Sanzione modello dall’Autorità Garante belga: non si deve sottovalutare l’importanza della cookie policy

L’Autorità Garante per la protezione dei dati personali belga ha emesso una multa di ammontare pari all’1% del fatturato annuo di una società per non aver agito in conformità con la disciplina sui cookie, nonostante le azioni correttive intraprese. L’Autorità ha infatti confermato che, con l’emissione di questa sanzione, ha voluto dare l’esempio, avvertendo tutte le società che il rispetto della disciplina sui cookie è un “must have“.

La decisione è pertanto degna di nota per più di una ragione. Anzitutto, la procedura è stata avviata dall’Autorità di propria iniziativa e non sulla base di un reclamo da parte di un soggetto interessato. Inoltre, la società è stata multata nonostante abbia collaborato e abbia risolto la maggior parte delle questioni.

Per quanto concerne il contenuto del provvedimento, si rileva in particolare che è sufficiente che il consenso sia stato espresso per ogni categoria di cookie, sebbene si suggerisca di richiedere il consenso per ogni singolo cookie. Ancora con riferimento al consenso, viene ribadita l’esigenza di garantire che lo stesso possa essere revocato con la stessa facilità con cui viene conferito.

Il provvedimento peraltro solleva alcune questioni pratiche: (i) non è chiaro se sia sufficiente il meccanismo mediante il quale le cookie policy, come modalità di rifiuto o di revoca del consenso del visitatore del sito web, rimandano alle impostazioni del browser; e (ii) non è chiaro se il principio di “ulteriore navigazione” (che si perfeziona inserendo nel banner l’informazione che “navigando ulteriormente sul sito web, l’utente fornisce il proprio consenso”) sia ancora considerato dal Garante belga come una valida modalità di consenso.

I criteri utilizzati per il calcolo dell’ammenda non sono ancora disponibili. Ad esempio, non è stato specificato se l’aver riscontrato diverse infrazioni abbia avuto un ruolo ai fini della determinazione della somma, né in che misura la collaborazione della società o la portata delle attività di trattamento dei dati abbiano influito su tale calcolo. In assenza di ulteriori chiarimenti, resta difficile comprendere se l’Autorità Garante segua una formula o una metodologia concreta per il calcolo dell’ammenda o se determini le penalità tramite un’analisi case by case.