GDPR, il Garante pubblica le prime FAQ sulla certificazione del trattamento dei dati  e le nuove linee guida in tema di cookie. Pubblicate dal Garante per la protezione dei dati personali e da Accredia, ente unico nazionale di accreditamento degli organismi di certificazione (OdC), le FAQ in materia di accreditamento e  certificazione del trattamento dei dati ai sensi del GDPR. Si ricorda che al riguardo il Garante aveva aperto una consultazione pubblica. Il documento fornisce chiarimenti a tutti i titolari o responsabili del trattamento dei dati, imprese e pubblica amministrazione, che desiderano ricorrere a una certificazione per dimostrare il loro impegno nel rispettare gli obblighi di protezione dei dati e la conformità dei trattamenti ai requisiti previsti dal GDPR. Si tratta di prime risposte  dedicate ad aspetti generali – cos’è la certificazione a fini privacy, che garanzie fornisce l’accreditamento, chi può richiedere e chi rilasciare le certificazioni, certificabilità di singoli prodotti, come ad es. un software per la gestione dei dati dei dipendenti – a cui seguiranno altre più specifiche. Le FAQ sono consultabili sui siti internet del Garante o di Accredia, dove è scaricabile anche un opuscolo informativo.

Il Garante per la protezione dei dati personali ha anche approvato delle nuove Linee guida sui cookie, per rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento, che aggiorna le Linee guida del 2014 si è reso necessario per: “le innovazioni introdotte dal Regolamento europeo in materia di privacy, l’esperienza maturata in questi anni (reclami, segnalazioni, pareri) sulla non corretta attuazione sull’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati”, indica la nota stampa. Sono 6 i mesi di tempo per conformarsi ai principi ivi contenuti.

L’ acquisizione del consenso on line dovrà innanzitutto garantire che “al primo accesso, per impostazione predefinita, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting)”. Il Garante chiarisce inoltre che il cookie wall, sistema che vincola gli utenti all’espressione del consenso è da ritenersi illegittimo, “salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori”. Inoltre, la ripresentazione del banner per il consenso ad ogni nuovo accesso di utenti che in precedenza l’abbiano negato, non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva (fra le eccezioni, mutamento significativo delle condizioni del trattamento, impossibilità di verifica de il cookie sia già memorizzato,  siano trascorsi almeno 6 mesi). Le nuove linee guida richiedono inoltre l’indicazione degli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni, l’uso di cookie analytics solo a scopi statistici, la distinguibilità del consenso dei banner di profilazione sul sito, e prevedono che lo scrolling non rappresenta una idonea manifestazione del consenso.  Si segnala che sul sito esiste una Pagina tematica cookie e una Scheda di sintesi.