Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORMATIVA PRIVACY

Privacy e cookie alla luce del GDPR: le soluzioni alle problematiche tecniche e giuridiche

La piena applicazione del GDPR ha introdotto nuovi adempimenti in materia di privacy e cookie per i siti Web. Ecco quindi una ricognizione e un’analisi volte a coniugare gli elementi tecnici con alcuni aspetti giuridici per provare a fare un po’ di chiarezza

27 Ago 2019
P
Alfredo Passaro

Avvocato, Data Protection Officer

P
Chiara Ponti

Avvocato, Privacy Specialist


Di privacy e cookie si parla molto: senza riproporre quanto già scritto sul punto al cui materiale si rinvia, ad esempio qui e qui, intendiamo qui fare un po’ di chiarezza su di una questione certamente molto tecnica, ma impattante anche dal punto di vista giuridico; volgendo, al riguardo, anche uno sguardo sul versante francese.

Privacy e cookie: le fonti ed il dato concreto

Circa le fonti, riteniamo utile partire dal vademecum che l’Autorità Garante ha predisposto sull’argomento cookie ed in particolare dal lato dell’utente[1]. Intanto, è utile chiedersi che cosa sono i cookie. Il concetto e il termine cookie, che letteralmente significa “biscotto”, derivano dal cosiddetto “magic cookie” ovvero “biscotto magico” quale tecnica nota in ambiente UNIX già negli Anni 80 e tipicamente utilizzata per implementare meccanismi di identificazione di un client presso un server.

Di cookie iniziò a parlarsi dopo un articolo pubblicato sul Financial Times, nel lontano ’96 dalla lettura del quale si era scatenato un dibattito circa le implicazioni degli stessi sulla segretezza. Le applicazioni più comuni, tutt’oggi, vanno da un ausilio nella navigazione ad una vera e propria navigazione “spiata”. L’opportunità dei cookie, tuttavia, è da ravvisarsi quando l’uso degli stessi sia considerato conveniente nella misura in cui funzionano da “servizio per l’utente”; come, ad esempio, venga effettuata attraverso tale sistema la registrazione dei dati di una sessione, al fine di evitare una nuova autenticazione in una visita successiva ovvero per mantenere il contenuto del “carrello della spesa” per le piattaforme di e-commerce.

Ne discende che i cookie sono lo strumento tecnico attraverso il quale vengono registrate tutte quelle informazioni immesse sul browser allorché si visiti un sito web o in caso di (uso di) social network (Facebook ecc.) con il PC, lo smartphone o il tablet. Ogni cookie trattiene diversi dati come, ad esempio, il nome del server da cui proviene, l’identificatore numerico eccetera.

I cookie possono rimanere nel sistema per la durata di una sessione ovvero fino a quando il browser utilizzato per la navigazione sul web non venga chiuso, o per lunghi periodi ben potendo contenere un codice identificativo unico.

Alcuni cookie servono per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web. Sono i cd cookie tecnici che rendono più veloce e rapida la navigazione nonché fruizione del web intervenendo, ad esempio, per facilitare alcune procedure come quelle per gli acquisti online, mediante l’autenticazione presso aree ad accesso riservato.

Esistono poi i cookie, detti analytics, quelli cioè utilizzati dai gestori dei siti web al fine di raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano quel sito.

Altri cookie possono essere utilizzati per monitorare e profilare gli utenti durante la navigazione, esaminando i loro movimenti ed abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioral Advertising). Questi ultimi sono i cd cookie di profilazione.

Tipico caso è dato dai banner pubblicitari legati alle ultime ricerche o all’ultimo acquisto fatto sul web.

Infine, può accadere che una pagina web contenga cookie provenienti da altri siti, in questo caso si tratta dei cookie cd di terze parti.

Privacy e cookie: la normativa italiana ed europea

Considerata la particolare invasività che soprattutto i cookie di profilazione (nella fattispecie questi ultimi citati) hanno, nell’ambito della sfera personale degli utenti, la normativa europea ed italiana ha previsto che l’utente debba essere adeguatamente informato sull’uso degli stessi ben potendo o meno esprimere liberamente il proprio valido consenso all’inserimento dei cookie sul terminale.

Nel vademecum messo a disposizione, qualche anno fa, dall’Autorità Garante in materia di protezione dati personali, si legge testualmente che[2]… quando si accede alla home page o ad un’altra pagina di un sito web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

  1. che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. che il sito consente anche l’invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  4. l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie”.

Non solo.

È prevista, altresì, la possibilità di opzionare una navigazione senza cookie attraverso la funzione “blocca i cookie di terze parti”, ovvero attivando l’opzione “Do Not Track” attraverso la quale, quand’essa viene attivata, i cookie dovrebbero automaticamente smettere di raccogliere parte di dati di navigazione.

L’altra opzione è data dalla modalità di “navigazione anonima” mediante la quale si può navigare senza lasciare traccia nel browser.

Da ultimo, è possibile la opzione “elimina direttamente i cookie” presente in tutti i browser. Tuttavia, ad ogni collegamento in rete (internet) vengono scaricati nuovi cookie, per cui l’operazione di cancellazione andrebbe eseguita periodicamente. Alcuni browser, i più sofisticati, offrono dei sistemi automatizzati per la cancellazione periodica dei cookie.

Per quanto concerne, invece, il dato concreto, se andiamo a spulciare i vari accessi, da una rivista giuridica all’acquisto di un prodotto, alla visione di una pagina web, noteremo come l’obbligo di inserimento del banner iniziale con il quale il soggetto che fornisce il servizio/vende prodotti/pubblica notizie ecc., richiede il consenso dell’utente.

Vi è da chiedersi se l’utente, nel momento in cui manifesta il suo assenso, sia reso effettivamente ed efficacemente edotto e, dunque, consapevole a quale dei suddetti cookie stia dando il proprio consenso.

Ciò non è così pacifico.

Le indicazioni comuni, infatti, spesso sono criptiche dal momento che non spiegano chiaramente le motivazioni per le quali si stia manifestando quel consenso.

Sul tema, il Garante, il 4.10.2018 – aggiornato dunque al Regolamento UE 679/2016 – ha messo a disposizione delle FAQ[3] in cui, tra gli altri, bene spiega:

  1. perché occorra il consenso dell’utente per l’installazione dei cookie sul terminale dipendendo dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie tecnici o di profilazione” Per l’installazione dei cookie tecnici non occorre il consenso degli utenti, bastando dare l’informativa ex art. 13 del Regolamento (UE) 2016/679;
  2. come il titolare del sito debba fornire l’informativa semplificata e richiedere il consenso all’uso dei cookie di profilazione, l’informativa va impostata su due livelli. Nel momento in cui l’utente acceda ad un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa breve con espressa la richiesta di consenso all’uso dei cookie, oltre ad un link (collegamento ipertestuale) per accedere alla informativa estesa laddove l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliendo bene quali specifici cookie autorizzare, e quali no;
  3. in che modo debba essere realizzato il banner, vale a dire deve avere dimensioni tali da coprire il contenuto della pagina web che l’utente sta visitando potendo lo stesso eliminare, benchè solo per il tramite di un intervento attivo dell’utente, la selezione di un elemento contenuto nella pagina web di riferimento;
  4. quali indicazioni debba contenere il banner specificando se il sito utilizza cookie di profilazione, eventualmente anche di terze parti i quali permettono di inviare messaggi pubblicitari in linea con le preferenze dell’utente;
  5. come documentare l’acquisizione del consenso effettuata tramite l’uso del banner al fine di tenere traccia del consenso acquisito, il gestore/titolare del sito può avvalersi di un apposito cookie tecnico, che non richiede invece alcun consenso;
  6. cosa debba indicare l’informativa estesa ovvero tutti gli elementi previsti dalla legge descrittivi in modo analitico delle caratteristiche e finalità dei cookie installati dal sito onde consentire all’utente di selezionare/deselezionare i singoli cookie;
  7. i soggetti tenuti a fornire l’informativa e a richiedere il consenso per l’uso dei cookie sono il titolare del sito web che installa cookie di profilazione. Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nella informativa estesa i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse. Si tratta di una novità non di poco conto, non solo ai fini pratici, ma anche per i possibili risvolti giuridici, di cui si dirà in prosieguo.

Cookie e protezione dati personali: ricognizione testuale

Ora, intendiamo esporre una rapida ricognizione tra pareri, provvedimenti, chiarimenti.

Muovendo, per ordine cronologico, si deve rammentare che il Gruppo di Lavoro con il parere 04/2012 – WP 194[4], adottato il 7 giugno 2012 ha dichiarato l’esenzione dal consenso per l’uso di cookie ai sensi dell’articolo 5, paragrafo 3, della Direttiva 2002/58/EC (in vigore[5]) allorché il cookie è utilizzato “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica“; il cookie è “strettamente necessari[o] al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio“.

Il WP precisa testualmente che, con riferimento al primo criterio, la presenza dell’espressione “al solo fine” circoscrive nello specifico le tipologie di trattamento che possono essere intraprese utilizzando cookie e non lascia ampio margine di interpretazione.

Non basta semplicemente utilizzare un cookie per agevolare, accelerare o regolamentare la trasmissione di una comunicazione tramite una rete di comunicazione elettronica; mentre circa l’altro criterio specifica espressamente che “nelle intenzioni del legislatore europeo, il parametro di ammissione a una tale esenzione dovesse rimanere elevato” riformulando in termini di “funzionalità” offerte dal servizio della società dell’informazione.

Ancora.

Nel parere in questione si legge poi che “un cookie esente dal consenso dovrebbe avere una durata che sia in relazione diretta con la finalità per cui è utilizzato e deve essere progettato per decadere quando non è più necessario, considerando le ragionevoli aspettative dell’utente o dell’abbonato medio. Inoltre, in base alle definizioni precedenti, i cookie di “terzi” solitamente non sono “strettamente necessar[i]” all’utente che visita il sito web poiché sono in genere connessi a un servizio distinto da quello “esplicitamente richiesto” dall’utente.

Il parere del Gruppo di Lavoro prospetta inoltre degli “scenari relativi all’impiego di cookie” tra cui si annoverano i cookie con dati compilati dall’utente.

Tale espressione, spiega il WP, può essere impiegata a titolo generico per descrivere i cookie di sessione utilizzati al fine di tenere traccia dei dati compilati dall’utente in una serie di messaggi scambiati con un prestatore di servizi, in maniera coerente.

Questi dovrebbero essere cookie di prima parte generalmente basati su un codice identificativo di sessione (numero unico temporaneo casuale) che devono decadere, al più tardi, al termine della sessione.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Per le altre tipologie di cookie, e per completezza, si rimanda al parere.

Qui, ci si soffermi ancora sui cookie non esenti, ovvero quei cookie che non ricadono nell’esenzione prevista dai suddetti criteri. Tra questi si annoverano:

  1. i cookie di monitoraggio mediante plug-in sociali, molte reti sociali propongono “moduli di plug-in sociali” che i proprietari di siti web possono integrare nella propria piattaforma, onde fornire taluni servizi che possono essere considerati “esplicitamente richiesti” dai membri, ma non per questo “strettamente necessari”. Per tali motivi, i cookie di monitoraggio non possono essere esenti dal consenso.
  2. i cookie di terzi utilizzati per la pubblicità comportamentale, come già rilevato dal Gruppo di lavoro nel parere 2/2010[6].

Sul fronte nazionale, l’Autorità di Controllo sulla scorta di ciò, ha emanato un importante provvedimento dell’8.05.2014[7] con il quale il Garante ha posto uno stop alla (libera) installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso.

Con tale provvedimento “… chi naviga on line potrà decidere in maniera libera e consapevole se far usare o no le informazioni raccolte sui siti visitati per ricevere pubblicità mirata”.

Si tratta di un provvedimento generale, pubblicato sulla Gazzetta Ufficiale, ed adottato al termine di una consultazione pubblica[8] nel quale sono state individuate modalità semplificate di informativa on line sull’uso dei cookie, e fornite indicazioni volte ad acquisire il consenso, richiesto ex lege.

È in questo provvedimento che nasce la necessità di predisporre dei banner ben visibili nel momento in cui si acceda ad una pagina web.

Codesto banner, per essere in linea con quanto stabilito dal Garante, deve informare bene che:

  1. il sito utilizza, se li utilizza, cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. il sito consente anche l’invio di cookie di terze parti, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, ove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di terze parti;
  4. l’indicazione che proseguendo nella navigazione (ad esempio, accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Orbene, si rammenta che il problema del consenso non si limita alla sua (modalità) di acquisizione, ma si estende alla problematica, talvolta, della sua gestione, con il conseguente obbligo di tenerne traccia.

Circa quest’ultimo aspetto, al gestore (titolare) del sito è consentito utilizzare un cookie tecnico in modo tale da non – dover – riproporre l’informativa breve alla seconda visita dell’utente il quale mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere linkabile da ogni pagina del sito, in questione.

Tale citato provvedimento tuttavia, ha reso necessario un successivo intervento dell’Autorità poiché, nel corso del tempo, sono pervenute numerose richieste – provenienti soprattutto da piccoli gestori – concernenti alcuni punti, che ha portato a dei chiarimenti[9] in merito all’attuazione della normativa in materia di cookie, chiarendo che:

  1. per l’uso di cookie esclusivamente tecnici è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad esempio, inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare alcun banner;
  2. per l’utilizzo di cookie analitici di terze parti questi possono essere assimilati ai cookie tecnici purché realizzati ed utilizzati direttamente dal sito prima parte (senza, dunque, l’intervento di soggetti terzi)[10];
  3. per l’uso di piattaforme che installano cookie da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets; chiarendo che i semplici link a siti terze parti i quali non installano cookie di profilazione non occorrono informativa né tanto meno consenso;
  4. circa i soggetti tenuti a realizzare il banner, con riferimento al tema della responsabilità dei gestori dei siti prima parte in merito all’installazione dei cookie di profilazione provenienti da domini di terze parti, si conferma che tali soggetti, rispetto all’installazione di tali cookie, svolgono un ruolo di mero intermediario tecnico;
  5. circa la modalità di acquisizione del consenso, è stato stabilito che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie” (cfr. punto 1, lett. e), del dispositivo)” è stato chiarito che testualmente “soluzioni per l’acquisizione del consenso basate su “scroll“, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nella informativa, in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”;
  6. circa l’applicazione della normativa italiana anche a siti con sede in Paesi Terzi, non rileva il criterio territoriale, dal momento che i cookie vengono installati sui terminali degli utenti;
  7. circa la notificazione[11] si fa presente che la stessa non deve più essere effettuata, in virtù dell’abrogazione dell’art. 37 come da D.lgs. 101/2018 che ha novellato il D.lgs. 196/2003, noto come Codice Privacy.

Privacy e cookie: gli sviluppi recenti dal versante francese

Lo scorso 18.07.2019 l’Autorità Garante Francese – CNIL, ha pubblicato le nuove linee guida su cookie e tecnologie simili. Come annunciato dalla CNIL nel piano d’azione[12] sulla pubblicità mirata per il periodo 2019-2020, la guida ai cookie 2013 è stata invalidata alla luce dei requisiti di consenso rafforzati richiesti dal Regolamento UE 679/2016 di seguito GDPR.

Sul punto, anche l’Autorità Garante britannica, qualche settimana fa, si è espressa rivedendo le modalità di espressione del consenso ai cookie alla luce del GDPR, introducendo una disciplina di armonizzazione sui requisiti richiesti per l’espressione del consenso in ragione della disordinata impostazione dei banner.

Le principali novità sono di due tipi. Da un lato, lo scorrimento verso il basso o il passaggio attraverso un sito web ovvero un’applicazione non potrà più essere considerato valida espressione di consenso all’implementazione dei cookie. D’altro, le parti interessate che utilizzano dispositivi di tracciamento dovranno essere in grado di dimostrare di aver ottenuto il consenso, validamente.

I punti chiave delle nuove linee guida[13] parrebbero includere oltre all’ambito di applicazione e nello specifico a qualsiasi tecnologia che memorizzi o acceda ad informazioni su qualsiasi dispositivo utente collegato ad una rete di telecomunicazioni aperta al pubblico, quale tablet, smartphone, laptop/computer, console di gioco e veicoli connessi, precisando i requisiti per un consenso valido: il consenso deve essere dato liberamente, in modo specifico, informato ed inequivocabile, dovendo altresì derivare da una chiara azione affermativa dell’utente.

  • liberamente dato nel senso che cosiddetti “muri di cookieimpeditivi nell’accedere ad un sito o ad un’app mobile devono ritenersi illegali.
  • specifico nel senso che gli utenti devono essere (messi) in grado di acconsentire ad ogni scopo o tipo di cookie.
  • informato poiché gli utenti devono essere informati almeno della identità del o dei responsabili del trattamento dei dati, dello scopo/i dell’uso dei cookie e di tecnologie simili nonché dell’esistenza del loro diritto di revocare, in qualunque momento e senza motivo, il consenso.

Inoltre, gli utenti devono poter identificare tutte le entità che utilizzano cookie e tecnologie simili, prima di dare il consenso. Col che dovrà essere a disposizione un elenco esauriente e regolarmente aggiornato di tali entità, disponibile e fruibile dagli utenti. Il continuare a navigare in un sito o in un’app scorrendo la pagina verso il basso non può più essere considerato un consenso validamente prestato.

La dimostrazione del consenso è molto importante

Chi utilizza cookie e tecnologie simili è tenuto ad implementare meccanismi che consentano di dimostrare – in qualsiasi momento – che è stato ottenuto un valido consenso.

  1. Il ruolo delle diverse parti che contribuiscono all’impostazione / lettura dei cookie, in seguito alla sentenza della Corte di giustizia dell’UE nella Wirtschaftsakademie del 2018[14] , laddove l’uso di cookie e tecnologie simili coinvolge più operatori, questi ultimi possono essere considerati responsabili del trattamento dei dati separati, responsabili del trattamento dei dati congiunti o responsabili del trattamento dei dati. Gli operatori che agiscono in qualità di responsabili congiunti del trattamento dei dati sono tenuti ad eseguire un accordo di (contitolarità) ai sensi e per gli effetti di cui all’art. 26 GDPR determinante i rispettivi obblighi di conformità.
  2. Circa l’uso delle impostazioni del browser, queste continuano ad essere motivi inadeguati per richiedere il consenso.
  3. I cookie analitici possono essere esenti dall’obbligo di consenso, purché a condizioni rigorose.
  4. Circa le sanzioni, da ultimo, la CNIL può imporre misure correttive e sanzioni alle imprese soggette al diritto francese, indipendentemente dall’applicazione del meccanismo di cooperazione e coerenza del GDPR[15].

Tali Linee guida illustrate per punti saranno seguite da raccomandazioni settoriali sulle modalità pratiche per ottenere il consenso degli utenti. Una volta pubblicate, le raccomandazioni saranno aperte alla consultazione pubblica. La versione finale delle raccomandazioni dovrebbe/dovrà essere rilasciata nel primo trimestre del 2020. La CNIL consentirà, dopo, un periodo (transitorio) di sei mesi al fine di conformarsi agli orientamenti ed alle nuove raccomandazioni.

In pratica, un periodo di adattamento per coloro già conformatisi alle raccomandazioni del 2013. Tale periodo non impedirà, tuttavia alla CNIL di controllare il rispetto degli altri obblighi e, se necessario, di adottare misure correttive ai fini della tutela della protezione dei dati degli utenti.

In sostanza, l’Autorità francese, ancora una volta, detta importanti indicazioni per il recepimento delle novità normative. Il tutto conformemente all’art. 7 paragrafo 2 del GDPR.

Alcuni dei risvolti giuridici

Dopo aver rappresentato gli aspetti tecnici, analizziamo ora alcuni dei risvolti giuridici che i detti profili possano determinare, senza pretesa alcuna di esaustività.

Si è detto dei banner, spesso non è formulato in modo chiaro il consenso. Si rammenti che il principio della chiarezza si fonda sulla necessità di non creare alcuna forma di discriminazione nel senso che il quisque de populo, quale comune utente il quale, il più delle volte, non ha la consapevolezza di che cosa siano effettivamente questi cookie. Spesso manca, nella pratica, di una adeguata, chiara, semplice, concisa informativa sul punto.

Ma di chi è la responsabilità?

Non è facile accertarla soprattutto quando ci sono più cookie utilizzati.

Alla luce della tripartizione surriferita, è bene soffermarsi, in questo contesto, sui cookie presso terzi che sono i più complessi, pericolosi ed insidiosi in quanto (potenziali) oggetto di compravendita di dati ad insaputa dell’utente.

Il vero problema dal punto di vista giuridico è capire se l’informativa resa sia tale da rendere edotto l’utente, per il vero consapevole che cosa il medesimo stia autorizzando.

In sostanza, ci si può ritenere soddisfatti della semplice informativa breve resa sul banner, posto che l’utente potrebbe non avere, anzi generalmente non ha letto quel che vi è di più, lasciando al medesimo gli ulteriori approfondimenti che difficilmente approfondirà?

In termini giuridici, si tratta di una sostanziale vera inversione dell’onere della prova scontrandosi tuttavia con lo spirito del Regolamento UE 679/2016 che impone al titolare del trattamento anche questo tipo di obbligo.

Altro risvolto giuridico concerne il tema dei cookie affrontato in ottica di comparazione degli interessi. Al riguardo, la informativa deve tenerne conto, soprattutto quando limita il potere economico e commerciale degli accessi.

In altri termini, non sarebbe in contrasto con la comparazione degli interessi la esatta identificazione del tipo di cookie?

Se così fosse, si dovrebbe manifestare una espressa volontà che ponga l’attenzione dell’utente comune cittadino, fruitore del sistema informatico, di essere nelle condizioni di capire che le sue preferenze saranno oggetto di apposita analisi e di ulteriore sviluppo di quelle che sono le proprie attitudini di vario genere.

Ancora.

Tra i risvolti giuridici ricorre la necessità, introdotta di recente (in seguito all’aggiornamento FAQ del 4.10.2018) di indicare per i cookie di terze parti il link alla informativa, come da punto 14 delle FAQ che per comodità di lettura si riporta fedelmente e per estratto:

“14. Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie?

Il titolare del sito web che installa cookie di profilazione.

Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse”.

Ciò pone, al di là dell’incombente pratico di dover aggiornare tutte le informative/cookie privacy policy di quei siti che prevedono cookie di terze parti dovendo indicare il link all’informativa (ad esempio, di Google), almeno due ordini di problemi:

  1. l’indicazione della informativa corretta e che sia effettivamente quella, evitando che il link o sia un copia-incolla errato o che comunque indirizzi ad altro sito;
  2. il perimetro di responsabilità del o dal gestore del sito internet, da lì in avanti. È chiaro ed evidente che a costui non possa addossarsi la responsabilità per l’intera filiera.

In pratica, in quale ed entro quali confini il gestore del sito/ titolare del trattamento dei dati dell’utente risponda, ed oltre i quali si libera ovvero per tutti quegli ulteriori passaggi che l’utente, spesso ignaro, compie nel traffico della rete.

È ben vero che sulla base dei principi giuridici vigenti nel nostro ordinamento la responsabilità nei confronti del terzo in buona fede non può che ricadere sul soggetto titolare del sito e/o della piattaforma il quale si obbliga, sotto il profilo legislativo, ad informare ed a chiedere il relativo consenso.

Restano del tutto irrilevanti i vari passaggi “interni” di effettivo utilizzo e trattamento del dato acquisito mediante i cookie.

Pertanto, i diritti di cui all’art. 13 del GDPR sono legittimamente esercitabili, a nostro sommesso avviso, nei confronti delle figure appena evidenziate le quali avranno l’obbligo di rispondere alle predette istanze senza poter addurre alcuna giustificazione in tal senso.

Riassumendo

Per agire in modo corretto ora tecnicamente ora giuridicamente, occorre, dunque:

  • una cookie policy, sezione della Privacy Policy dedicata ai dati personali acquisiti tramite cookie. Quando i dati acquisiti dai cookie sono strettamente funzionali alla erogazione del servizio o utilizzati per meri fini statistici in formato anonimizzato, non occorre il consenso dell’utente. Allorché, invece, i cookie acquisiscano dati che permettano la profilazione del medesimo (utente) è, invece, necessaria l’acquisizione del consenso. In tali casi, è bene predisporre un link di rimando ad un documento indipendente contenente tutti i dettagli relativi ai cookie utilizzati e le modalità per esprimere il consenso;
  • che i banner siano strutturati in modo corretto, tenendo conto che la normativa in termini di gestione del consenso impone l’obbligo di acquisire il consenso preventivo e informato degli utenti solo per i cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del D.lgs. 28 maggio 2012, n. 69, che ha modificato l’attuale art. 122 Codice Privacy); ad esempio:

Questo sito web … utilizza i cookie

Si utilizzano i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzarne il traffico. Si condividono inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinare con altre informazioni fornite loro o raccolte dall’utilizzo dei servizi. Acconsentire ai nostri cookie se si desidera continuare ad utilizzare il sito web.

  • l’informativa senza consenso per i cookie tecnici poiché non vengono utilizzati per scopi ulteriori, e normalmente sono installati direttamente dal titolare/gestore del sito web. Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità ritenute più idonee ed adeguate inoltre nel caso di cookie tecnici non è richiesto il banner;
  • l’informativa corredata di consenso per i cookie di profilazione in forza dell’ancora valido art. 122 Codice Privacy come armonizzato dal D.lgs. 101/2018 a mente del quale “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentite unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (comma I);
  • il consenso ai cookie di profilazione e di terze parti dovrebbe essere sempre e comunque manifestato in modo espresso mediante anche l’apposizione di un apposito flag che dimostri l’avvenuta acquisizione della informazione conseguente, senza che resti il dubbio di non aver dato corretta applicazione alla ratio del Regolamento Europeo.

Privacy e cookie: problemi aperti

Dal punto di vista tecnico, rileviamo ancora un aspetto della cui portata se ne parla ancora poco, legato al cosiddetto fenomeno del fingerprinting.

Non si tratta di cookie based poiché una volta identificato il soggetto, i dati stanno sul server, ma se un sito terzo applica lo stesso algoritmo di fingerprinting questo ottiene lo stesso ID. Col che, se i due provider comunicano tra loro, l’utente viene escluso dal potere di cancellare in via diretta[16]. È una tecnica online già, tutt’oggi, utilizzata, ancorché non da molti conosciuta.

Gli script (strumenti per la programmazione) di “fingerprinting”[17] popolari sono invisibilmente incorporati su molte pagine Web, acquisendo una istantanea della configurazione del proprio pc al fine di creare un’impronta digitale la quale possa essere utilizzata per tracciare attraverso il Web, anche se si cancellano i cookie.

Ancora, esiste il browser fingerprinting. Per poter richiamare i contenuti da un server occorre un client (p.e. client di posta elettronica volto a recuperare i messaggi dal mail server). L’accesso, invece, ad un web server può avvenire per il tramite di browser come Mozilla, Safari o Google Chrome. Tramite il protocollo HTTP queste applicazioni richiedono i dati dai siti per farli visualizzare agli utenti. La trasmissione dei contenuti avviene tramite i pacchetti IP, che contengono, oltre ai dati di utilizzo, anche le informazioni sul client e che possono essere utilizzate dal server per individuare l’impronta digitale del browser.

Esempi di elementi informativi si trovano rappresentanti nelle Guidance on the use of cookies and similar technologies[18] a mente delle quali si legge che “le impronte digitali del dispositivo possono individuare, collegare o dedurre includono (ma non sono limitati a): dati derivati dalla configurazione di un dispositivo; dati esposti mediante l’uso di particolari protocolli di rete; Informazioni CSS; Oggetti JavaScript; Informazioni di intestazione HTTP, informazioni sull’orologio; Variazione dello stack TCP; font installati; plugin installati all’interno del browser; e utilizzo di qualsiasi API (interna e / o esterna)”.

Da ultimo, merita un accenno, per completezza, al facebook pixel o pixel di facebook quale frammento di codice per il sito web che consente di misurare le campagne pubblicitarie, ottimizzarle e definirne il pubblico[19].

Dal punto di vista giuridico, altro profilo/problema aperto che riteniamo ancora di dover evidenziare concerne la “effettività” del consenso soprattutto quando si parla di cookie di profilazione e di terze parti.

Invero, ci chiediamo se sia accettabile sotto il profilo giuridico il rinvio ad un altro sito e/o modulo a fronte del richiamo effettuato con il banner, soprattutto quando, per alcuni di tali moduli l’eventuale diniego al consenso delle terze parti dovrebbe essere manifestato attraverso l’apertura di un ulteriore “finestra” di dialogo.

A ns parere, in tal modo, si svuota di contenuto il dettato legislativo finendo col negare il diritto al consenso “informato”.

Comprendiamo la necessità di una comparazione degli interessi in gioco, rammentando, al contempo, come ciò che prevale dev’essere certamente il primo (consenso) a scapito dell’interesse economico e finanziario (visti poi i ricavi ed i profitti che i grossi gruppi fanno proprio sulla raccolta di tali dati).

In conclusione

Si tratta di un argomento molto tecnico, che non può tuttavia prescindere da considerazioni di carattere giuridico, come, senza pretesa di esaustività si è tentato di esporre.

Il tutto perché ancora troppo spesso l’utente, comune cittadino, appare ignaro o inconsapevole per come naviga, agisce, e compra su internet, in una società, oggi, estremamente digitale.

Si pensi alla pratica dell’e-commerce che supera, oramai e di gran lunga, il classico commercio nei negozi.

Sarà molto importante, al riguardo, la normativa in materia di e-Privacy, ad oggi, Regolamento ancora in bozza, e per il quale argomento è ancora prematuro ogni commento.

Ricapitolando, dunque, occorre che il gestore del sito nonché titolare del trattamento renda edotto e consapevole, anche in ottica di accountability, nel modo più corretto, coerente ed efficace possibile l’utente che si trova a navigare in quel sito – di cui il medesimo ha la gestione/titolarità – pena sanzioni, come noto, decisamente elevate ai sensi e per gli effetti di cui all’art. 83 GDPR, che cookie utilizzi e ponga tutte le tecniche e modalità per offrire una adeguata informazione circa l’eventuale utilizzo dei dati che, in un più diffuso sistema di profilazione e commercializzazione delle peculiarità di ognuno di noi in termini di preferenze e gusti, significa porre rimedio ad una possibile manipolazione a fini non bene identificati e/o identificabili.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

In conclusione, una corretta privacy policy adeguata ed aggiornata ai dettami del Regolamento (UE) 679/2016 deve/ doveva/ avrebbe già dovuto essere la priorità nell’adeguamento di una organizzazione.

NOTE

  1. Per completezza, V. “Cookie e privacy: dalla parte degli utenti”. Si tratta di un vademecum realizzato prima dell’applicazione del Regolamento UE 679/2016.
  2. Cfr provvedimento “Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie” dell´8 maggio 2014 [doc web n. 3118884]
  3. Le FAQ del Garante privacy sui cookie.
  4. Parere 04/2012 – WP 194, adottato il 7 giugno 2012 dal Gruppo di Lavoro con il parere.
  5. Direttiva 2002/58/EC, ancora in vigore.
  6. Cookie di terzi utilizzati per la pubblicità comportamentale, Gruppo di lavoro WP49, parere 2/2010.
  7. Garante privacy, provvedimento dell’8.05.2014, docweb n. 3118884
  8. Garante privacy, Provvedimento generale pubblicato sulla Gazzatte Ufficiale
  9. Disponibili, per esteso e completezza, sul sito dell’Autorità
  10. Per ulteriori dettagli, si rinvia alla lettura integrale disponibile sul sito del Garante privacy.
  11. Nei cui chiarimenti in caso di realizzazione di più siti web il medesimo gestore può effettuare una sola notificazione per tutti i diversi siti web che lo stesso gestisce essendo in linea con le previsioni normative. In tal caso nella notificazione del trattamento, chiarisce il Garante, “andranno indicati tutti i domini nei quali il trattamento effettuato attraverso i cookie si realizza mantenendone aggiornato – attraverso eventuali modifiche della notificazione – il relativo elenco”.
  12. Linee guida del CNIL francese su cookie e tecnologie simili.
  13. I punti chiave delle linee guida pubblicate dal CNIL francese.
  14. Sentenza della Corte di giustizia dell’UE nella Wirtschaftsakademie del 2018.
  15. Sul tema, per ulteriori approfondimenti, si veda qui.
  16. Il Garante ne ha parlato nelle linee guida sulla profilazione, cui per completezza, si rinvia.
  17. Per completezza, sulla distinzione tra i due tipi di fingerprinting.
  18. Guidance on the use of cookies and similar technologies.
  19. Per ulteriori dettagli e approfondimenti.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5