Il 9 gennaio 2022 è scaduto il termine per l’adeguamento alle nuove linee guida in materia di cookie e altri strumenti di tracciamento adottate dal Garante della privacy. Quest’ultimo, oltre a fornire preziose indicazioni in ordine alle modalità di adempimento degli obblighi vigenti, evidenzia possibili falle nel sistema dovute all’impiego di pratiche elusive da parte dei gestori dei siti. Il documento offre l’occasione per riflettere su temi d’interesse, come l’equilibrio tra privacy e profilazione, anche alla luce dell’evoluzione delle tecniche di tracciamento.
Il termine “cookie”, in genere associato al tipico biscotto americano, è entrato ormai nel vocabolario comune con un’altra accezione legata al mondo dell’informatica. I cookie, infatti, sono file di testo trasmessi dai siti web visitati o da soggetti terzi (c.d. terze parti) al dispositivo utilizzato dall’utente (pc, smartphone, tablet, IOT ecc.) e memorizzati al suo interno in maniera temporanea o permanente. Questi file registrano alcuni dati (indirizzo IP, geolocalizzazione, caratteristiche del dispositivo, nome utente, lingua selezionata ecc.) che vengono ritrasmessi dal browser al sito che li ha generati in occasione dei successivi accessi, così che quest’ultimo possa riconoscere l’utente (o meglio il suo terminale). Si tratta perciò di “marcatori” o “identificatori” che possono essere impiegati per ottimizzare e personalizzare l’esperienza di navigazione; gestire una sessione; ma anche per tracciare le abitudini degli utenti ai fini statistici o di marketing.
Già da tempo il legislatore europeo ha predisposto una disciplina di tutela, imbrigliando nelle maglie del consenso il ricorso ad alcune tipologie di tracciamento. In particolare, la più volte emendata direttiva ePrivacy (2002/58/CE) – recepita dal nostro Codice della Privacy (d.lgs. 196/2003) – ha delineato due regimi giuridici distinti, a seconda della finalità perseguita con lo strumento: da un lato, il regime derogatorio previsto per i cookie tecnici, ossia quelli strettamente necessari al funzionamento del sito; dall’altro, il regime vincolato al previo consenso informato, applicabile a tutti gli altri strumenti. Si pensi ai cookie di profilazione che permettono di creare profili degli utenti a scopi commerciali (ad es. invio di pubblicità mirata).
Di recente, con il provv. n. 231/2021, il Garante della privacy ha approvato le nuove linee guide in materia, fissando un termine di sei mesi dalla pubblicazione per il relativo adeguamento.
In primo luogo, il Garante si sofferma sul rapporto di genus a species sussistente tra la dir. ePrivacy e l’ormai noto GDPR (Reg. 2016/679): “ogniqualvolta la direttiva renda più specifiche le prescrizioni del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento”. Importanti sono le conseguenze sul piano applicativo: ai fini della liceità del trattamento, non sarà possibile invocare le ulteriori basi giuridiche contemplate dal GDPR, come ad es. quella del legittimo interesse.
Per altro verso, è nel GDPR che andranno ricercati i principi guida della materia. In particolare, il considerando n. 32 precisa che il consenso deve essere libero, specifico e informato, nonché espresso per ciascuna delle finalità del trattamento. È necessario, poi, che si estrinsechi in un’azione positiva inequivocabile, non potendosi configurare come silenzio o inattività (ne abbiamo parlato QUI). Tale requisito è stato ribadito dalla Corte di Giustizia dell’UE che, nel caso Planet 49 del 2019, ha considerato illegittimo l’uso di caselle preselezionate nei cookie banner.
Sempre con riguardo a tale aspetto, il Garante – richiamando il parere n. 5/2020 dell’European Data Protection Board (EDPB) – ha ritenuto che lo scroll down del cursore risulti inidoneo alla raccolta di un valido consenso, salvo che costituisca “non la sola, bensì una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile”. Sono, inoltre, da evitare talune pratiche lesive della libertà degli utenti: si pensi ai cookie wall che impediscono l’accesso al sito se non si approva l’uso di cookie; o alla continua riproposizione delle richieste di consenso, anche laddove l’utente l’abbia già negato (ne abbiamo parlato QUI).
Già nelle linee guida del 2014, il Garante aveva predisposto un accurato modello di banner di consenso, prevedendo altresì un’informativa multilivello (una breve ed una estesa), in chiave semplificatoria. Giova, tuttavia, rilevare che in virtù del nuovo approccio regolamentare, teso alla valorizzazione dell’autonomia imprenditoriale e alla responsabilizzazione del titolare del trattamento, spetterà a quest’ultimo decidere quali misure tecniche ed organizzative impiegare, anche discostandosi dal modello suggerito.
In ogni caso, il titolare dovrà adottare un approccio protettivo ex ante, secondo i principi della privacy by design e by default sanciti dal GDPR. Ciò vuol dire – specifica il Garante – che per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie o altro strumento diverso da quelli tecnici potrà essere archiviato nel suo dispositivo, fermo restando il diritto dell’utente di modificare tali impostazioni.
Da ultimo, le linee guida si occupano dei cookie analytics, utilizzati cioè per finalità valutative (ad es. per misurare le performances del sito). L’Autorità ne ammette l’assimilazione ai cookie tecnici, anche ai fini della deroga al previo consenso, a condizione però che, attraverso di essi, non si pervenga all’identificazione dell’utente. Sussiste, tuttavia, il rischio che i cookie analytics di terze parti, incrociati con informazioni estrapolate da altri siti, rendano possibile la re-identificazione, rischio acuito dalla tendenza degli utenti “alla moltiplicazione delle proprie identità digitali”.
Invero, gli scenari stanno mutando a seguito del blocco dei cookie di terze parti operato da alcuni motori di ricerca, il quale avrà un notevole impatto sull’industria pubblicitaria (ne abbiamo parlato QUI). La prospettiva sembra essere quella di un progressivo abbandono dei cookie in favore di metodi di tracciamento alternativi che coniughino meglio privacy e profilazione. Lo stesso Google (il quale ha posticipato il blocco al 2023) sta sviluppando il sistema Sandbox che, tramite un algoritmo di machine learning, consentirà di passare da una profilazione individuale ad una per “coorti” (raggruppamenti fondati su interessi omogenei). In ogni caso, appare evidente che il tramonto dell’era dei cookie non segnerà la fine del tracciamento, portando piuttosto all’estromissione dal relativo mercato degli operatori più piccoli, a svantaggio di dinamiche concorrenziali. Senza contare che vi sono tecniche di tracking più invasive dei cookie, come quelle di natura passiva (ad es. il fingerprinting), non contrastabili autonomamente dall’utente (come avviene, invece, con la rimozione del cookie dal dispositivo).
In conclusione, l’effettività della tutela della privacy e l’equilibrio tra i vari interessi in gioco dipenderanno in gran parte dalla capacità di adeguare la risposta regolatoria alla costante evoluzione delle tecnologie e dei comportamenti dei web players. In questo senso, è da apprezzare l’approccio flessibile del GDPR che, grazie anche al principio di accountability, tende a favorire il continuo rimodellamento delle misure protettive. Appare, infine, indispensabile affiancare alla normativa protettiva misure di implementazione della cultura digitale degli utenti, affinché questi possano assumere atteggiamenti più consapevoli e attenti.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale