Guida per i Publisher su GDPR e Consenso

Tra i vari temi che il GDPR ha fatto emergere, uno dei più importanti è sicuramente il tema del "consenso". In particolare, bisogna stabilire con chiarezza come e se serva ottenerlo dagli utenti per poter continuare a svolgere le attività di affiliate marketing.

Di seguito ti daremo una panoramica su come funziona il consenso e di quale sia la posizione di Awin a riguardo. Descriveremo anche le misure che i publisher possono o, in taluni casi, potrebbero già aver adottato per conformarsi alle nuove leggi in materia di protezione dei dati personali.

Definizioni di consenso

Iniziamo affermando che c'è una grande confusione in merito al consenso. Ciò è in parte dovuto al fatto che non esiste un’unica disposizione che richiede l’ottenimento del consenso in materia: accanto al consenso di cui parla il GDPR, esiste anche il consenso richiesto dalla Direttiva 2002/58/CE (cd. Direttiva e-Privacy). La Direttiva e-Privacy, che regola la privacy nel settore delle comunicazioni elettroniche, è stata recepita in Italia dal Codice della Privacy (artt. 121 e ss.). La materia è, inoltre, regolata in Italia anche dal Provvedimento del Garante sui cookies (“Individuazione delle modalità semplificate per l’informativa è l’acquisizione del consenso per l’uso dei cookie”, dell’8 maggio 2014).

Il GDPR e le leggi di attuazione della Direttiva e-Privacy sono diverse, ma coesistono. Il GDPR regola la privacy in generale e per tutti i settori e può essere ritenuto omnicomprensivo e di ampio spettro sui vari aspetti riguardanti i dati personali. Per le comunicazioni elettroniche, invece, sono previste regole specifiche (che riguardano ad esempio il tracciamento degli utenti online).

Inevitabilmente c'è qualche sovrapposizione che deriva dal fatto che i cookie sono comunque dei dati personali e, quindi, il trattamento dei dati personali raccolti tramite i cookie dovrà pur sempre rispettare le disposizioni generali stabilite dal GDPR.

Tuttavia, per l’ottenimento del consenso per l’installazione di cookie nei dispositivi degli utenti, il GDPR (secondo quanto stabilito dall’art. 95) non impone obblighi supplementari e, quindi, in Italia tale settore continuerà ad essere disciplinato dal Provvedimento sui cookie del Garante.

Per questo motivo, in questo articolo ci riferiremo a:

• consenso per l'uso dei cookie ai sensi del Provvedimento del Garante come Consenso del cookie
• consenso al trattamento dei dati personali ai sensi del GDPR come Consenso dei dati

Sotto il GDPR, ci sono molti modi per trattare legalmente i dati personali senza fare affidamento sul Consenso dei dati.

In effetti, è corretto dire che il Consenso dei dati è la base giuridica meno conveniente e più gravosa per il trattamento dei dati.

Puoi leggere le sei basi legali per il trattamento dei dati personali qui.

Ai sensi della Direttiva e-Privacy e del Provvedimento del Garante sui cookie, il publisher che installa cookie di profilazione, anche di terze parti, deve fornire l’informativa e ottenere il consenso all’installazione da parte dell’utente, salvo che si tratti di meri cookie tecnici (e cioè dei cookie che siano strettamente necessari per fornire un servizio richiesto dall'individuo). Pertanto, gli editori loyalty e cashback, ad esempio, potrebbero non avere bisogno di un consenso sui cookie per i cookie di affiliazione perché quest'ultimi sono strettamente necessari per il funzionamento di questo servizio.

Il consenso dei dati sotto il GDPR

Ottenere il consenso dei dati comporta ovviamente alcune sfide. Tuttavia, l'esperienza dell'utente su un sito italiano non differirà a seguito dell’applicazione del GDPR, in quanto i publisher italiani hanno già implementato un meccanismo per l’ottenimento del consenso, come richiesto dal Garante nel Provvedimento cookie. Il GDPR, come suddetto, non impone obblighi supplementari per l’ottenimento del Consenso del cookie. L'individuo dovrebbe poter rifiutare in ogni caso di dare il suo consenso.

Sia che i dati vengono raccolti con il Consenso del cookie nell’ambito delle comunicazioni elettroniche, sia che vengano raccolti con il Consenso dei dati, il GDPR garantisce all'individuo una serie di diritti, che dovranno essere rispettati in futuro dai titolari del trattamento. Inoltre, i consensi dovranno essere gestiti e registrati con un'attenzione molto specifica ai dettagli. Inoltre, come accadeva già in passato, non ci si potrà esimere dal fornire agli utenti un servizio o un contenuto perché si sono rifiutati di fornire il loro consenso, a meno che il servizio non dipenda proprio da tale consenso.

Forse ancora più importante è il fatto che, per ottenere un consenso valido dei dati, l'individuo deve disporre di informazioni sufficienti per prendere una decisione informata.

Questo è il motivo per cui Awin utilizza una diversa base legale per l'elaborazione dei dati personali sotto il GDPR: ovvero l'interesse legittimo e Awin non richiede il consenso dei dati da parte di editori o inserzionisti per tracciare legalmente le transazioni.

Tutto questo si applica al trattamento dei dati personali in quanto gli individui viaggiano dal sito web del publisher ai siti web degli inserzionisti attraverso i nostri domini, rintracciando la conferma della transazione e i successivi rapporti disponibili nell'interfaccia utente.

Awin può adottare questo approccio perché siamo un network d'affiliazione pureplay.

Awin utilizza i dati personali per rintracciare i rimandi ai siti web degli advertiser, le transazioni generate di conseguenza e la nostra attività di reportistica, ma non riutilizziamo mai questi dati per:

• Costruire profili utente comportamentali
• Profilo comportamentale
• Usarli sul mercato per qualsiasi altro scopo

Per essere intrapresi legalmente, le suddette tipologie di trattamenti tendono a richiedere un consenso dei dati perché sono percepiti come aventi un maggiore impatto sulla privacy delle persone.

Evitando questo tipo di trattamenti, Awin può fare affidamento su un interesse legittimo per giustificare il suo trattamento ed evitare di dover rispettare i requisiti per il consenso dei dati.

La definizione di interesse legittimo data dalla ICO è disponibile qui.

Consenso sui cookie in ePrivacy

Poiché la Direttiva e-privacy è stata recepita all'interno delle legislazioni nazionali in tutta Europa, tutti devono ottenere il consenso sui cookie quando impostano i cookie. A causa della natura della Direttiva, che deve essere recepita all’interno degli Stati membri con una normativa statale, la sua interpretazione legale può differire da paese a paese a seconda dell’interpretazione della legge di recepimento.

In alcune giurisdizioni dell'UE, il consenso implicito di una persona non è accettabile e quindi per diversi anni è stato chiesto di confermare il consenso all'utilizzo dei cookie, ma queste giurisdizioni sono in minoranza.

In Italia ai sensi del Provvedimento del Garante, il publisher che installa cookie, anche quelli di terze parti, per il tramite del proprio sito deve fornire l’informativa e ottenere il consenso all’installazione da parte dell’utente nel caso in cui siano installati cookie di profilazione. Il Garante ha permesso di utilizzare una “modalità semplificata” per adempiere a tali obblighi. Nel momento in cui si accede ad una pagina del sito web, deve essere presentata una prima informativa “breve”, che può essere contenuta in un banner a comparsa immediata sulla pagina, integrata da un’informativa “estesa”, alla quale si deve poter accedere attraverso un link cliccabile dall’utente. Tramite l’informativa breve si raccoglie anche il consenso dell’utente all’installazione dei cookie di profilazione.

Solo dopo che l’utente ha effettuato un’azione attiva per la prestazione del consenso (ad esempio, click sul banner, scroll, selezione attiva di una immagine del sito ecc.), i cookie di profilazione possono essere messi in funzione.

Awin ha richiesto agli editori di avere il consenso sui cookie in base ai termini e condizioni in essere dal 2012. Ciò al fine di garantire che i publisher rispettino queste regole, ma anche per ottenere il consenso sui cookie per i cookie di Awin, per conto di Awin. Questo è tipico di network come il nostro, che non hanno l'opportunità giusta o naturale di interagire con le persone per ottenere il loro consenso sui cookie.

Perché stiamo parlando di consensi, di nuovo?

L’applicabilità del GDPR comporterà, per taluni publisher di alcuni Stati membri, l’applicazione di uno standard di consenso superiore rispetto alle locali leggi nazionali esistenti in materia di protezione dei dati personali. La differenza principale è che il consenso deve essere inequivocabile.

In che modo il GDPR influisce sul consenso dei cookie?  

Il risultato è che ottenere il consenso sui cookie è ora molto più complesso in Paesi in cui, a differenza che in Italia, gli standard richiesti dalle leggi locali erano più bassi rispetto a quanto richiesto dal GDPR.

In Italia, alla luce del Provvedimento sui cookie, il consenso doveva essere già fornito dagli utenti prima che il publisher potesse impostare i cookie stessi e, per continuare ad ottenere il consenso con il GDPR, si potrà continuare ad utilizzare il meccanismo previsto dal Garante al fine di permettere all'individuo di esprimere attivamente il proprio consenso.

Come cambia il modo in cui lavoro con Awin?

Siamo consapevoli che, a causa di questo cambiamento nella definizione del consenso, il rispetto delle vostre obbligazioni potrebbe essere stato reso più difficile in alcuni Paesi diversi dall’Italia.

Il consenso dei cookie continuerà ad essere richiesto da Awin per i suoi editori per ottenere il consenso sui cookie sia per loro stessi sia per i cookie impostati dal dominio di Awin.

Continueremo inoltre a esaminare la conformità degli editori a questi requisiti, chiedendo loro di ottenere correttamente il Consenso sui cookie se ci sembra che non lo stiano facendo.  

Tuttavia, Awin non impone come ottenere il consenso sui cookie: in Italia gli editori potranno conformarsi alle modalità indicate dal Garante nel Provvedimento cookie. Awin offrirà uno strumento di consenso che potrà essere utilizzato per ottenere il consenso dei cookie, ma ovviamente potrai usare altri strumenti di consenso o per ottenere un consenso valido in altri modi. Ad esempio, nella maggior parte dei casi sarà sufficiente modificare le avvertenze sui cookie esistenti, spiegando che un individuo che darà il proprio consenso a un cookie di tracciamento affiliato se cliccherà su un collegamento esterno senza modificare le impostazioni dei cookie del browser. L'approccio di Awin seguirà questa metodologia.

Riconosciamo che il GDPR non è un argomento semplice, soprattutto per i piccoli editori, e stiamo cercando in qualsiasi modo di ridurre al minimo l'onere della conformità.

Un modo è sicuramente giustificare il nostro utilizzo e trattamento dei dati sulla base dell'interesse legittimo, quindi non abbiamo bisogno di chiedere agli editori di ottenere alcun consenso dei dati per noi. Questa non è un'opzione percorribile per il consenso dei cookie; se un'azienda non ha bisogno di impostare il cookie per fornire un servizio richiesto da un individuo, non è possibile rendere obbligatorio per l’utente il consenso dei cookie. Tuttavia, poiché il consenso dei cookie è più semplice e diretto del consenso dei dati, possiamo almeno essere flessibili nella scelta dei metodi di consenso legale dei cookie che sono accettabili per noi, e in Italia possiamo seguire le prescrizioni del Garante contenute nel Provvedimento del Garante sui cookies.

Continueremo a pubblicare le nostre linee guida per assistere sia publisher che advertiser dai qui al 25 maggio 2018. Seguiranno altre informazioni anche in merito al nostro strumento di consenso.

Precisiamo comunque che non possiamo fornire direttamente alcuna consulenza legale.