La Vueling Airlines è stata sanzionata dal Garante per la privacy spagnolo perché giudicata non adeguata al Gdpr in materia di cookies, in quanto visitando il sito web della compagnia area gli utenti non avevano la reale possibilità di rifiutare o accettare i cookies sui propri dispositivi.
Secondo L’Autorità spagnola per la protezione dei dati (AEPD), anche se nella privacy policy del sito di Vueling gli utenti venivano informati in modo dettagliato su cosa sono i cookies e quali tipologie di questi “biscottini” digitali erano utilizzati, la società si limitava però a rimandare la gestione dei cookies alle funzioni messe a disposizione dai più comuni browser con affermazioni come “è possibile configurare il browser per accettare o rifiutare per impostazione predefinita tutti i cookies” oppure “è possibile revocare in qualsiasi momento il consenso fornito per l’utilizzo dei cookie di Vueling configurando il browser”, ovviamente andando da soli a cercare tra le impostazioni del computer.
Ciò che mancava secondo l’Authority per rendere il sito veramente conforme al Gdpr, era un sistema di gestione o un pannello di configurazione dei cookies che consentisse all’utente di rifiutarli in modo granulare. Per facilitare questa selezione il pannello dovrebbe abilitare un meccanismo o un pulsante per rifiutare tutti i cookie, un altro per abilitare tutti i cookie o per poterlo fare in modo granulare al fine di consentire all’utente di gestire le proprie preferenze.
A questo proposito, l’Autorità ha sottolineato che le informazioni offerte sugli strumenti forniti nei browser dei computer per configurare i cookies sono “insufficienti allo scopo previsto di consentire all’utente di configurare le preferenze in forma granulare o selettiva”.
Secondo l’AEPD, il sito di Veueling non rispettava quindi le prescrizioni del Gdpr e violava la legge spagnola sui servizi della società dell’informazione e il commercio elettronico, secondo cui “i fornitori di servizi possono utilizzare i dispositivi di archiviazione e recupero dei dati sui dispositivi terminali dei destinatari, a condizione che abbiano dato il loro consenso dopo che sono state fornite informazioni chiare e complete sul loro utilizzo, in particolare, ai fini del trattamento dei dati”
La multa del Garante spagnolo di 30mila euro (ridotti a 18mila euro per pagamento in un’unica soluzione) arriva dopo appena due settimane dalla decisione della Corte di Giustizia dell’Unione Europea, quando lo scorso 1° ottobre aveva stabilito che per i siti web che utilizzano i cookies non può essere ritenuto valido un consenso ottenuto attraverso una casella preselezionata, e che è necessario invece ottenere dall’utente un consenso attivo.
Se con la multa dell’autorità spagnola, a Vueling i “cookies” saranno rimasti probabilmente un po’ indigesti, d’altra parte navigando in rete non si può non riconoscere che allo stato attuale “così fan tutti”, perchè la stragrande maggioranza dei siti web presentano le stesse carenze contestate a Vueling, per cui sono quasi tutti potenzialmente sanzionabili.
Ma a quanto pare i garanti europei stanno iniziando a seguire la linea dettata dalla Corte di Giustizia dell’UE, per cui ai webmaster è consigliabile fare quanto prima un check-up per verificare la conformità del proprio sito, adottando metodi per fornire all’interessato la possibilità di accettare o rifiutare i cookies in modo granulare attraverso un pulsante o un altro meccanismo, evitando di limitarsi a rimandare alle funzioni standard provvedute dai browser per gestire i cookies, modalità che è stata giudicata insufficiente, come neanche possono essere ritenute conformi formulazione come “continuando a navigare in questo sito accetti i cookies”. Se poi si vogliono maggiori certezze sullo stato di conformità del proprio sito, si può valutare anche di perseguire soluzioni virtuose come l’adesione a codici di condotta come quello su “Privacy e protezione dei dati personali nell’ambito di Internet e del commercio elettronico”, che dà la possibilità di ottenere anche il marchio di qualità “Privacy Ok”, già conseguito da importanti gruppi bancari, e anche da tutti i siti web italiani del Gruppo Ferrero, compreso quello di Nutella.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi