Piattaforme per la gestione dei consensi: attenzione agli adempimenti

A partire dalla pubblicazione della direttiva 2002/58/CE (c.d. direttiva ePrivacy), hanno iniziato a diffondersi sul mercato diverse piattaforme per la gestione dei consensi o “Consent Management Platform” (CMP). L’entrata in vigore del GDPR ha rappresentato il turning point decisivo per queste piattaforme che - da allora - si sono consolidate come strumenti essenziali per l’acquisizione del consenso on-line degli interessati. Dotarsi di una CMP può quindi essere molto utile, ma attenzione agli adempimenti.

Premessa: cookie e consenso 

Per meglio contestualizzare l’argomento, prima di definire il funzionamento delle principali “Consent Management Platform” (a seguire, per semplicità, anche CMP), è necessario fare una piccola premessa.

Il considerando 30 al GDPR espressamente afferma che le persone fisiche (in qualità di interessati e utenti del web), possono essere associate a identificativi online quali gli indirizzi IP, marcatori temporanei (cookie) o identificativi di altro tipo.

I cookie possono svolgere una molteplicità di funzioni: dal monitoraggio delle sessioni di navigazione, alla memorizzazione del carrello su un e-commerce, sino ad arrivare a veicolare pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia dei messaggi pubblicitari. Gli strumenti di tracciamento più invasivi, sono denominati cookie di profilazione in quanto “utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete” (definizione tratta dalle Linee guida del 10 giugno 2021 su cookie e altri strumenti di tracciamento, del Garante per la protezione dei dati personali). I cookie di profilazione, così delineati, possono essere utilizzati esclusivamente previa acquisizione del consenso informato del contraente o utente.

Consent Management Platform: quale scopo?

Proprio al fine di ottimizzare la gestione dei consensi sul web e, al contempo, garantire un utilizzo conforme dei cookie di profilazione e degli altri strumenti traccianti assimilati (analitici profilanti, per ciò che qui rileva), hanno iniziato a diffondersi sul mercato le piattaforme per la gestione dei consensi.

In particolare, le CMP permettono di ottimizzare la gestione di quello che potrebbe essere definito “ciclo di vita del consenso” ovvero quel processo che si sostanzia nelle seguenti fasi:

1. acquisizione dei consensi;
2. registrazione dei consensi;
3. archiviazione dei consensi;
4. aggiornamento dei consensi;
5. eliminazione dei consensi.

Consent Management Platform: quali funzioni? 

Le principali CMP forniscono funzionalità utili a:

• mostrare agli utenti notifiche chiare e comprensibili, anche mediante banner, riguardo alle politiche sulla privacy e all’uso dei dati personali;
• consentire agli utenti di selezionare le specifiche finalità per le quali desiderano concedere il consenso;
• permettere agli utenti di concedere o revocare il loro consenso in modo facile e accessibile;
• tenere traccia dei consensi ottenuti in linea con quanto richiesto dall’articolo 7 del GDPR, garantendo che i dati vengano utilizzati solo in conformità con le preferenze dell’utente;
• consentire alle organizzazioni di aggiornare le politiche sulla privacy, in modo che gli utenti siano informati di eventuali modifiche e possano prendere decisioni consapevolmente;
• fornire strumenti per generare rapporti / estrapolare report periodici e dimostrare la conformità con le leggi sulla protezione dei dati personali, in caso di ispezioni o audit.

Come scegliere una Consent Management Platform?

Oltre alle funzioni sopra esposte, tra i criteri che dovrebbero orientare la scelta di una CMP vi rientrano:

• la normativa sulla privacy di riferimento;
• le esigenze specifiche dell’organizzazione ed il settore in cui opera;
• la base di utenti;
• la user experience / accessibilità dei contenuti e semplicità di utilizzo;
• le opzioni di personalizzazione (ad esempio, in termini di impostazione grafica delle notifiche, delle opzioni di consenso e delle preferenze);
• il supporto multi channel (ad esempio, la possibilità di implementare un banner conforme e ben visibile su diversi canali, quali app, sito web desktop e mobile, etc.);
• il supporto tecnico in caso di malfunzionamenti della piattaforma o per assistenza in caso di domande o per la risoluzione di eventuali problemi;
• i margini di flessibilità futura (ad esempio, per particolari esigenze dell’organizzazione, per l’entrata in vigore di nuove norme sulla privacy o per cambiamenti nei processi aziendali);
• il rapporto tra costi di attuazione (criterio esplicitamente previsto dall’art. 25 del GDPR per l’applicazione della privacy by default e by design) e funzioni;
• l’integrazione con le tecnologie utilizzate per lo sviluppo del sito.

Nel dettaglio, con riferimento a quest’ultimo criterio relativo alla compatibilità con altre tecnologie e strumenti impiegati sul web, è utile considerare anche il recente comunicato di Google, disponibile qui.

Il 22 maggio 2023, infatti, il colosso di Mountain View ha comunicato che i publisher e gli sviluppatori che utilizzano servizi quali Google AdSense, Ad Manager o AdMob, a partire dal 16 gennaio 2024 dovranno usare una CMP certificata da Google e integrata con il Transparency and Consent Framework (TCF) di IAB Europe quando pubblicano annunci per gli utenti nello Spazio economico europeo (SEE) o nel Regno Unito.

Le CMP certificate da Google sono disponibili al seguente link: clicca qui. La valutazione effettuata da Big G si basa sui criteri stabiliti dal TCF. Il TCF è uno strumento di accountability volto a facilitare la conformità con alcune disposizioni della direttiva ePrivacy e del GDPR. In particolare, il TCF applica i principi e i requisiti derivati dalle normative appena citate al contesto specifico dell’industria online, tenendo conto delle linee guida pertinenti a livello UE dell’EDPB e delle linee guida a livello nazionale delle Autorità di protezione dei dati personali.

Panoramica di mercato: analisi degli strumenti più utilizzati

Come anticipato, sul mercato sono attualmente presenti una molteplicità di piattaforme CMP, dotate di caratteristiche e funzioni spesso diverse fra loro. I punti di cui al paragrafo precedente costituiscono un ausilio nella scelta del fornitore, nell’ottica di privacy by design, ovvero di valutazione delle misure tecniche e organizzative presenti ed in grado di attuare in modo efficace i principi di protezione dei dati.

Al tempo stesso, prima di affidare il trattamento a terze parti, è necessario condurre un preliminare audit di conformità, verificando che il provider fornisca le garanzie di adeguatezza e di tutela dei diritti degli interessati richieste dal GDPR. Occorre evidenziare, infatti, che il ruolo assunto dal fornitore della CMP è quello di Responsabile (o Sub, a seconda della circostanza) del trattamento in quanto l’attività svolta dallo stesso si sostanzia in un trattamento dei dati personali degli utenti (ad esempio, user data, consent data, IP address, etc.) effettuato per conto del Titolare.

Elemento essenziale da valutare, quindi, è la definizione dei ruoli privacy: il contratto con il fornitore della piattaforma dovrebbe includere disposizioni che vincolino il responsabile del trattamento al titolare del trattamento e che consentano di individuare l’oggetto, la durata, la natura e la finalità del trattamento, nonché il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Molti provider includono tali disposizioni in Data Processing Agreement (DPA) liberamente consultabili, messi a disposizione sul relativo sito web o in una sezione “privacy” dedicata. Per completezza si riportano quindi a seguire, a titolo esemplificativo, alcune delle più popolari CMP, con collegamento al DPA.

Per ulteriori informazioni sulle piattaforme leader di mercato, si rinvia alla seguente pagina web: clicca qui.

Quali adempimenti?

Una volta effettuato il preliminare audit di conformità, e una volta scelto il fornitore, è fondamentale ricordarsi che vi sono altri adempimenti correlati da porre in essere.

Fra questi si citano, a titolo esemplificativo:

• l’integrazione dell’informativa privacy / cookie policy del sito web, fornita agli utenti ai sensi degli artt. 12 e ss. del GDPR, con i dettagli relativi al destinatario che tratterà i dati per contro del titolare;
• la verifica del DPA in essere o la predisposizione di una nomina a responsabile nei confronti del fornitore della CMP, ai sensi dell’art. 28 GDPR;
• l’integrazione dell’elenco dei responsabili del trattamento con i dati relativi al fornitore della CMP, ai sensi dell’art. 28 GDPR;
• l’integrazione del nuovo responsabile all’interno del registro del Titolare del trattamento, avendo cura di verificare la presenza o meno di eventuali subfornitori, nonché di trasferimenti extra SEE dei dati personali trattati, unitamente alle idonee garanzie ai sensi degli artt. 44 e ss., etc.;
• il data mapping all’interno del registro del Titolare del trattamento della finalità di gestione dei consensi connessi alla CMP, unitamente alle informazioni relative al perimetro del trattamento (asset utilizzato, base giuridica, categorie di interessati del trattamento, dati oggetto del trattamento, destinatari dei dati, presenza o meno di trasferimenti extra SEE con indicazione delle idonee garanzie e, infine, tempo di conservazione dei dati);
• l’analisi dei rischi relativa a tale finalità, utile anche a valutare l’opportunità di redigere la valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR;
• la formazione e la predisposizione di istruzioni utili al personale, per procedere con il trattamento dei dati personali degli utenti, ai sensi dell’art. 29 GDPR.

Si rende quindi necessario porre attenzione a tutti gli aspetti sopra indicati al fine di evitare l’esposizione alle sanzioni di cui al GDPR.

→ Se hai bisogno di supporto nell’attività di adeguamento, ti invitiamo a contattarci per un preventivo.

→ Se invece ti interessa approfondire l’ampia tematica relativa al trattamento dei dati sul web, la gestione dei cookie e del consenso, le principali sanzioni e le ultime novità normative, ti invitiamo a consultare il nostro catalogo corsi. In particolare, il Corso di Alta Formazione, in partenza il 3 ottobre, include una giornata interamente dedicata alla disamina della disciplina relativa all’attività promozionale, al marketing, la profilazione e l’utilizzo dei cookie sul web, con casi pratici ed esercitazioni.

Fonti

• I nuovi requisiti di Google per l’utilizzo di AdSense, Ad Manager o AdMob

• L’elenco delle principali piattaforme CMP