protezione dati

Cookie profilativi “sotto attacco”in Europa, che cambia col Gdpr e direttiva ePrivacy

Tra requisiti, consenso conforme e restrizioni sul cookie popup box ormai le multinazioni europee del marketing, che fanno della profilazione il loro business core, hanno vita dura. L’attuale normativa lascia poca interpretazione e la morsa dell’european data protection board è attanagliante. Gli “interessati” ringraziano

20 Giu 2019

Continua, anzi, si fa sempre più aspro, il braccio di ferro tra destinatari e i garanti dei diritti degli interessati: nel mirino, i cosiddetti “cookie profilativi“, quelli cioè che vengono messi con il preciso scopo di dare forma a profili di ogni utente per confezionare messaggi pubblicitari su misura.

Vediamo quali sono le norme che ne stanno riducendo l’utilizzo per una più efficace protesione dei dati dei consumatori.

L’interessato (data subject) al trattamento è la persona fisica a cui si riferiscono i dati personali. Il concetto di interessato è cambiato rispetto al passato, nel senso che oggi siamo tutti potenzialmente interessati in considerazione del fatto che i trattamenti dei dati personali inglobano l’intera società. Basti pensare alle telecamere di controllo del traffico, le fidelity card, e cosi via, per comprendere che in ogni istante siamo potenziali interessati di un trattamento. Il concetto di interessato, quindi, è dinamico. L’interessato, inoltre, può essere solo una persona fisica, e non una persona giuridica, un ente o un’associazione.

Il destinatario di dati personali nel Gdpr

Il regolamento europeo in materia di protezione dei dati personali dà una definizione di destinatario dei dati personali. In base all’art. 4, par. 1, n. 9 del regolamento europeo, il destinatario è “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento”.

Destinatari sono, quindi, tutti i soggetti che ricevono dati personali dal titolare, siano essi interni od esterni. I destinatari possono ricevere tali dati per eseguire trattamenti per conto del titolare, o per conseguire proprie specifiche finalità, tra cui, la tanto famigerata e remunerativa profilazione. Colossi del livello di Amazon, Facebook, Samsung, Alibaba, Johnson & Johnson, Visa, Oracle, Intel, Coca-Cola, tutte nella top 50 società più grandi del mondo nel 2018, le quali operano assiduamente nel SEE e che usano la profilazione per eseguire indagini di mercato dalle quali elaborare il proprio business plan, si stanno vedendo diminuire drasticamente i dati a loro disposizione a causa delle forti restrizioni introdotte dal GDPR e dalla meno conosciuta Direttiva ePrivacy la quale da un prospetto ancora peggiore del futuro prossimo.

La proposta di un regolamento sulla vita privata e le comunicazioni elettroniche, noto anche come il regolamento ePrivacy, è una legge in fase di elaborazione da parte della Commissione europea. Il suo scopo è quello di garantire “il rispetto per la vita privata, la riservatezza delle comunicazioni e la protezione dei dati personali nel settore delle comunicazioni elettroniche” nell’UE. Una volta applicato, il regolamento ePrivacy sostituirà la direttiva ePrivacy del 2002. Forse conosci la Direttiva ePrivacy sotto il suo soprannome, “The Cookie Law”, (uno dei suoi impatti più evidenti sono di fatto i pop-up di consenso sui cookie, che sono comparsi sulla maggior parte dei siti web nella sua scia).

I cookie di profilazione

Naturalmente come tutti ben sappiamo, ogni azienda raccoglie, mantiene e gestisce dati attraverso molteplici canali di comunicazione con il mondo esterno, in particolare tramite i propri siti web, applicazioni mobili, social network, ed altri strumenti informatici e digitali al fine di offrire migliori prodotti e servizi ai loro clienti.

A differenza di quelli tecnici, i cookie di profilazione vengono messi con il preciso scopo di dare forma a profili di ogni utente al fine di confezionare messaggi pubblicitari su misura. Ciò vuol dire che la finalità ultima di questi cookie è esclusiva alla comprensione delle preferenze dei singoli utenti in modo tale da sottoporre loro durante la navigazione contenuti targetizzati e plausibilmente di loro interesse.

I cookie sono dei piccoli file di testo che servono ad un sito web per verificare se lo hai già visitato e spesso contengono anche molte altre informazioni relative alle tue abitudini in quel sito. Ad esempio i cookie possono contenere tracce delle pagine che hai aperto e della frequenza con cui visiti quel determinato sito. Ogni volta che visiti un sito web, questo verifica se hai il suo cookie installato e se non lo trova ne crea uno e lo salva nel tuo computer. In genere non rappresentano un pericolo per la sicurezza in rete, ma sono molto importanti per migliorare la tua esperienza di navigazione. Ad esempio quando acquistiamo dei libri su un sito di ecommerce è sicuramente comodo che il sito ci ricordi quali libri abbiamo già comprato e ci suggerisca in base a questi quelli che possono essere per noi più interessanti da leggere.

Le norme “anti-cookie”

Negli ultimi anni però, in Europa stanno entrando ufficialmente in vigore le normative relative, appunto, ai cookie. Entrando più nello specifico, questi non sono altro che un recepimento di una direttiva europea risalente al 2009. A tale riguardo, è interessante tenere conto del fatto che tutti i siti che utilizzano i cookie sono obbligati a rispettare la normativa in questione.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Considerata la particolare invasività che i cookie di profilazione (soprattutto quelli terze parti) possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevedono che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio valido consenso all’inserimento dei cookie sul suo terminale. In sostanza non è più valido il silenzio assenso ma possono essere installati sul terminale dell´utente soltanto se questo abbia espresso il proprio consenso esplicito e inequivocabile e comunque dopo essere stato informato con modalità chiare e semplificate.

I paletti del Garante privacy

In particolare, con il provvedimento “Individuazione delle modalità semplificate per l’informativa e l´acquisizione del consenso per l´uso dei cookie” dell’8 maggio 2014 il Garante per la protezione dei dati personali ha stabilito che quando si accede alla home page o ad un’altra pagina di un sito web che usa cookie per finalità di profilazione e marketing deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

  • che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  • che il sito consente anche l’invio di cookie di “terze parti”, in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  • un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  • l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie;
  • Non dovrà esserci nessuna spunta precaricata per scelta di quali categorie di cookie accettare.

Proprio quest’ultimo punto, il più importante secondo me, sta determinando questa drastica diminuzione dei dati analitici. L’utente, che in media è ignaro o comunque riluttante a certe tematiche, anche se accetta i cookie, sa che saranno utilizzati solamente quelli tecnici e quindi necessari al corretto funzionamento del sito.

Di seguito un tipico esempio di un corretto cookie popup box.

È facile capire che questa nuova normativa così restrittiva non lascia più la possibilità di attuare possibili squallidi giochetti a discapito degli utenti, anche se, a onor del vero, soprattutto in Italia, sono ancora moltissimi i siti che non sono in regola con la normativa vigente.

La concezione, la sensibilizzazione, il concetto stesso di privacy sta cambiando a livello mondiale ma purtroppo l’Italia non sembra essersene accorta, confidiamo nel buon lavoro di controllo del Garante Privacy e del Nucleo Speciale Privacy della Guardia di Finanzia, per il bene di tutti.

@RIPRODUZIONE RISERVATA

Articoli correlati