Web trasparente: nell’era dei cookie cresce la consulenza degli avvocati

È partita la corsa dei siti ad adeguare policy e utilizzo dei cookie, i “biscottini” che si visualizzano appena si apre una pagina web e che hanno diverse finalità, tra le quali quella di profilare le abitudini degli utenti. Il Garante della privacy ha di recente pubblicato le linee guida indicando come dovranno essere gestiti i cookie. In particolare, come informare le persone e metterle nella condizione di fornire un consenso consapevole all’utilizzo degli strumenti di tracciamento. Modalità che finora si sono dimostrate spesso lacunose e distanti da quanto prevede il regolamento europeo sulla tutela dei dati (il Gdpr), diventato operativo il 25 maggio 2018.

Il fermento sui cookie

Gli studi legali sono in preallerta, in particolare quelli specializzati nella tutela dei dati. Il 9 gennaio prossimo scadranno i termini della consultazione pubblica a cui il Garante ha sottoposto le nuove linee guida sui cookie e, una volta messo a punto il provvedimento, i siti dovranno adeguarsi. La partita è delicata e non si scherza, perché una profilazione illecita può costare all’impresa fino al 4% del fatturato. Ne sanno qualcosa Google e Amazon, multati qualche giorno fa rispettivamente per 100 e 35 milioni di euro dalla Cnil (Commission nationale de l’informatique et des libertés, il Garante della privacy francese), per violazione delle regole sui cookie.

«Alcune aziende si sono già attivate, ma molte altre aspettano, ragionevolmente, di conoscere il testo finale delle linee guida. Però - spiega Rocco Panetta, titolare dell’omonimo studio specializzato sulla data economy - sul tema c’è già fermento. Dobbiamo metterci nella prospettiva di studiare e tradurre in pratica le indicazioni del Garante. Non lo può certo fare un software. D’altra parte il trattamento dei dati personali è un lavoro di bilanciamento tra i diritti della persona e le esigenze dell’economia».

«Siamo chiamati soprattutto a un lavoro di consulenza - sottolinea Laura Liguori, socia di Portolano Cavallo, dove segue in particolare i temi della privacy - . È quanto sui cookie abbiamo sempre fatto e che ora ci apprestiamo a intensificare alla luce delle nuove linee guida. Dovremo aiutare i clienti a costruire la policy da pubblicare sui siti, supportarli nella mappatura dei cookie e anche su aspetti di legal design. Per esempio, non solo su come scrivere l’informativa, ma anche come proporla sul sito».

Lente sui data breach

C’è un altro versante su cui gli studi legali sono particolarmente attivi in questo periodo e che si affianca al resto delle problematiche connesse alla privacy. È quello dei data breach, ovvero della violazione dei sistemi di protezione di un archivio, con conseguenti rischi sulle informazioni personali che vi sono custodite. Non solo il tema è diventato sensibile dopo il debutto del Gdpr, ma il Garante lo ha anche inserito nel piano dei controlli dell’ultimo semestre di quest’anno. C’è da verificare come mai i sistemi di sicurezza non abbiano retto all’intrusione, quale pericolo ci sia stato per i dati, se la notifica al Garante sia avvenuta nelle 72 ore previste.

«Per rispondere alle richieste dei clienti - spiega Liguori - abbiamo da tempo approntato una sorta di unità di crisi sempre disponibile. Va innanzitutto accertato se si tratta di data breach, ovvero se le informazioni personali hanno corso rischi di perdita, diffusione o altro. In caso affermativo, vanno gestiti gli altri profili, tra i quali c’è anche quello reputazionale: la notizia della violazione è diventata pubblica?».

Il monitoraggio del Garante dimostra che in questi due anni e mezzo, dall’entrata in scena del Gdpr a oggi, i numeri dei “collassi” delle barriere di protezione di un database sono rimasti costanti, tranne un picco nell’ultimo trimestre 2019 relativo a un unico sistema di sicurezza che ha coinvolto più titolari del trattamento, che sono le figure che devono notificare il danno al Garante.

«Quando pensiamo a un data breach - commenta Panetta - lo colleghiamo a un evento esterno, mentre spesso ha origine all’interno dell’azienda: per esempio, qualcuno che usa in maniera inadeguata le credenziali di accesso di cui dispone. Dobbiamo, pertanto, affiancare il cliente nella valutazione dei meccanismi di protezione, verificare se sono conformi al Gdpr e anche interloquire con gli ethical haker, che si propongono alle imprese per indicare loro le debolezze dei sistemi di sicurezza adottati. L’intermediazione legale è insostituibile».