Guide Guida
Tracciamento senza consenso: quanto è alto il rischio legale?
La violazione della privacy più frequente sui siti web è invisibile: i tracker che si attivano prima che qualcuno presti il consenso. Proprio questo è sempre più oggetto di segnalazioni, reclami e sanzioni del Garante.
Quanto è alto davvero il rischio legale?
Il rischio è reale e in crescita: i tracker che inviano dati senza consenso violano il GDPR, il Codice Privacy e la direttiva ePrivacy, e sono in contrasto con il Provvedimento cookie del Garante dell'8 maggio 2021. Possono dar luogo a segnalazioni, reclami al Garante e provvedimenti sanzionatori.
Particolarmente nel mirino: Google Analytics, il pixel di Meta e i servizi incorporati come font, mappe o video di YouTube, che già al caricamento della pagina aprono connessioni verso server esteri.
Il Provvedimento del Garante dell'8 maggio 2021 chiarisce un punto cruciale: i cookie e gli identificatori non tecnici possono essere installati solo dopo un consenso libero, specifico, informato e inequivocabile. Lo scroll non vale come consenso e i tracker non devono attivarsi al primo accesso.
Chi risponde, anche l'agenzia?
A rispondere è in primo luogo il titolare del trattamento, cioè chi gestisce il sito. Ma le agenzie che realizzano e curano i siti finiscono sempre più spesso per essere coinvolte, sul piano contrattuale e in caso di danno.
Chi sviluppa siti per i clienti non dovrebbe liquidare la privacy come una questione che riguarda solo il cliente. Un setup di tracciamento approssimativo finisce per ricadere sull'agenzia: clienti scontenti, interventi correttivi a proprie spese e, nei casi peggiori, richieste di rivalsa.
Nel quadro del GDPR, l'agenzia che configura e gestisce strumenti di tracciamento può assumere il ruolo di responsabile del trattamento (art. 28 GDPR): in tal caso servono un contratto di nomina adeguato e istruzioni documentate. Una realizzazione pulita tutela entrambe le parti.
Come individuare il problema
Se i tracker si attivano prima del consenso non lo vedi dal codice sorgente, ma solo con un test reale nel browser che confronta il comportamento del sito prima e dopo il consenso.
È esattamente ciò che fa la scansione gratuita di BlueOcean Privacy AI: un browser reale carica la pagina e mostra quali tracker si attivano prima del consenso, con una valutazione chiara rispetto al GDPR e al Provvedimento cookie del Garante.
Come mettere al riparo te stesso e i tuoi clienti
Punta su un banner che blocca tecnicamente i tracker, invece di limitarsi a gestirli, e documenta lo stato di conformità di ogni sito dei tuoi clienti.
BlueOcean Privacy AI blocca i tracker prima del caricamento, mantiene aggiornata l'informativa sulla privacy e ti dà per ogni sito un indicatore a semaforo. Vuoi mettere in sicurezza il tuo portfolio? Prenota un appuntamento: lo analizziamo insieme.
Puoi iniziare subito con una scansione gratuita del sito oppure fissare un colloquio di consulenza gratuito di 15 minuti.
Diamo un’occhiata ai tuoi siti
In una chiamata di 15 minuti vedi a che punto sono i siti dei tuoi clienti — e come metterli al sicuro senza sforzo.
Domande frequenti
Posso subire sanzioni per il tracciamento senza consenso?
Sì. I tracker che trattano dati personali senza consenso violano il GDPR, il Codice Privacy e il Provvedimento cookie del Garante dell'8 maggio 2021. Possono dar luogo a segnalazioni e reclami da parte di utenti o associazioni e a provvedimenti del Garante per la protezione dei dati personali.
Risponde l'agenzia o il cliente?
Il responsabile principale è il titolare del trattamento, cioè chi gestisce il sito. Nella pratica, però, le agenzie che curano i siti vengono coinvolte sempre più spesso, anche sul piano contrattuale come responsabili del trattamento ai sensi dell'art. 28 GDPR. Una realizzazione pulita protegge entrambe le parti.
Come faccio a sapere se il mio sito è interessato?
Con una scansione reale nel browser che verifica cosa si attiva prima del consenso. Il controllo gratuito di BlueOcean Privacy AI lo mostra in pochi minuti.