La quarta rivoluzione industriale e l’avvento del digitale hanno portato le aziende a rivedere il proprio modo di fare impresa. Non possiamo infatti prescindere dall’affermare che la maggior parte delle aziende oggi giorno è presente online, con un proprio sito internet, avendo da tempo compreso le potenzialità della rete e il suo reale impatto in termini di visibilità, credibilità e business. Il sito internet appare pertanto, un elemento dal quale oggi giorno un’azienda non può prescindere.
Occorre considerare che il sito internet dell’azienda si trova spesso nella condizione di raccogliere delle informazioni connesse alla persona fisica. In altre parole, si trova a svolgere attività di trattamento di dati personali, alla luce delle definizioni offerto ex art. 4 del Regolamento (UE) 2016/679 (GDPR).
Ciò può accadere, ad esempio, attraverso form di richiesta informazioni o di contatto, nell’eventuale area del sito deputata a raccogliere i curricula di soggetti richiedenti impiego o, più in generale, tramite i cosiddetti cookie.
Se nei primi due casi è giusto affermare che la raccolta di dati anagrafici o di contatto comporta un trattamento di dati personali in capo all’azienda, alla medesima conclusione si deve giungere anche con riferimento ai cookie.
Il GDPR chiarisce infatti che: “le persone fisiche possono essere associate ad identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
Proprio con riferimento ai “cookie e agli strumenti di tracciamento” l’Autorità Garante privacy ha emanato apposite linee guida nel provvedimento n. 231 del 10 giugno 2021, allo scopo di fornire ai titolari del trattamento indicazioni sulle corrette modalità per la fornitura dell’informativa e l’acquisizione del consenso online degli interessati, laddove ciò venga previsto, nel pieno rispetto della normativa in materia di protezione dei dati personali.
Stando a quanto affermato dal Garante, con riferimento ai cookie, la prima attività da compiere è quella di stabilire quale tipologia è stata implementata dal sito.
Nel caso in cui il sito faccia ricorso soltanto a cookie “tecnici”, il titolare del trattamento è assoggettato al solo obbligo di fornire una specifica informativa, senza tuttavia dover provvedere all’acquisizione del consenso da parte dell’utente.
All’opposto, nel caso in cui oltre a quelli tecnici vi siano ulteriori tipi di cookie (cookie di profilazione), questi ultimi potranno essere utilizzati esclusivamente previa acquisizione del consenso informativo dell’interessato (cfr. art. 122 del Codice privacy).
Tra le indicazioni fornite dalle linee guida, bisogna sottolineare come nel rispetto del requisito di “revocabilità” del consenso (cfr. par. 5.2 Linee guida 5/2020 dell’EDPB e art. 7, comma 3, GDPR), l’utente deve essere posto in ogni momento nella condizione di poter modificare le scelte effettuate e revocare il consenso prestato.
Ciò deve avvenire “in maniera semplice, immediata e intuitiva, attraverso un’apposita area da rendere accessibile attraverso un link e che ne renda esplicita la funzionalità attraverso l’indicazione di rivedi le tue scelte sui cookie”.
Ad ogni modo, per quanto l’azienda possieda una propria autonomia imprenditoriale in merito alla gestione del proprio sito aziendale, appare opportuno sottolineare come il tema dei cookie possa condurre alla necessità di acquisire un consenso informato da parte dell’interessato quale condizione di liceità del trattamento.
Quindi, eventuali violazioni ad esso inerenti sarebbero suscettibili di essere ricondotte – così come previsto ex art. 83, comma 5, lett. a), GDPR – nella fascia più aspra delle sanzioni amministrative pecuniarie previste dalla normativa europea, ovvero fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
C.L.
