Privacy sito web e cookie: sei mesi per adeguarsi al nuovo provvedimento del Garante. Da dove cominciare ?

L’Autorità Garante ha emesso le “Linee guida cookie e altri strumenti di tracciamento” il 9 luglio 2021, prevedendo un periodo di sei mesi per adeguarsi. Al di là delle novità in tema cookie, vi sono altri adempimenti che i titolari del trattamento devono porre in essere ai fini della corretta compliance privacy di un sito web. Sai se il sito web della tua azienda è conforme alla normativa privacy? Verifichi periodicamente che non debba essere aggiornato?



Il sito web di un’azienda costituisce la “vetrina societaria”. La sua messa a norma lato privacy è uno dei primi adempimenti normativi generalmente controllati dall’Autorità Garante per la Protezione dei Dati, in quanto facilmente verificabile anche da remoto. 

Una valutazione negativa di questo adempimento potrebbe indurre l’Autorità Garante ad approfondire il livello di compliance aziendale, facendo ulteriori controlli. È necessario quindi prestare molta attenzione al corretto adeguamento del proprio sito internet inserendolo tra le priorità della compliance aziendale

Quali sono i principali adempimenti per questa attività? Scopriamo insieme le novità introdotte dal Garante per la protezione dei dati personali e le conseguenze in caso di mancato adeguamento.

Come mettere a norma il proprio sito web: principali adempimenti GDPR che l’azienda dovrebbe aver già adottato

In generale, cosa bisogna fare per mettere a norma un sito web lato privacy? Di seguito i principali adempimenti da prendere in considerazione.

#1: la privacy in base ai dati trattati sul sito

Preliminarmente, per definire con esattezza gli adempimenti privacy del sito web della propria azienda, è necessario che lo stesso sia ultimato: in caso di nuovo sito web, infatti, è importante che l’azienda abbia definito tutti i form (moduli per la raccolta dei dati) e le pagine che vuole siano presenti, prima di valutare gli aspetti privacy. Specularmente, qualora l’azienda dovesse apportare delle modifiche ad un sito già online, è necessario valutare nuovamente se vi sono ulteriori esigenze privacy. Questo in quanto gli adempimenti privacy vanno valutati in base al contenuto stesso del sito web e ai dati personali trattati.

#2: il mio sito rilascia i cookie?

Definire la necessità o meno che il sito web rilasci cookie che richiedono un consenso considerando l’attività aziendale e se la società intende effettivamente analizzare le risultanze di tali strumenti di tracciamento. Per questo adempimento, si consiglia un confronto con il proprio webmaster che è in grado di supportare l’azienda nella scelta dei cookie idonei alle esigenze aziendali. 

#3: strumenti di tracciatura dei cookie

Definire quindi la cookie policy, valutando l’opportunità di dotarsi di strumenti di tracciatura automatica degli stessi.

#4: messa a norma dei moduli per la raccolta dati

Verificare la messa a norma dei form di raccolta di dati personali inseriti nel sito web, inserendo le corrette diciture per la raccolta dei dati personali nei pressi dei form.

#5: non dimenticare la privacy policy

È importante definire la privacy policy considerando i trattamenti effettivamente posti in essere dall’azienda attraverso il sito web e le finalità dalla stessa perseguite. 

#6: ok al fai da te, ma ricordati di affidarti a chi conosce le norme privacy

Si consiglia sempre di chiedere supporto al proprio consulente privacy per essere sicuri di aver posto in essere in maniera adeguata gli adempimenti necessari al corretto trattamento dei dati personali. 

Cosa dicono le nuove indicazioni del Garante sui cookie (luglio 2021)

Il Garante per la protezione dei dati personali ha dato nel 2014 delle indicazioni in merito all’utilizzo di cookie e altri strumenti di tracciamento e alle corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli interessati.

Vista l’importanza dell’argomento e il sempre maggiore impatto sulla quotidianità delle persone, tali indicazioni sono state aggiornate con il provvedimento del 9 luglio 2021, data dalla quale decorre un periodo di sei mesi, entro il 9 febbraio 2022, in cui le aziende hanno tempo di adeguarsi alle novità normative

Di seguito alcune delle indicazioni maggiormente rilevanti previste dal Garante per la protezione dei dati personali:

  • Relativamente alla base giuridica del trattamento, per i cookie non tecnici, il Garante ribadisce la necessità di acquisire il consenso dell’interessato e l’impossibilità ad oggi di utilizzare il legittimo interesse quale base giuridica per questa tipologia di cookie. 
  • Lo “scrolling” non è idoneo ad esprimere la manifestazione di volontà dell’interessato, pertanto non equivale al consenso che deve essere espresso tramite un evento informatico documentabile. Neanche il “cookie wall” è idoneo all’espressione del consenso dell’utente, in quanto non consente di scegliere se prestare il proprio consenso o meno, fatta salva una possibile verifica caso per caso. 
  • Il titolare non deve richiedere all’utente il consenso già tracciato riproponendo il banner,salvo tre casi eccezionali: 
    1. cambiamento significativo nelle condizioni del trattamento
    2. il titolare non ha modo di sapere se il cookie è già stato memorizzato (per esempio, l’utente ha cancellato i cookie dai propri dispositivi)
    3. trascorsi sei mesi dal rilascio del consenso
  • Il banner, di dimensioni adeguate, deve poter essere chiudibile tramite apposita “x”. Quando l’utente clicca sulla x, questo comportamento deve essere equiparato alla negazione del consenso e pertanto tracciato come tale. L’utente deve essere avvertito di questa funzionalità del banner. 
  • Il banner deve avere il contenuto indicato dall’Autorità, tra cui un link ad un’area dedicata in cui l’utente può selezionare in maniera granulare i cookie a cui acconsentire. 
  • L’informativa, oltre a quanto previsto dal GDPR, deve avere il contenuto richiesto dal provvedimento e deve essere fruibile anche da parte di coloro che necessitano di tecnologie assistive o configurazioni particolari.
  • Gli utenti devono poter modificare le loro scelte sui cookie attraverso apposita area accessibile tramite link nel footer del sito.

Cosa succede in caso di mancato adempimento?

In caso di mancato adeguamento, le aziende vanno incontro a sanzioni come previsto dal Regolamento UE 2016/679 e dal Codice Privacy novellato dal D.lgs. 101/2018. Per esempio, se l’azienda non ottiene correttamente il consenso degli utenti per l’utilizzo di cookie non tecnici, va incontro a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 

Un suggerimento utile: verifica periodicamente la compliance privacy del tuo sito web

Il panorama normativo relativo al corretto trattamento dei dati personali è in costante aggiornamento. Una volta creato il proprio sito web, è necessario non solo verificare di farlo nel rispetto del Regolamento UE per la protezione dei dati personali, ma assicurarsi di rimanere costantemente aggiornati sulla sua evoluzione.

Si consiglia, quindi, di verificare periodicamente la compliance privacy del proprio sito web, sia rispetto ai cookie effettivamente rilasciati dal sito web, che relativamente alla correttezza delle diciture privacy e delle informative sul trattamento dei dati personali pubblicate online (privacy e cookie policy), anche alla luce delle costanti novità normative. 

Se hai dubbi in merito alla messa a norma del sito web della tua azienda o non vuoi arrivare con l’acqua alla gola per dare seguito ai nuovi adempimenti sui cookie, contatta gli esperti di Labor Project.

Se ti è piaciuto l'articolo condividi: