Tempo di lettura stimato: 4'
Benvenuti in Europa! Questa è la premessa. Perché “benvenuti in Europa”? Perché spesso le norme comunitarie vengono recepite con alcune differenze nei vari Stati membri dell’UE, e questa varietà può creare delle distonie. È un fatto che ha toccato la normativa privacy fino all’entrata in vigore del GDPR ed è un fatto che, oggi, tocca anche altri aspetti importanti, come l’ambito cookies e privacy.
Ne ho parlato in un live di Raise Academy con Christopher Schmidt, Data Privacy Specialist, Magister of Law e Law Tutor. Christopher vive in Germania, con lui abbiamo già toccato il tema del trasferimento di dati all’estero e garanzie essenziali europee. Nel nostro ultimo botta e risposta abbiamo parlato di Linee Guida del Garante sui cookies e di come questo argomento viene trattato negli altri paesi europei, dato che, quando si tratta di grandi carrier come Google, Facebook eccetera, i nodi al pettine sono comuni…
Quello che segue è solo un estratto, trovi l’intervista completa su Raise Academy.
In Italia abbiamo le Linee Guida del Garante per la gestione dei cookies. E in Germania?
Andrea Chiozzi: In Italia sono uscite delle Linee Guida sulla gestione dei cookie nei portali e nei siti web. In Germania se n'è parlato, non se n'è parlato? E tu che cosa ne pensi? Te lo chiedo per capire se è un problema solo italiano o se, anche in maniera differente, c'è qualcosa di simile in altri paesi. In Germania cosa sta succedendo?
Christopher Schmidt: Purtroppo no, non se ne parla. È qualcosa di cui non siamo consapevoli qui in Germania. È una cosa proprio italiana, del Garante italiano. Non si consultano le linee guida e i documenti di questo genere delle altre Autorità. Si fa un po' a livello europeo, ma a livello nazionale no. Spesso non c'è uno scambio e a volte mi dispiace anche un po' perché, quando la consulenza riguarda clienti che non sono solo in Italia o in Germania, ma anche a livello globale, è difficile trovare una linea minima, perché alcune autorità sono più flessibili sotto alcuni punti di vista, mentre altre non lo sono. Quindi si tratta di trovare un'interpretazione che sia la stessa o almeno simile, e a volte è un po' difficile.
Andrea Chiozzi: Quindi, potenzialmente, c'è una distonia tra le indicazioni che vengono date dai vari Paesi europei. Ci si accorge che, in effetti, si fa fatica a trovare quello che in matematica si chiama il minimo comune divisore. Tu hai letto le Linee Guida italiane? Hai trovato delle differenze rispetto alle linee guida previste in Germania o si può dire che c'è una similitudine di fondo?
Christopher Schmidt: Le ho lette. Nei dettagli, fra Italia e Germania, ci sono alcune differenze, soprattutto nell'interpretazione di cosa vuol dire un trattamento, un cookie, una misura strettamente necessaria per il fornitore del servizio, per offrire quel servizio. Cos’è questo strettamente necessario? È un termine legale e possiamo interpretarlo in diversi modi. Secondo me in Germania si fa in modo un po' diverso da quanto previsto dal Garante italiano e da diverse altre autorità. C’è chi dice A, chi dice B e chi non dice proprio niente… Benvenuti in Europa! Questa è la nostra diversità.
Andrea Chiozzi: Sì, manteniamo diversità anche su questo. Quello che trovo molto interessante, nelle Linee Guida italiane, è il fatto che si prova a far capire la differenza fra titolare e responsabile del trattamento, piuttosto che le Terze Parti.
Indicazioni diverse, problemi comuni: la questione della contitolarità delle Terze Parti nella gestione dei cookies
Andrea Chiozzi: Quando lavoriamo normalmente col GDPR e parliamo di titolari e responsabili è abbastanza semplice trovare chi è il titolare e chi è il responsabile, chi fa cosa per conto di chi, chi dà istruzioni, chi deve verificare eccetera. Quando invece siamo sui cookies, è decisamente più complicato. Ad esempio, alcuni grandi fornitori si dicono titolari autonomi o contitolari addirittura, mettendoci in difficoltà. Perché non basta dire “siamo contitolari” e va bene così (ne ho parlato anche nell’articolo sulla contitolarità tra inserzionisti e fornitori del Social).
Chi è titolare, chi è responsabile, chi è Terze Parti, soprattutto quando parliamo di Google e di Facebook?
Come la pensi tu su queste 3 figure, come identificarle e come orientarci? Perché sembra un po' di essere un serpente che gira dentro ai canneti e intanto cerca di evitare di essere schiacciato dalle problematiche...
Christopher Schmidt: Partiamo dai principi del GDPR, che stabiliscono chiaramente le varie situazioni. Il punto con questi grandi fornitori - Google, Facebook, Twitter, LinkedIn - che forniscono anche API e altri elementi da integrare in un'applicazione su smartphone o su un sito web, è che loro spesso, già nei loro termini e nelle loro condizioni, dicono "Guarda, io questi dati voglio utilizzarli per i miei fini, tipo misurare l'audience, per finalità di sicurezza eccetera." Ma non c’è mai chiarezza, siamo sempre un po’ fuori dai termini della legge. Con questi fornitori, in questo momento, non si può fare business perché mancano le cose più semplici, le cose base.
Intanto Google Analytics, in Italia, è diventato “illegale” …
Andrea Chiozzi: O meglio, non è illegale. Il problema è come usi Google Analytics. La live da cui è stato estratto questo articolo - sempre attuale - è dell’aprile del 2022. Da allora, come sai, sono successe un po’ di cose. Una fra tutte: il Garante italiano (insieme ad altre autorità europee) si è pronunciato su Google Analytics. Non è certo una sorpresa. Da Schrems II in poi era solo una questione di tempo…
Ma il tema è sempre più rilevante. La compliance di siti web, App, cookies e portali è sempre più importante. Titolari e responsabili esterni devono prenderne coscienza.
E come si fa a prendere coscienza?
Con la formazione!
E la formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.