8 luglio 2019
Francia, CNIL: piano d’azione per pubblicità mirata online e processo di conformità
L’Autorità Garante della privacy francese (Commission Nationale de l’Informatique et des Libertés, CNIL), in seguito a diverse segnalazioni del pubblico e di professionisti in materia di marketing online, ha predisposto un piano d’azione per l’anno 2019-2020, con lo scopo di definire la normativa da applicare e di essere di supporto alle parti interessate nel processo di conformità.
Le motivazioni
Il CNIL ha deciso di assumere, come tema prioritario per sviluppare il piano d’azione, la pubblicità mirata online.
L’Autorità garante ha ricevuto diverse segnalazioni da parte di individui e da parte di organizzazioni e associazioni senza scopo di lucro (come ad esempio La Quadrature du Net, Privacy International, European Center for Digital Rights - “NOYB”) in relazione all’attività di marketing online. Oltre a segnalazioni da parte di professionisti del settore che desiderano capire meglio quali siano gli obblighi a cui devono adempiere con l’entrata in vigore del GDPR.
Domande relative alla condivisione dei dati in relazione al marketing diretto, per cui il CNIL aveva confermato di aver dato istruzioni di quali fossero le norme applicabili e di aver concesso un periodo di transizione per il relativo adeguamento al rispetto di dette disposizioni. Oltre che all’utilizzo dei cookies e altri strumenti di tracciamento.
La normativa
A livello normativo il settore del marketing online è sottoposto al GDPR e ai regolamenti nazionali che recepiscono la Direttiva 2002/58/CE (Direttiva ePrivacy) [1], così come poi modificata dalla Direttiva 2009/136/CE relativa al trattamento dei dati personali e alla tutela della privacy nelle comunicazioni elettroniche.
Rispetto a questa normativa assume un ruolo importante la tematica dei cookies per il tracciamento e il monitoraggio degli utenti online, che ha iniziato ad essere regolamentata dal Legislatore proprio con la Direttiva del 2002. Ma, soprattutto con l’entrata in vigore del GDPR, i gestori dei siti web hanno dovuto e tuttora devono avere un’accortezza maggiore nella gestione e trattamento dei dati personali dei propri utenti, in particolare rispetto al tema del consenso. Tema che ha visto con la nuova normativa la modifica delle condizioni di validità e un rafforzamento dei requisiti e delle modalità con cui questo è richiesto e autorizzato.
Il consenso
In tale contesto normativo e funzionale alla tutela dei dati personali, in linea alle richieste di imprese e professionisti in materia di marketing online, il CNIL ha deciso di adottare un piano d’azione per l’anno 2019-2020 che sia di supporto e di ausilio agli adempimenti previsti dalla normativa.
Lo scopo di detto piano è quello di aggiornare le linee guida in vigore alla luce del GDPR, concentrando l’attenzione sulle tematiche del marketing diretto, dei cookies, oltre ad altre tecniche di tracciamento, e quindi sulla necessità di acquisire un idoneo consenso in merito.
Infatti, secondo la raccomandazione del 2013 emessa dal CNIL - Délibération n°2013-378 du 5 décembre 2013 [2] - sui cookies, e altri strumenti di tracciamento, era possibile ottenere il consenso dell’utente che accede ad un sito mediante ad esempio il cosiddetto “scroll”, ossia lo scorrimento verso il basso, che è assimilabile al click digitato su un pulsante di conferma.
Ma tenendo conto che il consenso va espresso in maniera attiva e deve rispondere ad una specifica volontà di accettazione, con il GDPR questa modalità di manifestare il consenso è esclusa, pertanto il CNIL deve “aggiornare i propri quadri di riferimento in linea con la legge applicabile”. Un aggiornamento volto a proteggere le parti interessate e darne una certezza giuridica.
Infatti, rispetto agli adempimenti previsti dal GDPR, le stesse imprese e relativi professionisti del marketing online, sono consapevoli che devono adeguarsi, ma trovano ancora difficoltà nel comprendere al meglio quali modalità e quali misure adottare per conformarsi, al fine di non ricadere in una violazione della normativa.
Il piano d’azione del CNIL
Il CNIL, per essere di supporto alle parti interessate rispetto alla loro strategia di conformità, ha deciso di elaborare un piano di azione per l’anno 2019-2020, in una duplice veste:
-
I fase - pubblicazione di linee guida nel luglio 2019
-
II fase - consultazione con le parti interessate per sviluppare, entro dicembre 2019 - inizio 2020, una nuova raccomandazione relativa agli aspetti operativi della raccolta del consenso.
I fase - pubblicazione di linee guida nel luglio 2019
Nel corrente mese di luglio, il CNIL abrogherà la sua raccomandazione del 2013, in quanto, per alcuni punti, risulta essere ormai obsoleta, soprattutto in materia di consenso. Inoltre, la stessa pubblicherà le linee guida che definiscono la normativa applicabile e sono basate su elementi già armonizzati a livello europeo.
Il CNIL garantirà alle parti interessate un periodo transitorio di 12 mesi per potersi adeguare ai principi che divergono dalla raccomandazione precedente. Durante questo periodo di transizione, strumenti quali, lo scrolling, la navigazione o lo scorrimento attraverso un sito web o un’applicazione, sono ritenuti dal CNIL accettabili.
Nonostante ciò, l’Autorità garante proseguirà l’indagine sui reclami, e se necessario, sulle ispezioni per garantire, in particolare, che nessun cookie sia implementato prima di aver acquisito il consenso.
Inoltre, nel suddetto periodo transitorio, tutti gli obblighi che non sono stati sottoposti a modifica nelle Linee guida (come ad esempio, la trasparenza, la revoca del consenso) e altri obblighi previsti dal GDPR (come ad esempio gli obblighi di sicurezza), possono comunque essere soggetti a controlli, e, se del caso, a misure correttive.
II fase - consultazione con le parti interessate per nuova raccomandazione sul consenso
In questa fase le sessioni di lavoro tra i servizi del CNIL e ogni categoria delle parti interessate (quali ad esempio i redattori di contenuti, gli inserzionisti, i fornitori di servizi nell’ambito dell’attività del marketing) avranno luogo nella seconda metà del 2019, attraverso le rispettive organizzazioni rappresentative.
Lo scopo del lavoro sarà quello di delineare le modalità pratiche per ottenere il consenso e di procedere ad uno scambio di idee.
La raccomandazione sarà pubblicata dal CNIL, per la consultazione pubblica, entro la fine del 2019, inizio 2020. Nei sei mesi successivi alla sua adozione definitiva, l'Autorità provvederà ad effettuare, sulla medesima raccomandazione, i relativi controlli.
[1] Direttiva 2002/58/CE (Direttiva ePrivacy) del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).
[2] Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978.