IN CHE MODO LE REGOLE SUI COOKIES SONO CORRELATE AL GDPR?

Qual è la relazione tra Norme ePrivacy per le Comunicazioni Elettroniche e GDPR?

Le Norme ePrivacy per le Comunicazioni Elettroniche si affiancano al GDPR  per fornire regole specifiche in materia di privacy e comunicazioni elettroniche. 

Le Norme ePrivacy per le Comunicazioni Elettroniche hanno la precedenza sul GDPR. Questo è importante, perché se stai impostando i cookie devi considerare la conformità Norme ePrivacy per le Comunicazioni Elettroniche prima di guardare al GDPR.

  Laddove l’impostazione di un cookie implichi il trattamento di dati personali, il Ttitolare del Trattamento deve rispettare i requisiti previsti dal GDPR.

Cosa dice il  GDPR sui cookies?

Il GDPR classifica gli identificatori di cookie come un tipo di “identificatore online”, il che significa che in determinate circostanze si tratterà di dati personali. 

Ad esempio, un cookie di autenticazione utente implicherebbe l’elaborazione di dati personali, poiché viene utilizzato per consentire all’utente di accedere al proprio account tramite un servizio online.

L’articolo 4, paragrafo 1, del GDPR definisce i dati personali come: : qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Il considerando 30 del GDPR fornisce ulteriori informazioni sul termine “identificatore online”:”Le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocollo Internet, identificatori di cookie o altri identificatori come tag di identificazione a radiofrequenza. Ciò può lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle. 

Le Norme ePrivacy per le Comunicazioni Elettroniche si applicano indipendentemente dal fatto che la memorizzazione o l’accesso alle informazioni sui dispositivi degli utenti comporti l’elaborazione di dati personali.Gli “identificatori online” possono anche includere (ma non sono limitati a) cose come: Indirizzi MAC;ID pubblicità;pixel tag;handle di account; impronte digitali del dispositivo. L’uso di questi potrebbe lasciare tracce che, se combinate con identificatori univoci e altre informazioni, potrebbero essere utilizzati per creare profili di individui e identificarli. Nel valutare se un individuo è identificabile, è necessario considerare se gli identificatori online, da soli o in combinazione con altre informazioni che potrebbero essere disponibili per coloro che elaborano i dati, possano essere utilizzati per distinguere un utente da un altro.

Bisogna essere consapevoli  del fatto che mentre un singolo elemento informativo potrebbe non essere un dato personale da solo, la combinazione di più elementi rende più probabile che le informazioni costituiscano dati personali. Ciò è particolarmente vero quando le informazioni ti consentono di individuare, fare inferenze o intraprendere azioni specifiche in relazione agli utenti (come identificarli nel tempo o su più dispositivi e siti Web, anche se non conosci il nome di quegli utenti ). In questo caso, l’elaborazione deve essere conforme al GDPR.Quando si considerano le alternative ai cookie, è anche importante esaminare il contesto più ampio della privacy. Anche laddove le regole sui cookie non si applicano, potrebbe essere necessario rispettare il GDPR. Ad esempio, se vengono raccolte informazioni che costruiscono un quadro che consente di identificare un individuo, è necessario comunicare agli interessati quali informazioni vengono raccolte, nonché come e perché.

In che modo il consensi dei cookies si adatta ai requisiti di base legale del GDPR?

Per elaborare i dati personali, è necessario disporre di una base giuridica. Il GDPR ha sei basi legali, di cui una è il consenso. Nessuna base giuridica è più importante dell’altra: quella appropriata dipende dalle specifiche del trattamento. I requisiti delle Norme ePrivacy per le Comunicazioni Elettroniche sono separati e diversi da quelli del GDPR. La guida prodotta dalle autorità europee per la protezione dei dati su come la direttiva ePrivacy si collega al GDPR chiarisce che, se è richiesto il consenso in base alle norme sui cookie:”il Titolare del Trattamento non può fare affidamento sull’intera gamma di possibili motivi legali previsti dall’articolo 6 del GDPR”.

Il modo più semplice per capirlo è che se i tuoi cookie richiedono il consenso ai sensi delle Norme ePrivacy per le Comunicazioni Elettroniche, non si possono utilizzare una delle basi legali alternative del GDPR per trattarli. Se il titolare del trattamento sta impiegando i cookie, deve consultare prima le Norme ePrivacy per le Comunicazioni Elettroniche, rispettare le sue regole specifiche, prima di prendere in considerazione una qualsiasi delle regole generali nel GDPR.

Se si è ottenuto il consenso in conformità con le Norme ePrivacy per le Comunicazioni Elettroniche, il consenso è anche la base giuridica più appropriata ai sensi del GDPR. Cercare di applicare un’altra base legale come interesse legittimo quando si dispone già di un consenso conforme al GDPR sarebbe un esercizio del tutto inutile e causerebbe confusione per i tuoi utenti.

 

Le regole si applicano a trattamento dei dati personali acquisiti tramite i cookies?

Le Norme ePrivacy per le Comunicazioni Elettroniche disciplina le regole per la memorizzazione delle informazioni o l’accesso alle informazioni memorizzate sui dispositivi degli utenti. Non contiene alcuna regola specifica per le operazioni di elaborazioni precedenti o successive che comportano l’impiego di queste informazioni. Laddove siano coinvolti dati personali, potrebbe essere possibile fare affidamento su una base legale alternativa per l’elaborazione successiva oltre l’impostazione di eventuali cookie. 

 

Regolamento e privacy in fase di discussione?

Il regolamento ePrivacy ( ePR ) è un atto legislativo europeo attualmente in fase di sviluppo. Una volta configurato, sostituirà la direttiva e-privacy su cui si basano le Norme ePrivacy per le Comunicazioni Elettroniche  . Ha lo stesso intento di fornire regole specifiche per la privacy e le comunicazioni elettroniche, ma mira ad aggiornarle e modernizzarle allo stesso modo del GDPR per la protezione dei dati.Ciò significa che queste “regole sui cookie” verranno modernizzate e aggiornate in futuro. Tuttavia, l’ePR non è ancora terminato. Pertanto, non possiamo fornire alcuna guida specifica su quali potrebbero essere le regole sui cookie in futuro.Si noti tuttavia che fino a quando l’ePR non sarà concordato ed entrerà in vigore, Norme ePrivacy per le Comunicazioni Elettroniche continuerà ad applicarsi integralmente, insieme al GDPR.