Rischio di sanzioni in tema Privacy per il 2022
La forte digitalizzazione degli ultimi anni – sia nell’ambito della Pubblica Amministrazione che nelle aziende private – ha determinato, da una parte, il sorgere di nuove figure, quali ad esempio il Responsabile per la transizione digitale e il Responsabile della conservazione digitale e, dall’altra, ha provocato un significativo aumento dell’uso del web, incrementando la necessità di tutelare gli utenti che navigano nella rete.
Come si vedrà meglio nel corso del presente articolo, il Codice della Amministrazione Digitale, le Linee Guida per l’Italia Digitale e le Linee Guida del Garante della Privacy hanno sancito alcuni obblighi in capo alle imprese, alcuni dei quali dovranno essere implementati entro l’inizio del 2022. Sono stati definiti, dunque, alcuni termini specifici entro cui adeguarsi che, qualora fossero violati, potrebbero provocare sanzioni.
1) Cookie policy sui siti da rifare? Nuove linee guida privacy
Obbligatorio per tutte le aziende
Il Garante della Privacy ha previsto particolari adempimenti in capo ai titolari di siti web, che dovranno essere implementati entro il 10 gennaio 2022 per risultare a norma con le disposizioni in materia di privacy. Lo scorso 10 luglio, infatti, il Garante per la protezione dei dati ha pubblicato le nuove Linee Guida in tema di cookie, che specificano le corrette modalità di utilizzo dei cookie e degli altri sistemi di tracciamento, nonché le modalità di acquisizione del consenso sui siti web degli interessati. In particolare, viene stabilito che:
- i cookie tecnici sono strumenti “finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. Pertanto, date le funzioni svolte da tali tipologie di cookie, il Garante Privacy non ha modificato l’esenzione per i titolari del trattamento dall’obbligo di acquisizione del consenso dell’utente;
- i cookie di profilazione, come sappiamo, sono quegli strumenti che, raccogliendo informazioni sui comportamenti degli utenti online, servono a creare dei veri e propri profili, al fine di creare servizi pubblicitari e di marketing “mirati”. A tal proposito, vi potrebbero essere alcune criticità, tanto che, nelle Linee Guida, il Garante Privacy ha ribadito nuovamente che il loro utilizzo è lecito esclusivamente previo esplicito consenso dell’utente.;
- anche i Cookie analitici richiedono, per la loro attivazione, il consenso espresso dell’utente. È fatto salvo il caso, però, in cui sussistano tutte le seguenti condizioni:
- vengono utilizzati unicamente per produrre statistiche aggregate e anonime;
- vengono utilizzati in relazione ad un singolo sito o una sola applicazione mobile;
- viene mascherata almeno l’ultima componente dell’indirizzo IP;
- le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi.
Tipologie di Cookies e Garante Privacy
Inoltre, in materia di consenso di accettazione dei cookies, il Garante Privacy ha trattato due importanti questioni: lo Scrolling e la Cookie Wall.
In particolare, in merito allo scorrimento (Scrolling) della pagina di qualsiasi sito, il Garante Privacy ha affermato che, in linea di massima, tale attività non può e non deve essere considerata una manifestazione del consenso all’attivazione di qualsiasi tipologia di cookie presente sul sito. Sono fatti salvi, però, alcuni casi particolari.
Per quanto concerne il cosiddetto “cookie wall”, ovvero la tecnica per cui si impedisce la navigazione del sito all’utente che non ha previamente manifestato le proprie preferenze in tema di cookie, il Garante si è espresso definendolo come una modalità di coercizione del consenso dell’utente e, pertanto, attività illecita.
2) La figura del Responsabile della conservazione digitale
Obbligatorio per tutte le aziende
Anche per quanto concerne la conservazione digitale, la normativa di riferimento è il Codice dell’Amministrazione Digitale. Tale Codice è stato aggiornato con le nuove Linee guida dell’Agenzia per l’Italia Digitale (AGID), per le quali è prevista l’entrata in vigore entro il 1° gennaio 2022. Le Linee Guida rappresentano un tentativo di riordino normativo in materia di gestione e conservazione dei documenti informatici.
Ma in cosa consiste la conservazione? Il sistema di conservazione digitale rappresenta l’insieme delle procedure e tecnologie che garantiscono la conservazione dei documenti in formato digitale sia delle imprese pubbliche che private.
Anche in questo caso, le Linee Guida prevedono l’obbligo per i soggetti anche privati che svolgono attività di conservazione (salvo ove diversamente previsto) di nominare un Responsabile della conservazione digitale. Quest’ultimo è la figura che definisce e attua le politiche del sistema in questione. Infatti, secondo l’art. 44, comma 1 quater del CAD, “il responsabile della conservazione, che opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi […] effettua la conservazione dei documenti informatici”
Alla luce delle previsioni delle nuove Linee Guida, è necessario prestare particolare attenzione ai compiti e alle responsabilità della suddetta figura. In primo luogo, egli deve definire le politiche di conservazione e i requisiti funzionali del sistema di conservazione, gestire il processo di conservazione e garantirne la conformità alla normativa vigente. In secundis, il responsabile deve effettuare il monitoraggio della corretta funzionalità del sistema di conservazione, nonché adottare le misure necessarie per la sicurezza fisica e logica del sistema di conservazione.
3) Responsabile per la transizione digitale (RTD)
Obbligatorio per le pubbliche amministrazioni
Il Codice dell’Amministrazione Digitale (decreto legislativo 82 del 2005, CAD) è un testo unico che disciplina la digitalizzazione della pubblica amministrazione nei rapporti con i cittadini e le imprese e, in alcuni settori, anche l’attività dei privati.
L’art. 17 del Codice individua il Responsabile per la transazione digitale (RTD) come figura di livello dirigenziale – anche se, in alcuni casi, ci potrebbero essere delle eccezioni – all’interno della Pubblica Amministrazione, che deve garantire la trasformazione digitale dell’amministrazione, attraverso lo sviluppo di molteplici servizi pubblici digitali e l’adozione di nuovi modelli di relazione trasparenti nei confronti dei cittadini.
Con l’obiettivo di accelerare sul fronte dell’innovazione al servizio di cittadini e imprese, è previsto l’obbligo per le pubbliche amministrazioni di dotarsi della figura del Responsabile per la transizione al digitale, che sta assumendo un rilievo sempre maggiore.
Peraltro, la Circolare n. 3/2018 del Ministro per la Pubblica Amministrazione ha integrato la previsione del CAD, sollecitando le P.A. ad adeguarsi al precetto normativo e definendo con più attenzione i compiti e le attività dell’RTD. Tra queste attività vi rientrano il coordinamento strategico dello sviluppo dei sistemi informativi di telecomunicazione e fonia; la pianificazione e il monitoraggio della sicurezza informatica nonché la promozione delle iniziative in merito all’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie, al fine di garantirne la compatibilità con gli obiettivi previsti dalla cosiddetta agenda digitale e dal piano triennale.
Come abbiamo anticipato, però, i tentativi di sviluppare il processo di digitalizzazione della Pubblica Amministrazione e delle aziende private sono molteplici: tra questi vi è anche la cosiddetta conservazione digitale.
Come essere a norma ed evitare sanzioni
Come anticipato, è rimasto poco più di un mese per adeguarsi alle disposizioni previste sia in tema di conservazione digitale, sia in materia di siti web, in particolare per quanto riguarda l’uso dei cookies.
Se hai bisogno di supporto per allinearti alla normativa di settore, in particolare per i tempi e le scadenze di legge, puoi contattare il nostro studio legale partner FCLEX, con sede a Bologna, chiedendo dell’Avvocato Giuseppe Croari, esperto di diritto dell’informatica e nuove tecnologie, per una consulenza specializzata e personalizzata.
Redazione Diritto Dell’Informatica