Il Garante italiano per la privacy ha pubblicato le nuove Linee guida sull’uso dei cookie e degli altri strumenti tracciamento. Il documento si pone come obiettivo quello di offrire un quadro rafforzato di tutele a favore degli utenti, assicurando l’effettività by default dell’acquisizione del consenso dell’utente al posizionamento cookie diversi da quelli tecnici e minimizzando la raccolta e conservazione dei dati personali non strettamente necessari in relazione alla finalità del trattamento. Le Linee guida hanno una portata indubbiamente significativa, ma non sono sufficienti a garantire che la navigazione in rete risulti un ecosistema veramente “privacy-oriented” per gli utenti.
Con il provvedimento n. 231 del 10 giugno 2021il Garante per la Privacy italiano ha approvato le nuove Linee guida sull’uso dei cookie e degli altri strumenti di tracciamento (sui cookie e sui connessi rischi per la privacy degli utenti si è già parlato qui).
Le Linee guida – la cui approvazione è stata preceduta da una consultazione pubblica – si pongono in chiave di aggiornamento delle precedenti Linee guida approvate nel 2014, avuto riguardo del mutato quadro giuridico di riferimento (GDPR e Linee guida n. 5/2020 del Comitato dei Garanti europei, in particolare) e, soprattutto, della diffusione di tecnologie caratterizzate da sempre più crescenti livelli di pervasività rispetto alla privacy degli utenti.
A tali elementi di complessità si aggiunge, inoltre, anche l’evoluzione comportamentale degli utenti della rete, per il Garante «sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall’accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network», con il conseguente rischio che «le informazioni personali oggetto di trattamento siano raccolte proprio incrociando i dati anche relativi all’utilizzo di funzionalità e servizi diversi, ai quali è possibile accedere utilizzando molteplici terminali (cd. enrichment), con l’effetto della creazione di profili sempre più specifici e dettagliati».
In considerazione di tale scenario, il Garante italiano ha ravvisato la necessità di predisporre un quadro rafforzato di tutele, volto a garantire il controllo sulle informazioni personali oggetto di trattamento e, in ultima analisi, la capacità di autodeterminazione del singolo utente, assicurando l’effettività by default dell’acquisizione del consenso dell’utente al posizionamento cookie diversi da quelli tecnici nonché la piena libertà di scelta sulla profilazione.
Centrale, per il Garante della Privacy, è la raccolta preventiva del consenso: con la sola esclusione di quelli utilizzati per scopi di carattere tecnico, per tutte le altre tipologie di cookie (sia, quindi, per i cookie statistici che per quelli commerciali) diventa obbligatoria la preventiva acquisizione del consenso informato dell’utente, salvo il ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale.
Ai fini dell’acquisizione del consenso – e questo è il secondo punto di interesse delle Linee guida – il Garante non ritiene sufficiente il semplice “scroll down”, essendo necessario che il consenso sia acquisito nell’ambito di un processo tale da consentire «all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile», limitando l’incidenza dei c.d. “falsi positivi”, ossia di erronee interpretazioni di azioni casuali come espressioni consapevoli della volontà dell’utente.
Una novità importante concerne anche la reiterazione della richiesta di consenso in presenza di una precedente mancata presentazione dello stesso. Per il Garante, l’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso – laddove l’utente l’abbia già in precedenza negato – risulta «suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione libero dalla comparsa del banner contenente l’informativa breve e la richiesta di prestazione del consenso». Alla luce di ciò, le Linee guida prescrivono che, nel caso in cui l’utente mantenga le impostazioni di default, tale scelta dovrà essere debitamente registrata e la prestazione del consenso non più nuovamente sollecitata. Specularmente, resta però garantito il diritto dell’utente di modificare le scelte espresse, sia in termini positivi (prestando un consenso precedentemente negato) che in termini negativi (revocando un consenso già prestato). Prerogativa che deve essere assicurata, per il Garante, in qualsiasi momento ed in maniera semplice, immediata e intuitiva, ad esempio attraverso un’apposita area accessibile con un link.
Secondo elemento d’interesse delle Linee guida concerne la codificazione di un approccio privacy by design, prevedendosi l’obbligo che il trattamento – e la conservazione dei dati personali – sia strettamente limitato a quanto necessario in relazione a ciascuna specifica finalità del trattamento e rimettendo interamente all’interessato un effettivo, concreto potere di scelta in ordine alla possibilità di consentire o meno un utilizzo eventualmente più ampio dei propri dati.
Anche ove i dati siano legittimamente raccolti, resta in ogni caso necessario – e questo è il terzo punto di interesse delle Linee guida – che i dati personali siano efficacemente protetti. Per conseguire tale obiettivo, il Garante suggerisce il ricorso a misure di minimizzazione (ad esempio mascherando opportune porzioni dell’indirizzo IP all’interno del cookie), in grado di ridurre significativamente il potere identificativo dei cookie analytics, qualora siano trattati da “terze parti”.
L’effettività a tale sistema di tutele passa necessariamente attraverso la garanzia di adeguati strumenti conoscitivi a favore degli utenti. Per questa ragione, le Linee guida pongono a carico dei soggetti responsabili del trattamento l’obbligo di fornire informazioni su come le persone fisiche possono esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso e di proporre un reclamo a un’Autorità di controllo.
Si tratta di un documento di soft law di indubbio valore, che declina la normativa del GDPR in un ambito – quello dei cookie e degli strumenti di tracciamento – tutt’ora caratterizzato da elementi di fluidità. Ciononostante, gli utenti non possono considerare la propria navigazione in rete completamente sicura, dal momento che i cookie sono solo uno dei possibili strumenti – sebbene, sino ad ora quello di gran lunga più diffuso – di tracciamento e di raccolta dei dati personali in rete.
Ad esempio, Google – al pari di Firefox e Safari – ha dichiarato che dal 2022 farà completamente a meno dei cookies di terze parti, al dichiarato fine di assicurare il rispetto della privacy degli utenti. Ma ciò non vuol dire che smetterà di raccogliere informazioni sui propri utenti. In sostituzione dei cookie di terze parti, Google si propone infatti di utilizzare il sistema FLoC (acronimo per Federated Learning of Cohorts), basato sulla collocazione, in forma anonimizzata, dell’utente in un gruppo omogeneo di persone (la “coorte”), aventi in comune – sulla base dell’analisi algoritmica – qualità ed interessi significativi.
Sebbene molto dipenderà da come Google deciderà di implementare tale soluzione, anche FLoC potrebbe avere serie controindicazioni sulla privacy degli utenti – i quali continueranno pur sempre ad essere monitorati, sia pure come membri di un gruppo omogeneo – ed rischi, forse perfino più striscianti, di discriminazione e di violazione delle libertà civili, come è stato già evidenziato da molti esperti (ad esempio qui e qui).
La sfida che il Garante della privacy – così come le autorità nazionali ed europee – è chiamato a raccogliere è quella di riuscire a mantenere il passo rispetto a tali evoluzioni tecnologiche, assicurando l’obbligo di effettività del consenso ed il rispetto della privacy anche dinanzi a sistemi di raccolta più complessi e sfuggenti dei cookie.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale