguito, brevemente, gli aspetti principali:

  • Viene ribadito che la #basegiuridica per le attività di marketing che comporta la #profilazione è unicamente il #consenso (art. 6.1 lett. c GDPR) e non il #legittimointeresse (art. 6.1 lett. f GDPR) a prescindere che venga eseguita direttamente o attraverso l’installazione di cookie di profilazione di terze parti;
  • ai fini del rispetto del principio di #accountability, qualora si utilizzino cookie e/o altri strumenti di tracciamento, è necessario integrare l’informativa ex art. 13 GDPR, specificando i tempi di #dataretention
  • il banner per l’acquisizione del consenso deve contenere, con il mantenimento delle impostazioni di default, il comando di accettazione dei cookie ed il link che rimanda all’area nella quale è possibile scegliere analiticamente le funzionalità e i cookie che si intendono installare e revocare il consenso ove sia stato già espresso. Quest’area dovrà essere raggiungibile da tutte le sezioni del sito, anche tramite un ulteriore link presente nel footer di tutte le pagine del sito. E’ inoltre consigliato di inserire un’icona o comunque un segno grafico, per esempio, nel footer di ogni pagina del dominio, che indichi lo stato dei consensi finora prestati così da poter modificare e/o aggiornare le impostazioni.
  • con riferimento alle modalità di raccolta del consenso, il ricorso al sistema del cd. #scrolling viene considerato di per sé inadatto all’ottenimento di un valido consenso. Può essere considerato valido se inserito in un contesto più articolato, in base al quale l’utente si attivi in modo tale da esprimere una manifestazione inequivocabile della volontà a prestare il consenso. Lo stesso vale per il sistema dei cookie wall, ritenuto lecito solo nel caso in cui l’utente possa comunque accedere al sito senza dover acconsentire all’installazione di cookie e/o altri trackers. La liceità del #trattamento, inoltre, va valutata caso per caso e alla luce dei principi del GDPR;
  • divieto di reiterare la richiesta del consenso se questo non è stato precedentemente prestato, a meno ché non siano trascorsi almeno sei mesi dalla precedente presentazione del banner, che siano cambiate significativamente le condizioni del trattamento o, salvo che sia impossibile per il sito sapere se un cookie è già stato memorizzato nel dispositivo dell’utente.

Dallo scorso 9 gennaio le indicazioni delle Linee Guida sono diventate operative, e conseguentemente, tutte le aziende ed i soggetti interessati dovranno adeguarsi e conformarsi alle prescrizioni ivi contenute, essendo consapevoli che, per quanto concerne i consensi già ottenuti e raccolti, questi potranno considerarsi validi qualora, al momento dell’acquisizione, siano stati registrati e siano documentabili, anche mediante evidenze informatiche.

Sono disponibili due schede di sintesi delle Linee Guida scaricabili ai seguenti link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9679270 e Linee Guida Cookie e altri strumenti di tracciamento – INFOGRAFICA – Garante Privacy (gpdp.it)

DISCLAIMER

Il presente articolo ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

Leggi di più