Guida alla nuova disciplina sui cookie e altri strumenti di tracciamento

di Luisa Di Giacomo, Avv.

Approvate le nuove regole del garante privacy. Ecco che cosa cambia

Sette mesi dopo la versione per la consultazione, il Garante ha approvato le nuove linee guida per la regolamentazione dei cookie e dei sistemi di tracciamento. Vediamo tutte le novità.

Sono in vigore, da venerdì 9 luglio scorso, le nuove linee guida emanate dal Garante per la Protezione dei Dati Personali per la regolamentazione dei cookie e degli altri sistemi di tracciamento sui siti web.

La pubblicazione sulla Gazzetta Ufficiale ha sancito il punto di arrivo di un iter durato sette mesi, e cioè dal 10 dicembre dell’anno scorso, quando sono state poste in consultazione le regole che oggi risultano approvate.

Ma a pensarci bene, forse l’iter è cominciato ben prima, dal lontano 2014, data di adozione del provvedimento denominato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”. Una norma avanzata, per l’epoca, ma che oggi si sentiva il bisogno di aggiornare, in considerazione dell’entrata in vigore del GDPR, che con i principi di data protection by design e data protection by default e soprattutto con la cornice generale dell’accountability del Titolare del trattamento, ha fortemente mutato gli assetti in gioco. Vediamo come.

Indice

  1. Che cosa sono i cookie
  2. Altri strumenti di tracciamento online
  3. La cookie law del 2014
  4. Le nuove regole
  5. Consenso e basi giuridiche
  6. Scrolling e cookie wall
  7. Il banner e la riproposizione
  8. Informativa privacy e cookie
  9. Conclusioni

Clicca qui per consultare le Linee guida sui cookie e altri strumenti di tracciamento del Garante privacy

  1. Che cosa sono i cookie

La definizione “classica” di cookie è nota: si tratta, secondo le parole stesse del Garante, di piccoli file o stringhe di testi che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

La parola cookie in inglese significa biscotto, e già solo questo dovrebbe farci capire la funzione essenziale dei cookie. Come nella nota favola, Pollicino ritrovava la strada di casa grazie alle briciole sapientemente lasciate cadere sul terreno durante il suo passaggio, così i cookie evidenziano le tracce di ciò che l’utente fa sul web quando lo naviga, ovvero a quale sito si è collegato e quali pagine ha visitato al suo interno. Poiché i cookie si parcheggiano sul dispositivo dal quale stiamo navigando, ogni volta che, con quello stesso dispositivo ci ricolleghiamo a quello stesso sito, anche dopo diversi mesi, a meno che i cookie non vengano nel frattempo cancellati, è possibile tracciare l’attività dell’utente sul web anche a distanza di tempo.

Trattandosi, dunque, delle tracce del nostro passaggio e delle nostre attività nel mondo virtuale della rete, capiamo perché il Garante si interessi a monitorarne utilizzo e disciplina.

Non si tratta di file pericolosi, che infettano il nostro device o che possono farci controllare dai “poteri forti” per scopi oscuri e malevoli. Al contrario, senza alcuni cookie, i siti web non potrebbero funzionare e noi non avremmo lo strumento potentissimo di internet al nostro servizio. Ma poiché, in alcuni casi, possono tracciare il nostro comportamento online, costituiscono una potenziale violazione della nostra riservatezza ed è per questo che vanno conosciuti e gestiti.

I cookie possono essere temporanei (i cosiddetti cookie di sessione) ed in questo caso di “autodistruggono”, come nei film di spionaggio, al termine della sessione di navigazione. Si tratta di strumenti tecnici, che contengono informazioni, ad esempio, relative al carrello dell’e-commerce dei prodotti che stiamo acquistando, o al biglietto del concerto al quale vogliamo assistere. Più in generale, si tratta dei cookie che fanno funzionare le aree riservate della nostra navigazione, senza i quali non sarebbe possibile tenere in memoria i dati fino al termine dell’operazione che si sta effettuando online, e dunque della sessione.

Esistono poi altri tipi di cookie, tramite i quali il sito che stiamo navigando studia le abitudini e i dati dell’utente, e su questi c’è da fare qualche ulteriore precisazione.

Sono cookie analitici quelli che forniscono al gestore della pagina web informazioni statistiche aggregate, ad esempio il numero totale di visitatori per il suo sito, la permanenza su ciascuna sotto pagina, le fasce orarie di collegamento, le fasce orarie in cui vengono fatti maggiori acquisti. Ogni browser ha i propri cookie analitici e ognuno contiene le istruzioni per disattivarli o cancellarli.

Infine, e su questo si è concentrata e si concentra tuttora l’attenzione del Garante, esistono i cookie di profilazione, i quali, come dice il nome stesso, servono per creare dei profili accurati dell’utente, tracciando in maniera dettagliata la sua attività e le sue preferenze, per andare poi a rivolgergli attività commerciali mirate e specifiche.

Grazie a questo tipo di “biscotti”, il gestore del sito ha la possibilità di conoscere l’utente, di tracciarne preferenze e abitudini, di monitorarne l’attività di ricerca, in modo da canalizzare sempre meglio gli annunci pubblicitari e, conseguentemente, aumentare il profitto.

Infine, i cookie di terze parti sono quelli che consentono ad aziende terze, estranee al gestore/proprietario del sito internet navigato, di ricostruire le attività degli utenti, per creare un profilo ancora più dettagliato per la propria pubblicità.

  1. Altri strumenti di tracciamento online

Quando si pensa al tracciamento online, il nostro pensiero corre immediatamente ai cookie, ma esistono altri strumenti di tracciamento, meno noti ai più, di cui però sia il provvedimento del 2014, sia le nuove linee guida, tengono conto.

In particolare ci si riferisce a strumenti di tracciamento cosiddetti “passivi”, tra cui il fingerprinting (letteralmente “impronte digitali”) che, sempre secondo la definizione data dal Garante, è quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Ad esempio, se la lingua impostata come principale sul telefono o per la ricerca in internet è l’italiano o l’inglese, oppure se i caratteri scelti sono quelli di dimensioni standard, oppure più grandi.

La tecnica del fingerprinting si basa quindi non su una osservazione e tracciamento attivi del comportamento dell’utente online, come i cookie, ma su una osservazione appunto passiva: sulla base delle configurazioni che hai impostato sul tuo device posso trarre informazioni su di te che mi possono essere utili per gli stessi scopi per cui utilizzo i cookie.

È essenziale che le norme dettate per la regolamentazione dei cookie riguardino anche gli altri strumenti di tracciamento, e non risulta affatto pleonastico che questo venga specificato e continuamente ribadito.

Risulta evidente, infatti, la sussistenza di una notevole differenza tra l’utilizzo di strumenti di tracciamento attivi, quali i cookie, e passivi, quali il fingerprinting. Mentre i primi possono essere disattivati, sia mediante il diniego del consenso, sia mediante la cancellazione fisica dei cookie all’interno del proprio dispositivo, per quanto riguarda gli identificatori passivi, non esistono strumenti a disposizione dell’interessato per cancellarli o perché essi non siano utilizzati. La lingua impostata sul dispositivo, ad esempio, è quella che è e non può essere cambiata.

Dunque, affinché questi non vengano utilizzati anche in assenza di consenso dell’interessato, è necessario fare affidamento sull’azione del Titolare del trattamento, il quale, in assenza di consenso, non dovrà e non potrà utilizzare i sistemi di tracciamento passivi.

Questa differenza, già presente nel provvedimento del 2014, diventa ancor più essenziale oggi, alla luce del principio di accountability del Titolare sancito dal GDPR.

Consigliamo:

Casi e questioni di data breach - e-Book in formato zip

Casi e questioni di data breach - e-Book in formato zip

Michele Iaselli, 2021, Maggioli Editore

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre...



  1. La cookie law del 2014

Fino a venerdì 9 luglio, la legge che regolamentava l’utilizzo dei cookie e degli altri strumenti di tracciamento online era la cosiddetta Cookie Law, un provvedimento emanato nel 2014 dal Garante per la Protezione dei Dati Personali, aka il Garante della Privacy.

Il testo, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014, costituiva l’esito del recepimento di numerose direttive comunitarie in materia di protezione dei dati personali e della normativa italiana allora in vigore, il cosiddetto Codice della Privacy, ovvero il d. lgs. 196/2003, il quale all’art. 122 prevedeva (e prevede tuttora) che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso, dopo essere stato informato con modalità semplificate”.

Ne deriva che, per poter utilizzare i cookie e gli altri strumenti di tracciamento online in maniera conforme al dettato normativo, fosse obbligatorio in primo luogo informare l’utente del web sulla presenza e sull’utilizzo di questi strumenti e sulle finalità che il gestore della pagina intendeva perseguire con gli stessi, e successivamente raccogliere il consenso, solo nei casi previsti dalla legge. Dunque, per prima cosa il titolare del sito web doveva sapere quali cookie fossero presenti sul proprio sito secondo la categorizzazione brevemente spiegata sopra, già di per sé questione non sempre evidente, e poi decidere quale finalità intendesse perseguire con gli stessi.

Una volta stabilita la presenza (o meno) di cookie di profilazione e di terze parti sulle proprie pagine web, ed in generale di strumenti di tracciamento non tecnicamente indispensabili al corretto funzionamento del sito, il Garante stabiliva che il titolare del sito dovesse chiedere il consenso esplicito dell’utente, tenendo traccia del consenso prestato ed essendo effettivamente in grado di bloccare i cookie in caso di diniego, prima che l’utente avesse la possibilità di esprimere la propria libera scelta.

Pur se le istruzioni erano relativamente semplici, si è assistito negli anni ad un vasto assortimento di banner e di policy frutto di ampio utilizzo del “copiaincolla”, piuttosto che di una consapevole applicazione della normativa.

Non solo per i banner, che si limitavano genericamente a informare della presenza di non meglio specificati cookie, o per le policy, che risultavano essere più o meno tutte uguali in modo quanto meno sospetto, ma soprattutto per la totale mancanza di back end e di gestione dei consensi prestati.

Una volta cliccato sul pulsante “acconsento” o “accetto”, l’utente non aveva modo di sapere dove quel consenso veniva archiviato (verosimilmente da nessuna parte), ma soprattutto non aveva alcuna possibilità di revocare un consenso già prestato in maniera troppo affrettata o anche solo dopo aver cambiato idea.

Con l’arrivo del GDPR nel 2018, la cookie law del 2014 ha cominciato a mostrare qualche discrepanza col dettato normativo del Regolamento, soprattutto per l’introduzione dei principi di data protection by design e by default e per il fil rouge che permea tutta la nuova normativa sulla protezione dei dati, ovvero il principio di accountability del Titolare.

Il 4 maggio 2020, l’EDPB (European Data Protection Board) ha emanato delle nuove linee guida in materia di consenso al trattamento dei dati personali, e le maggiori novità riguardavano proprio i biscottoni del web.

Nello specifico, è stato ribadito che, come da principio generale, il consenso deve essere libero, ovvero il suo mancato conferimento non deve pregiudicare in alcun modo l’interessato ed in questo caso non deve impedirgli di navigare correttamente la pagina web che sta consultando in quel momento.

Bandite, quindi, le pratiche poco trasparenti di impostare un banner gigante, il cosiddetto cookie wall, che impedisce la navigazione e si chiude solo dando il consenso a tutti i cookie (anche quelli di profilazione, per i quali, è bene ricordarlo, è obbligatorio e imprescindibile il consenso); vietato anche il consenso implicito, desunto dal semplice atto di scrollare il sito, come si vedrà nel dettaglio più avanti.

  1. Le nuove regole

Recependo le raccomandazioni dell’EDPB e i principi che sorreggono il GDPR, il Garante della Privacy ha avviato l’iter per l’emanazione delle nuove regole, che dalla versione di consultazione del dicembre 2021, hanno portato all’emanazione della normativa definitiva il 9 luglio scorso, data di pubblicazione in Gazzetta Ufficiale.

Le nuove regole si applicano a tutti i siti web, e a partire dal 9 luglio ci saranno sei mesi per adeguarsi. Le nuove sanzioni partiranno quindi con l’anno nuovo.

Le principali novità riguardano le basi giuridiche del trattamento dei dati raccolti con i cookie e con gli altri strumenti di tracciamento (in particolare il fingerprinting, di cui si è parlato nel paragrafo 2), la regolamentazione della “zona grigia” che finora aveva permesso di adottare pratiche ai limiti della liceità, la responsabilità del Titolare del trattamento, il banner, l’acquisizione del consenso e i cookie analitici.

Vediamo insieme punto per punto.

Per maggiori approfondimenti
consulta la sezione
“Privacy e Cybersecurity”
di Diritto.it

  1. Consenso e basi giuridiche

Per quanto riguarda i cookie c.d. tecnici, l’unico obbligo del Titolare sarà quello di informare l’utente della loro presenza tramite specifica informativa, anche da inserirsi in quella generale (c.d. privacy policy) del sito. Tutti i cookie o altri strumenti di tracciamento presenti per finalità diverse da quelle tecniche (quindi i cookie analitici, di profilazione e di terze parti) potranno essere utilizzati solo previa acquisizione del consenso informato dell’utente interessato.

Il consenso dovrà sempre essere una azione di opt-in, e mai di opt-out (in ossequio al principio di data protection by default: l’utente potrà sempre cambiare idea successivamente ed esercitare l’opt out, come si vedrà più avanti) ed il silenzio o l’inattività dell’interessato non configura un assenso, così come le caselle pre-flaggate sono considerate illegittime.

In questo modo il Garante sancisce in via definitiva e non passibile di alcuna diversa interpretazione l’unica base giuridica valida per l’utilizzo dei cookie e degli altri strumenti di tracciamento. In nessun caso sarà possibile, pertanto, porre come base di liceità del trattamento altre basi giuridiche, ed in particolare non sarà (più) possibile invocare il legittimo interesse del titolare del trattamento per utilizzare gli strumenti di tracciamento online.

La novità non è di poco conto, e soprattutto non sarà di poco impatto per le aziende online che basano sul tracciamento della navigazione una larga parte del proprio business.

Il legittimo interesse tante volte veniva usato, in luogo del consenso, come base giuridica in maniera del tutto forzata, navigando una delle tante “zone grigie” di cui si è detto poco sopra lasciate dal provvedimento del 2014.

Oggi questa sorta di scappatoia è stata definitivamente bandita dal Garante.

  1. Scrolling e cookie wall

Come deve essere acquisito il consenso?

Il Garante ritiene che l’impianto di acquisizione del consenso sancito nel 2014 (banner con informativa breve e informativa completa) sia ancora valido, tuttavia effettua alcune specificazioni, alla luce dei chiarimenti dell’EDPB di cui si è detto sopra, in particolare sulle gettonate pratiche dello scrolling e del cookie wall.

Partendo dal presupposto del Considerando 32 del GDPR, ossia che il consenso dovrebbe essere espresso mediante un atto positivo e inequivocabile, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano, e facendo proprie le raccomandazioni espresse dall’EDPB con il parere 5/2020 del 4 maggio 2020, il Garante ha espressamente dichiarato illegittimo il consenso desunto dallo scrolling.

Ossia, il semplice fatto di scrollare una pagina, bypassando il banner per andare a leggere i contenuti del sito, non può essere considerato di per sé un consenso validamente espresso per l’installazione dei cookie di profilazione.

Il Garante non esclude che lo scrolling possa contribuire, unitamente ad altri elementi, a dimostrare l’acquisizione di un valido consenso, in ossequio al principio di accountability, secondo il quale è di fatto il Titolare a scegliere le misure tecniche ed organizzative idonee in grado di proteggere i dati personali e di essere in grado di dimostrarlo in sede di eventuale verifica. Tuttavia, invita il Titolare a ponderare con grande attenzione le scelte compiute in sede di privacy by design.

Analogo discorso vale per il c.d. cookie wall, intendendosi con tale espressione   un   meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito. È evidente la violazione dell’art. 4 del GDPR, con particolare riferimento alla libertà del consenso, in quanto un consenso che viene prestato a pena di impossibilità di accedere al sito, non può essere considerato libero.

Valgono qui le medesime considerazioni effettuate poco sopra per lo scrolling, ovvero che al Titolare potrebbe, muovendosi nel perimetro di accountability, abbinare al cookie wall altra forma per validare il consenso acquisito, ma la scivolosità del terreno spinge a cercare soluzioni alternative più chiare e che si prestino meno a equivoci e, di conseguenza, a contestazioni.

Consigliamo:

I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



Come abbiamo detto, essenziale per l’utilizzo dei cookie è che l’utente sia informato della loro presenza e delle finalità e caratteristiche degli stessi.

Solo i cookie tecnici possono essere utilizzati senza consenso (ma con informativa), mentre per quelli analitici e soprattutto di profilazione, anche di terze parti, è obbligatorio che all’informativa segua l’acquisizione del consenso.

Sarà quindi necessario che il sito presenti un banner, nella prima pagina del sito, di adeguate dimensioni (ma non tale da oscurare tutta la pagina, per cui, pur di toglierlo di mezzo, l’utente dia il consenso) che, per impostazione predefinita (privacy by default) non installi alcun cookie diverso da quelli necessari prima che l’utente abbia compiuto la propria scelta.

Deve essere previsto il pulsante di chiusura del banner (una X in alto a destra, generalmente) che se azionato chiude il banner mantenendo le impostazioni di default, quindi non installando alcun cookie di profilazione. Tale comando deve essere graficamente evidente e, per evitare di influenzare l’interessato, sia il comando di chiusura sia gli ulteriori comandi (consenso all’installazione di tutti i cookie o rinvio ad una pagina di espressione delle preferenze relative) dovrebbero avere uguali colori, uguali dimensioni e rilevanza grafica.

Il banner deve altresì contenere un’informativa breve, che specifichi che il sito potrebbe installare i cookie di profilazione o altri strumenti di tracciamento, ma che lo farà solo dopo il consenso, ed il link all’informativa completa, che deve essere presente anche nel footer di ogni pagina del sito, un comando che consenta l’accettazione di tutti i cookie ed un link dove è possibile esprimere le proprie preferenze e selezionare solo alcuni dei cookie cui l’utente intende acconsentire.

I tipi di cookie possono essere raggruppati in categorie omogenee, ovvero non è necessario elencare dettagliatamente tutti i cookie presenti, ma solo di quali tipi si tratta, ma le terze parti devono invece essere elencate specificamente e raggiungibili attraverso specifici link.

Un tema che è stato affrontato dal Garante è quello della riproposizione del banner, ovvero il caso in cui l’utente abbia negato il consenso ai cookie che si ritrova, ogni volta che torna sul medesimo sito, nuovamente il banner per effettuare la scelta: ho già detto di no, inutile chiedermelo di nuovo.

Dunque una volta compiuta la scelta, il banner non dovrebbe essere riproposto, per non “esasperare” l’utente ed indurlo a compiere una scelta condizionata e non libera solo per togliersi il fastidio. Il banner non può essere riproposto prima di sei mesi dalla prima scelta effettuata, a meno che vi siano mutamenti significativi delle condizioni di trattamento (ad esempio cambiano le tipologie si cookie utilizzati, o le terze parti).

Secondo il principio generale relativo al consenso espresso al GDPR, l’utente interessato ha sempre la possibilità di cambiare idea relativamente al consenso prestato o negato, e dovrebbe poterlo fare con la stessa facilità con cui è stata compiuta la prima scelta. Il Titolare sarà quindi obbligato ad inserire nel footer di ogni pagina del proprio sito un link che chiaramente spieghi la possibilità di rivedere le proprie scelte sull’utilizzo dei cookie, sia in un senso sia nell’altro.

Chiaramente, i consensi e le modifiche devono essere raccolti in apposito data base nel back end del sito e non, come spesso avviene, dispersi nell’etere, ed il sistema deve essere in grado di sovrascrivere le decisioni dell’interessato, in modo che il titolare sia sempre in grado di dimostrare le scelte fatte, in ossequio al (solito) principio di accountability. Sarà quindi necessario che non solo il Titolare del sito, ma anche la web agency del medesimo sia in regola con il GDPR ed in grado di operare secondo i principi di privacy by design e by default.

Infine, i consensi ottenuti (lecitamente e validamente) prima del 9 luglio, purché conformi al GDPR e documentabili, restano validi, ma deve essere anche per loro prevista la possibilità di effettuare l’opt-out.

  1. Informativa privacy e cookie

Come accennato in precedenza, all’informativa breve contenuta nel banner dei cookie, deve fare da pendant un’informativa esaustiva e completa, che costituisce parte integrante e sostanziale della privacy policy del sito.

Il link all’informativa deve essere contenuto nel footer di ogni pagina del sito ed anche accessibile dal banner stesso, o in prima pagina o nell’area che si apre quando all’utente interessato è data la possibilità di valutare le varie opzioni ed esprimere le preferenze.

L’informativa deve avere le caratteristiche previste dagli artt. 13 e 14 del GDPR, essere chiara e concisa, resa con linguaggio semplice ed accessibile, in modo che sia di facile comprensione anche per i non addetti ai lavori.

Dovrà contenere i dati del Titolare e del DPO se presente, le tipologie di dati raccolti e le finalità del trattamento, l’indicazione delle basi giuridiche, le modalità di trattamento, i tempi di conservazione, l’indicazione di eventuali terzi destinatari dei dati e le modalità di esercizio dei diritti degli interessati.

Per quanto riguarda nello specifico i cookie o gli altri strumenti di tracciamento, sarà necessario spiegare brevemente di che cosa si tratta, esplicitando la distinzione tra i vari tipi di cookie e di strumenti esistenti ed indicando nello specifico quali cookie vengono utilizzati sul sito.

Per i cookie analitici, dovranno essere presenti le istruzioni, suddivise per i vari browser, per disattivarli in autonomia.

  1. Conclusioni

Le nuove regole, che riprendono ed integrano la legge già esistente, obbligheranno le aziende che hanno un sito web (ossia praticamente tutte) ad adeguarsi, nei prossimi sei mesi, termine ultimo per la messa in conformità.

Tale attività di adeguamento non dovrà e non potrà limitarsi all’aggiornamento del banner e della cookie policy, ma dovrà consistere in un vero e proprio restyling tecnico dei siti, che anche e soprattutto nel back end dovranno gestire le anagrafiche dei consensi in maniera dinamica, pronti a registrare ogni cambiamento di idea da parte dell’utente e a dimostrare in ogni momento di avere ben chiaro il flusso dei dati e il loro trattamento.

Come sempre accade, da ogni nuova sfida possono derivare innumerevoli opportunità, ed il Titolare potrebbe approfittare di questo nuovo obbligo di legge per implementare nuove procedure di gestione del consenso digitale, anche in vista del nuovo Regolamento Europeo e-privacy, che non tarderà ad arrivare.

Ormai nessuno può più negare la crucialità dei dati nei nostri sistemi di business e di conseguenza la necessità di avere sistemi informatici adeguati, non solo per la protezione dei dati degli interessati, ma anche per lo sviluppo del proprio fatturato, in piena armonia con quello che è il vero spirito del Regolamento Europeo, che non vuole solo porre divieti e limiti ai Titolari, ma anche sostenere le imprese nella gestione di un patrimonio aziendale di inestimabile valore.

L’adozione delle procedure relative alla gestione del consenso digitale, da attuarsi in concomitanza dell’adeguamento alla nuova cookie law, oltre a mettere al riparo il Titolare dagli enormi rischi sanzionatori del GDPR, da sommarsi al danno di immagine che ne deriverebbe, potrebbe consentire alle aziende di non disperdere ed anzi conservare ed utilizzare il proprio patrimonio di dati già trattati attraverso sistemi di tracciamento, quali cookie e affini.

Solo con un consenso lecitamente e validamente raccolto, infatti, il Titolare potrà continuare ad utilizzare i preziosissimi dati raccolti con i cookie, mettendo al sicuro il proprio business e i diritti e le libertà fondamentali degli interessati, realizzando la sintesi perfetta tra profitto e protezione che, nello spirito della accountability, porta alla conformità al Regolamento Europeo.

 

Per maggiori approfondimenti
consulta la sezione
“Privacy e Cybersecurity”
di Diritto.it

E-Books consigliati:

Casi e questioni di data breach - e-Book in formato zip

Casi e questioni di data breach - e-Book in formato zip

Michele Iaselli, 2021, Maggioli Editore

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre...



I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Si è laureata a pieni voti all’Università di Torino, ha studiato in Francia e negli Stati Uniti e da quindici anni svolge la professione di avvocato. Mediatore professionista e docente presso Master e corsi specialistici in materia di mediazione, dal 2012 si occupa esclusivamente di privacy e protezione di dati personali. Ha conseguito il Master Federprivacy nel 2016, è DPO in una ventina di Comuni ed Enti Pubblici in Piemonte e consulente privacy per aziende in ambito sanitario e tecnologico.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!