GDPR, Cookie Policy e sanzioni: sei mesi di giro di vite. A tu per tu con l’esperto

Sei mesi di controlli: sono quelli che nella prima metà del 2022 ha previsto e annunciato il Garante della Privacy con l’obiettivo di setacciare il web italiano e iniziare a sanzionare quanti in questi anni non si sono ancora messi in regola con il tanto famigerato GDPR (il Regolamento comunitario 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali) e hanno provato a barcamenarsi senza precisione in cookie policy o privacy policy. Il più delle volte l’internauta pensa ingenuamente che il problema non sussista: vuoi perché è piccolo il suo spazio web (come ad esempio un blog) o vuoi perché le intenzioni in realtà siano le migliori (magari, non sa nemmeno che il suo CMS conservi dati personali sensibili). Resta però il dato di fatto che più passa il tempo più la Rete richiede regole. L’argomento privacy è chiave nel mondo interconnesso in cui il Web gioca un ruolo essenziale e quindi, anche in questo caso, vale l’adagio che la legge non ammette ignoranze.

E noi, cercando di comprendere come stanno le cose, abbiamo deciso di parlarne con un massimo esperto dell’argomento. Parliamo di Ernesto Falcone, uno degli amministratori di Fast Informatica srl, Consulente Privacy e Privacy Officer certificato TUV dal 2015, Delegato FEDERPRIVACY per Caserta e provincia dal 2020. Un professionista che si occupa di protezione di dati personali dal 2000, ben prima dell’emanazione della legge 196/2003 che regolamenta la privacy in Italia.

GDPR, la situazione attuale

Dottor Falcone, dall’alto della sua esperienza e della sua percezione sul campo, come siamo messi in questo momento in Italia con il rispetto del GDPR? Tra banner cookie fittizi e privacy policy raffazzonate, qual è lo stato dell’arte?
“Pur essendo il GDPR ormai entrato in vigore da quasi 3 anni – li compie il prossimo maggio, ndr – la consapevolezza è ancora molto bassa e talvolta inconsistente da entrambi i lati, sia quello degli utenti che quello di imprenditori e/o Pubblica Amministrazione (ancora meno). Nel dettaglio relativo ai cookie e ai siti web, il nostro Garante a giugno dello scorso anno ha pubblicato delle linee guida sul corretto comportamento: un vademecum su come la persona e/o l’azienda dovrebbe trattare i cookie per ottemperare alla legge sulla privacy se sta aprendo e/o è già in possesso di un sito web”.

Queste linee guida sui cookie sono ‘in pratica’ diventate obbligatorie dall’inizio del 2022.
“Dal 10 gennaio di quest’anno. In termini molto semplici e pratici si afferma che i cookie tecnici acquisiscono sì dei nostri dati, ma che se questi servono a effettuare la trasmissione sulla rete o strettamente necessari per il funzionamento del nostro sito non richiedono il consenso. Tutti gli altri cookie (a prescindere da chi siano installati, se da me o da terzi come Facebook o Instagram) hanno la necessità di chiedere un consenso e senza consenso non è possibile in alcun modo utilizzarli“.

L’impressione è che negli scorsi mesi ci sia stata la corsa per adeguarsi alla meglio all’ennesima ‘noia burocratica’ nel modo più semplice ed economico possibile. In realtà questa sufficienza ha generato un cortocircuito e si è finiti per mischiare in un unico calderone questioni quasi esclusivamente tecniche come quelle dei cookie con altre di più ampio respiro come la gestione della privacy.
“La gestione dei dati personali, fatti in un’azienda che sia pubblica o privata, non nasce nel momento in cui lo strumento è in atto, ma quando lo strumento viene concepito. Facendo riferimento al sito web, trattare i dati personali non è solo gestire i cookie ma è anche chiedere, ad esempio, un dato per inviare una newsletter. In questi casi abbiamo diversi trattamenti che non possono essere gestiti in maniera cumulativa, magari confondendo il consenso cookie con il permesso chiesto all’utente per fornirgli un servizio come la newsletter. Per gestire questi casi, lo strumento più importante è quello dell’informativa, dove possiamo contemporaneamente gestire i diversi trattamenti e descriverli nel dettaglio. L’azienda che ritiene di risolvere il problema privacy con un banner sulle tre linee di richiesta del Garante sul GDPR – senza preoccuparsi di tutto quello che c’è dietro quel banner – ovviamente sbaglia di grosso. L’errore può essere commesso in maniera colposa o meno, ma ci si può ovviare solo in un modo: produrre informative chiare e esaustive, anche se rischiano di essere lunghe, e solo dopo preoccuparsi di acquisire i consensi opportuni”.

Quanto è probabile che un’azienda, magari piccola, che non abbia una figura deputata a queste attività nell’organico, possa essere in regola con quanto chiesto a norma di legge?
“Senza una competenza specifica è dura, soprattutto se l’azienda ha una presenza sul web consistente. Un esempio: nel caso che l’azienda possegga un e-commerce e non ha una figura specializzata, interna o esterna che sia, sulle tematiche relative alla privacy digitale la possibilità di fallire nella gestione è elevatissima. Con un sito invece semplice il rischio è inferiore, certo. A proposito dei cookie, nei primi sei mesi (del 2022, ndr) il Garante setaccerà, da utente qualsiasi e senza che il proprietario se ne renda conto, i siti web italiani per verificare l’aderenza alla complianz dettata sul GDPR: il rischio di venir beccati è molto alto”.

I rischi concreti

Dobbiamo allarmarci? O meglio, chi corre un rischio in questo momento? I blogger, ad esempio, che al massimo moderano i commenti ai loro post / articoli, possono stare tranquilli?
“Anche il blogger gestisce i dati personali, proprio contenuti nei commenti ad esempio. I dati personali non sono solo nome e cognome ma anche pensieri che posso esprimere su aspetti del tipo politico, sindacale, sessuale. Un blogger, anche se semaforizza solamente le discussioni, è coinvolto nella gestione dei dati personali”.

Anche il libero cittadino ha gli stessi vincoli di un’azienda o della Pubblica Amministrazione nella gestione della privacy?
“Il GDPR e la legge sulla privacy si rivolgono a tutti e non specificamente a soggetti giuridici. Si rivolgono a chiunque, insomma, effettui trattamento dei dati personali e non a fini esclusivamente personali. Le porto un esempio. Ho un’agenda digitale in cui conservo i numeri di telefono dei miei amici che uso solo per motivi personali, senza offrire loro né servizi né prodotti né tantomeno apro una discussione collettiva: in questo caso non sono soggetto al GDPR. Negli altri casi, appena tratto dati personali sono tenuto al rispetto del GDPR qualunque forma io abbia”.

Forse è una questione culturale, forse dovremmo acquisire il concetto che se possediamo un sito internet tutti noi in una qualche misura gestiamo dati personali.
“Io direi che chiunque si affacci a Internet sta in qualche modo trattando dati personali, certo”.

Se il sito non usa cookie, si è comunque tenuti a comunicarlo?
“Non c’è l’obbligo di comunicazione fin quando i cookie sono solo tecnici. Ma deve esserne assolutamente certo. Quindi o sono io personalmente ad aver implementato il sito e/o ho la competenza tecnica per sapere oltre ogni dubbio che i cookie usati sono solo quelli tecnici o mi devo preoccupare che la mia agenzia web o il mio sviluppatore mi dica la verità sui cookie che sta utilizzando il sito“.

Spesso si è convinti che sia l’agenzia web (o similare) da cui acquistiamo siti e servizi a dover ottemperare alla questione privacy e GDPR: è davvero così?
“In linea generale, nel momento in cui un soggetto vuole realizzare un sito web lo stesso deve essere consapevole che è lui che rischia. Tutto ciò che può accadere in relazione ai dati personali sono una sua prima responsabilità. Ed è tanto vero quello che le sto dicendo che quando questo soggetto si rivolge a un fornitore, la scelta di quel fornitore è sua responsabilità. In sintesi, quindi, il soggetto non potrà in nessun modo rivalersi verso il fornitore nel momento in cui dovesse ricevere un’ispezione o una sanzione da parte delle autorità. A meno ché in fase di contratto tra le parti non sia stato ben specificato – come impone il GDPR – che il fornitore è nominato responsabile del trattamento“.

I controlli, le verifiche e le sanzioni in materia GDPR sembrano essere leggende metropolitane. Sappiamo invece che non è così, me lo conferma?
“Posso dirle che l’Italia, con il suo Garante, è il Paese che ha comminato le sanzioni più alte di tutta Europa in tre anni di GDPR. In particolare, agli operatori telefonici tutti e operatori di energia tutti“.

Va bene per i ‘colossi’ commerciali, ma per le imprese più piccole?
“Ci sono notevoli quantità di casi già registrati di inadempienza a quanto stabilito dal GDPR. Ma a prescindere dalla dimensione dell’azienda, quello di cui preoccuparsi dovrebbe non tanto essere la sanzione amministrativa – che comunque ha la sua importanza – quanto il fatto che il Garante prevede la pubblicazione del provvedimento sanzonatorio sul proprio sito web. Una pubblicazione mina soprattutto la reputazione dell’azienda“.

Le figure chiave

Un altro punto dolente della facilità con cui al giorno d’oggi si possa portare il proprio sito sul web del resto è anche in questi importantissimi dettagli. Le porto un esempio: spesso i nomi indicati nelle informative come responsabili del trattamento dei dati personali sembrano i primi ad essere venuti a mente a chi li scrive, quando non è così. Cerchiamo di fare chiarezza sui ruoli.
“Nel momento in cui esiste un trattamento, ci sono dei ruoli da rispettare. Il soggetto proprietario del sito web viene catalogato e definito dal GDPR titolare del trattamento dei dati personali e in quanto titolare su esso confluiscono tutte le responsabilità. Poi esistono i fornitori, che a vario titolo offrono servizi al titolare del trattamento e hanno il ruolo per il GDPR di responsabili del trattamento dei dati personali. Nel momento in cui, attraverso il sito e/o lo strumento digitale, si dovessero raccogliere determinate tipologie e/o quantità consistenti di dati c’è l’obbligo da parte del titolare del trattamento dei dati personali di aggiungere a questo organigramma GDPR la figura del DPO (Data Protection Officer) ossia Responsabile della Protezione dei Dati Personali“.

L’obbligo di DPO è dato da una condizione specifica, ad es. oltre un certo numero di dati da gestire?
“No. Il GDPR, contrariamente a quanto stabilito prima dalla legge sulla privacy italiana e ai parametri in esso contenuti ha introdotto il concetto dell‘accountability o volendo semplificare del buon padre di famiglia. Non ci sono regole, ma c’è un fine: proteggere i dati personali. Questo concetto, applicato alla necessità di DPO, sta non tanto nella quantità ma nella sensibilità e pericolosità dei dati raccolti. Faccio un esempio per tutti: se il mio sito web è ad esempio il sito di un laboratorio d’analisi, che per sua natura gestisce dati sensibili come quelli sanitari e lo fa anche con la piattaforma web, in tal caso l’obbligo è chiaro che sussiste anche fosse solo per una manciata di persone”.

Il DPO deve avere una formazione e/o una certificazione particolare?
“Non è previsto dal GDPR che il DPO abbia delle certificazioni, anche perché non ne esistono di riconosciute in questo momento…”.

Sarebbe auspicabile?
“Sarebbe auspicabile anche se, non esistendo certificazioni ‘ufficiali‘, ce ne sono comunque di vario tipo. Resta sempre in capo al titolare del trattamento dei dati la responsabilità (e la verifica) di eleggere un DPO all’altezza; è chiaro che a pesare sulla scelta di un DPO al momento c’è il curriculum e le esperienze maturate ma anche quanti incarichi attualmente ha. Un DPO con troppi incarichi ad esempio mi allarmerebbe”.

DPO e responsabile trattamento dati: basta mettere il nome sul sito web o c’è bisogno di altre tipologie di documentazione e/o comunicazione?
“Il DPO secondo GDPR deve essere comunicato dall’azienda al Garante della Privacy. C’è una comunicazione ufficiale degli estremi del DPO sul sito apposito del Garante. Il Garante, per qualsivoglia motivo debba contattare la mia azienda, contatterà prima il DPO. Dato per assunto ciò, è fatto obbligo per ogni informativa di trattamento dati pubblicata l’inserimento del riferimento di contatto del DPO (non obbligatoriamente il nome)”.

Per le altre figure?
“Non vi è obbligo nell’ambito dell’informativa, ma ne devo fornire quantomeno le tipologie. Se io avessi fornitori ai quali trasmetto dati personali per il trattamento, sarei tenuto a indicare le tipologie di fornitori. Questo sia nei documenti digitali che su un’informativa cartacea, sia chiaro”.