Il Garante per la Protezione ei Dati Personali (GPDP) ha recentemente emanato un provvedimento (pubblicato in G.U. lo scorso 09/07) denominato “Linee guida cookie e altri strumenti di tracciamento”, facendo seguito alla consultazione pubblica iniziata lo scorso dicembre.

Il presente articolo segue analogo articolo che commentava la versione posta in consultazione delle medesime Linee Guida e che ora sono state ufficialmente approvate, seppur con qualche modifica.

 Tali Linee Guida di fatto aggiornano un provvedimento analogo (n. 229, dell’8 maggio 2014) adottato prima dell’entrata in vigore del Regolamento UE 679/2016.

I riferimenti normativi su cui si basa il provvedimento sono dunque i seguenti:

• Regolamento UE 679/2016 (GDPR)
• Codice Privacy (D.Lgs 196/2003) emendato dal D.Lgs 101/2018, in particolare l’art. 122 del Codice
• Direttiva 2002/58/CE del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva ePrivacy), come modificata dalla direttiva 2009/136/CE del 25 novembre 2009
• Parere dell’EDPB n. 05/2019 del 12 marzo 2019 sulle interrelazioni tra la direttiva e-Privacy ed il Regolamento
• Linee guida EDPB 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679

Le Linee Guida dovranno essere recepite da tutti i proprietari di siti web entro sei mesi dalla pubblicazione, ovvero entro il 09/01/2022.

Si fa presente che le Linee Guida in oggetto rientrano in un ambito he verrà regolamentato da nuovo Regolamento e-Privacy – ormai di prossima emissione – che sostituirà la Direttiva e-Privacy sopra elencata.

Classificazione dei cookie ed altri strumenti di tracciamento

I GPDP distingue fra le seguenti tipologie di cookie:

1. i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);
2. i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario.

I cosiddetti “cookie analytics”, che normalmente servono ad elaborare statistiche sulle visite al sito web attraverso servizi di terze parti (ad es. Google Analytics) possono essere equiparati ai cookie tecnici solo se il gestore del sito, attraverso apposite tecniche di anonimizzazione (ad es. mascheramento delle ultime cifre dell’indirizzo IP) rende non identificabile l’utente da parte delle terze parti a cui vengono trasmessi i dati a fini statistici (il GPDP ritiene che siano possibili solo statistiche aggregate per ricadere in questa tipologia). Viceversa, i cookie analitici ricadono fra i cookie di profilazione.

Informativa e consenso

Il consenso dell’utente all’impiego dei cookie è ritenuto necessario solamente per i cookie di profilazione (compresi i cookie analitici di terze parti che presentano tali caratteristiche), mentre in ogni caso deve essere resa all’utente un’informativa sull’uso dei cookie.

In caso di utilizzo non solo di cookie tecnici il consenso all’installazione di cookie sul device dell’utente deve essere richiesto all’accesso al sito web, tramite apposito banner ben visibile. Tale banner deve avere le seguenti caratteristiche:

• riportare un’informativa breve sull’utilizzo dei cookie;
• richiamare tramite link un’informativa estesa – denominata privacy policy – che comprenda tutti i contenuti previsti dagli articoli 13 e 14 del GDPR;
• presentare all’utente un pulsante per poter rifiutare tutti i cookie;
• presentare all’utente un pulsante per accettare tutti i cookie e/o gestire diverse opzioni di scelta sui cookie, tramite link ad apposita area;
• riportare in alto a destra un pulsante a forma di X che permette la chiusura del banner; in tal caso la scelta di default sarà quella di rifiutare tutti i cookie;
• l’avvertenza che la chiusura del banner mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Non sono ammesse forme di consenso tramite il semplice scrolling della pagina web.

Non è normalmente lecito implementare i c.d. cookie wall ovvero un banner che permette l’accesso al sito solo previa accettazione di tutti i cookie.

Il consenso raccolto deve essere documentabile e l’utente deve aver la possibilità di revocarlo successivamente, anche perché il sito deve mantenere traccia delle scelte effettuate dall’utente al primo accesso al sito (anche e soprattutto se ha rifiutato i cookie) e fornirgli la possibilità di aggiornare successivamente tali scelte (sempre che ciò sia possibile, salvo l’utente non sia identificabile, l’impiego dei cookie sia stato modificato, ecc.).

I consensi e le scelte relative all’utilizzo dei cookie devono essere mantenuti dal sito per sei mesi.

La privacy policy, che deve essere facilmente accessibile da tutte le pagine del sito, deve contenere, tra l’altro:

• l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali raccolti tramite i cookie o tecnologie similari ed i tempi di conservazione delle informazioni acquisite;
• l’indicazione delle modalità previste dalle terze parti per esercitare i propri diritti in termini di modifica/revoca del consenso;
• l’elenco dei cookie – raggruppati in categorie omogenee – utilizzati dal sito.

Conclusioni

Premesso che il presente articolo rappresenta solo una sintesi del Provvedimento del GPDP in oggetto e che, pertanto, è necessario che siano letti attentamente sia le Linee Guida, sia l’allegata Scheda di Sintesi per provvedere all’aggiornamento dei siti web in conformità alle Linee Guida, si sottolinea il fatto che il documento del GPDP ha contenuti tecnici che dovrebbero essere esaminati dal gestore del sito o dal responsabile del suo sviluppo (in caso di nuovi siti).

Poiché i siti web sono pubblici e, quindi, facilmente ispezionabili dall’Autorità di Controllo, le eventuali non conformità rispetto alla normativa sono facilmente identificabili.

Ricordiamo che eventuali sanzioni sono sempre a carico del proprietario del sito web (facilmente individuabile – anche per siti “dimenticati” – dalle funzionalità Whois presenti sul web), mentre lo sviluppatore del sito o il suo gestore/manutentore è responsabile solo di adempiere al contratto fra le parti, nel quale il Titolare del trattamento dovrà prevedere appositi impegni di conformità alle Linee Guida in oggetto.

L’impatto su molti siti web i cui proprietari desidereranno adeguarsi alle nuove Linee Guida non sarà ininfluente, in quanto richiederà un intervento tecnico da parte di personale specializzato. Anche nel caso di siti realizzati con CMS (Content Management System) quali WordPress o Joomla, solo per citarne alcuni, si dovrà intervenire con appositi plugin o servizi specializzati, per lo più a pagamento, che permettono di gestire i cookie in modo guidato.

Prevedo già che alcuni fornitori se ne approfitteranno, richiedendo cifre esagerate per ottenere la conformità dei cookie.

In ogni caso ci sarà un aggravio di costi anche per siti di aziende senza particolari velleità di marketing digitale spinto e qualcuno accuserà la privacy di creare solo costi aggiuntivi per le imprese e questo non è bello.

Viceversa i siti che utilizzano pesantemente le tecnologie di tracciamento a fini di marketing ne subiranno le conseguenze più significative. Il Digital Marketing dovrà rivedere alcuni approcci, in quanto l’opzione di default, preimpostata come evidenziata, “Accetta tutti cookie” non potrà più essere contrapposta al classico pulsante “Personalizza” o “Gestisci le tue preferenze” che spesso ci porta in percorsi molto articolati nei quali è difficile districarsi (provate a gestire le preferenze sui cookie in Facebook per credere). Il default sarà “Rifiuta tutti i cookie non tecnici” e persino la chiusura del banner porterà automaticamente ad una scelta di rifiuto dei cookie.

Restano possibili, di default, le pure statistiche aggregate sulle visite al sito tramite Google Analytics, ma a condizione che l’indirizzo IP nel cookie sia mascherato, procedimento non certo immediato.

Francamente poco condivisibile è la necessità di conservare la scelta sul consenso o rifiuto dei cookie in sessioni successive, perché appesantisce la gestione dei cookie, soprattutto in siti molto trafficati, e di limitata utilità per l’utente che non si collega sempre con lo stesso dispositivo ad un certo sito web o che ha implementato procedure di cancellazione periodica dei cookie dal proprio terminale attraverso funzioni specifiche del browser o utility di pulizia del PC.

Permangono alcune perplessità sull’approccio non proprio omogeneo di diverse Autorità di Controllo sulla Protezione dei Dati a livello europeo (in ambito UE e di Paesi appena usciti dalla UE), vista l’internazionalità dei siti web: un sito deve seguire la normativa italiana se è di proprietà di un titolare del trattamento italiano, se è un sito .it, se è un sito ospitato su server in Italia?

Anche se non citate esplicitamente nel provvedimento, le Linee Guida sui cookie comprendono anche altre tecnologie di tracciamento che dominano il mondo del digital marketing.

Molte imprese vorranno vedere prima Facebook, Amazon e Google mettere i pulsanti “Rifiuta tutti i cookie” in bell’evidenza prima di adeguare i loro siti.

Il divieto del c.d. cookie wall – da cui si può prescindere in casi non proprio chiarissimi – pone un interrogativo di fondo: perché non poso fornire un servizio informativo gratuito solo a chi è disposto a subire una profilazione ed un po’ di pubblicità mirata? In fondo nel mondo analogico non è quello che avviene con le fidelity card?

Tutti i siti di informazione e notizie – quelli delle testate giornalistiche in primis – non potranno più contare su banner pubblicitari mirati, ma solo su pubblicità generica e questo porterà sicuramente a introiti inferiori. Vedremo però se tutto questo porterà vantaggi tangibili agli utenti di internet, soprattutto tramite smartphone e relative app, che dovrebbero vedere ridursi i banner/pop-up pubblicitari, per lo meno quelli derivanti da profilazione dell’utente stesso.

L’esigenza di rispondere: a specifiche della norma ISO/TS 16949, a richieste di informazioni (datazione e stato di avanzamento ordini) da parte dei clienti più importanti, alla necessità di avere un controllo e conseguentemente poter effettuare una analisi del sistema fabbrica, ha determinato la nascita di un processo di informatizzazione della produzione e attività interconnesse.

L’introduzione graduale di un Software Gestione Produzione comporta un cambiamento delle procedure per la progettazione dei cicli di produzione e controllo, delle procedure di rilevazione dati da parte degli operatori di fabbrica; ciò permette di rendere la gestione della produzione e delle attività di supporto alla stessa (gestione strumenti, manutenzione, costificazione) più efficace ed efficiente, consentendo alla direzione di mantenere sotto controllo una serie di indici di performance, indispensabili per perseguire il miglioramento continuo della qualità e dei processi produttivi, come auspicato dalla rigida normativa del settore automotive.

Il Progetto

Il primo passo del progetto di introduzione di un sistema qualità ISO/TS 16949 è quello della progettazione del sistema documentale (manuale, procedure, modulistica, ecc.), da cui però devono emergere le necessità/opportunità di informatizzare la gestione della produzione e dei controlli qualità per rispondere ai requisiti della norma e per soddisfare le esigenze di efficacia ed efficienza richieste dal management e dai clienti. Diversi possono essere i contesti in cui è necessario introdurre un sistema qualità ISO/TS 16949: azienda certificata ISO 9001, azienda non certificata, azienda dotata di un software gestionale che copre la pianificazione e gestione della produzione, azienda con gestionale che non copre tali aspetti, azienda con applicativi software per la raccolta dei dati in produzione e per il controllo qualità,…

In questi casi l’analisi del sistema informatico attuale deve permettere alla direzione di valutare tutte le possibilità di miglioramento in ottica ISO/TS 16949, dall’integrazione dei software esistenti con nuove funzioni o nuovi applicativi, alla revisione completa di tutto il sistema informatico, se quello esistente risultasse obsoleto.

Il nuovo sistema informatico – nato dall’integrazione degli applicativi esistenti con i nuovi applicativi, oppure dall’implementazione di nuovi software per la gestione aziendale – dovrà gestire in modo completo il processo di produzione e controllo dei prodotti (tipicamente particolari meccanici nel caso automotive) dell’azienda, secondo le procedure stabilite nel sistema di gestione per la qualità, conformi ai requisiti della norma ISO/TS 16949.

Dunque il software deve consentire il caricamento dell’ordine cliente, la definizione del ciclo di produzione e controllo, la pianificazione della produzione, la registrazione dell’avanzamento della produzione e dei controlli ed infine la chiusura e consuntivazione della commessa.

L’impostazione definita in fase di progettazione dell’applicativo deve essere comunque orientata allo sviluppo in futuro di ulteriori funzionalità e quindi deve prevedere la gestione delle risorse (macchine, strumenti, operatori), dei reparti, dei centri di costo, ecc… Il tutto finalizzato ad una precisa consuntivazione e calcolo dei costi di produzione dei prodotti realizzati.

Il nuovo processo operativo

Il sistema, all’inserimento di un ordine cliente, consente il lancio dell’ordine di lavoro in produzione a partire dal ciclo di produzione e controllo di riferimento (creato ex novo in caso di prodotto nuovo). Ad ogni codice articolo possono essere associati, tramite l’applicativo software, alcuni documenti legati ad esso, quali i disegni del particolare e le istruzioni di attrezzaggio di macchina specifiche per l’articolo.

La documentazione necessaria per la realizzazione del prodotto, stampata e messa disposizione degli operatori di produzione, comprende dunque:

• Ordine di lavoro (che include il Ciclo di produzione e controllo);
• Scheda registrazione controlli e Disegno del particolare;
• Istruzioni di attrezzamento macchina (in formato testo o grafico).

Mentre per le istruzioni generiche di lavorazione e di controllo l’operatore farà riferimento ai documenti del sistema di gestione per la qualità.

La registrazione delle attività di produzione (completamento fase di lavoro e consuntivazione dati relativi ai controlli qualità) viene effettuata caricando i dati del controllo direttamente a video (anche con monitor touch-screen e/o dispositivi portatili) oppure acquisendo i dati direttamente dagli strumenti, se predisposti.

Altre funzionalità

Successivamente all’entrata a regime della gestione della produzione e della registrazione dei controlli in produzione, possono essere implementati altri moduli software per l’automatizzazione di tutti i processi interconnessi con la produzione e qualità:

• Schedulazione automatica delle commesse/ordini
• Gestione delle manutenzioni e delle tarature degli strumenti
• Indicatori per il monitoraggio del processo e delle performance delle diverse risorse aziendali (calcolo OEE)
• Studio di Process Capability
• Analisi dei costi di produzione a preventivo/consuntivo

Vai sul sito OPT@Solutions

Leggi l’articolo completo…