Dal 22 settembre e per una settimana i Garanti Privacy dei paesi europei porteranno avanti una intensa campagna di controlli e accertamenti a campione sui websites di società localizzate nei loro rispettivi paesi per verificare che rispettino la normativa europea in tema di Cookies.
La campagna è stata avviata dall’Autorità francese e poi si è estesa a tutto il territorio europeo. Il controllo sarà particolarmente accurato con particolare attenzione non solo alle modalità con cui i cookies vengono utilizzati e archiviati, ma anche quali cookies vengono utilizzati dai siti sottoposti a controllo, per quanto tempo, per quale motivo (se per finalità di monitoraggio del comportamento dell’utente, per pubblicità mirata o semplicemente per supportare il sito nelle sue attività ordinarie).
Verrà inoltre riposta particolare attenzione alle privacy policies pubblicate nei vari siti in modo da verificare la consistenza di quanto riportato nella policy rispetto all’effettivo trattamento dei cookies e se l’utente è adeguatamente informato in conformità alla normativa europea applicabile in materia.
Inoltre sarà verificato il trattamento dei cookies ad opera di terze parti e se l’utente di un dato web site ha effettivamente e consapevolmente acconsentito in modo esplicito all’uso dei cookies ad opera di tali terze parti e la possibilità per l’utente di revocare tale autorizzazione in ogni tempo senza limitazioni.
Sarà inoltre verificato se le varie privacy policies informano l’utente sulle effettive conseguenze connesse alla disabilitazione dei cookies e alla revoca del consenso all’utilizzo degli stessi da parte del provider o di terze parti. Molti siti, infatti, offrono piani di abbonamento per servizi on line che presuppongono un utilizzo dei cookies tale da richiedere un consenso espresso da parte dell’utente il quale, revocando tale consenso, rischia di vedere disabilitato il servizio senza però ottenere un rimborso delle spese sostenute anticipatamente per la fornitura dello stesso.
A seguito dei controlli, i vari Garanti Privacy invieranno lettere di diffida ad adempiere a coloro che non risulteranno essere in regola con la normativa europea e, in caso di inottemperanza, verranno applicate le relative sanzioni.
Le società operative e/o con sede legale in Europa, dovrebbero considerare questa una opportunità per procedere ad una review delle loro privacy policies in modo da verificarne il rispetto alla normativa vigente a livello europeo e nazionale.
Le società internet operanti in Europa dovranno aspettarsi una successiva fase di monitoraggio da parte delle autorità europee che si estenderà ad altri aspetti legati alla privacy e al rispetto delle norme sul consumo.
Il controllo in atto da parte dei Garanti Privacy europei rende ancora più evidente l’importanza del cosiddetto “Privacy Officer” per le aziende che intendono seriamente tutelare gli aspetti privacy e proteggersi da potenziali responsabilità civili e penali.
Il privacy Officer è una figura aziendale con competenze giuridiche e informatiche da molti anni diffusa negli Stati Uniti, che arriva adesso anche in Europa per mezzo del nuovo Regolamento Europeo sulla protezione dati che entrerà in vigore contemporaneamente in tutti gli Stati Membri dell’UE, i quali si troveranno contemporaneamente soggetti ad un unico ombrello normativo e non più alle diverse normative nazionali.
Per effetto delle nuove regole comunitarie, allo stato ancora in fase di approvazione e che sostituiranno in Italia il Codice Privacy di cui al D.lgs. n. 196/2003), tutte le pubbliche amministrazioni e migliaia di imprese che rientreranno in determinati parametri (se si tratta di una p.a., numero dipendenti di una società commerciale, attività principale dell’impresa nel settore del controllo regolare e sistematico di dati personali) dovranno obbligatoriamente dotarsi del cosiddetto Privacy Officer, che in Italia assumerà la denominazione di “Responsabile della protezione dati”.
In tal senso si veda l’art. 35 della proposta di Regolamento Europeo sulla protezione dati presentata dalla Commissione Europea il 25 gennaio 2012 e attualmente in fase di negoziazione tra Parlamento Europeo e Consiglio dell’Unione Europea per emendamenti. Si vedano in particolare le proposte di emendamento per gli articoli dall’1 al 29 e per gli articoli dal 30 al 91.
Poiché si tratta di un profilo manageriale che opera in diretta relazione con i vertici aziendali, giuridicamente indipendente ed autonomo, il Privacy Officer è un vero e proprio “amministratore delegato di dati” e in tale veste è integralmente responsabile, sia in sede civile che in sede penale della gestione di tutti gli aspetti privacy di una azienda o di una pubblica amministrazione.
Ecco perché questa figura può essere estremamente utile anche alle aziende che non soddisferanno i parametri minimi che impongono per legge questa figura aziendale, poiché, delegando la delicata gestione di questi aspetti saranno manlevati dal professionista incaricato nei termini di legge.
Egli dovrà, in proposito, dotarsi di una adeguata copertura assicurativa atta a garantire l’azienda assistita e i terzi in merito ad eventuali responsabilità patrimoniali che dovessero configurarsi in conseguenza di potenziali inadempimenti alla normativa privacy applicabile.
Studio Legale Simbula assiste molte aziende operanti in rete in tutte le tematiche relative alla gestione dei dati personali non sensibili e sensibili sulla base della rilevante normativa comunitaria e italiana nonché sulla base dei regolamenti, delle direttive e delle circolari del Garante Privacy nazionale e dei Garanti Privacy europei.
In particolare lo Studio offre consulenza continuativa nella redazione e gestione delle privacy policies aziendali, adeguandole costantemente alle modifiche normative e regolamentari e gestisce i rapporti con il Garante Privacy provvedendo alle rilevanti notifiche per i casi particolari di trattamento.
Lo Studio inoltre fornisce funzione tipiche di Privacy Officer nella gestione di tutti gli aspetti privacy aziendali a 360 gradi integrando le competenze giuridiche con competenze informatiche e conoscenza e gestione dei processi aziendali. Gli avvocati dello studio potranno assumere, nella loro qualità di consulenti esterni, posizioni di responsabilità apicale a livello aziendale, riportando direttamente al Consiglio di Amministrazione in tema di protezione e gestione dati personali, acquisendo la gestione del Responsabile del trattamento dei dati personali, dell’amministratore di sistema e dei diversi incaricati del trattamento (quali fornitori, banche, consulenti e altri incaricati ex art. 4, comma 1, lett. h) del D.Lgs. 196/2003).