I cookie nel Regolamento ePrivacy: ecco tutte le novità - Agenda Digitale

il quadro ue

I cookie nel Regolamento ePrivacy: ecco tutte le novità

Il quadro di riferimento europeo sui cookie che si profila alla luce dell’ultima bozza di Regolamento ePrivacy, nel solco della Direttiva ePrivacy e del GDPR

16 Giu 2021
Jacopo Baieri

avvocato, Studio Legale Chiomenti

Ersilia Lazzara

avvocato, Studio Legale Chiomenti

Il futuro Regolamento UE in materia di ePrivacy (“Regolamento ePrivacy”) è destinato a sostituire la Direttiva 2002/58/CE (“Direttiva ePrivacy”), con la quale il legislatore europeo si era prefissato l’obiettivo di armonizzare le discipline degli Stati membri in relazione al trattamento dei dati personali e alla tutela della vita privata nello specifico settore delle comunicazioni elettroniche, per adeguarle agli sviluppi verificatisi nei mercati e nelle tecnologie dei servizi di comunicazione elettronica, nonché per fornire agli utenti dei servizi di comunicazione elettronica accessibili al pubblico un pari livello di tutela dei dati personali e della vita privata indipendentemente dalle tecnologie utilizzate.

Ci occuperemo perciò di ricostruire sinteticamente il quadro di riferimento europeo in materia di cookie e di mettere in luce come il Regolamento ePrivacy si innesterà su di esso, consolidandolo e innovandolo.

Direct marketing e soft spam: le novità del nuovo regolamento ePrivacy

Cookie e altri sistemi di tracciamento

I cookie si concretizzano in piccole stringhe di testo che gli owner dei siti web (c.d. ‘publisher’) – direttamente, mediante il proprio sito, oppure per il tramite di siti terzi (‘cookie di terze parti’) – posizionano per essere memorizzati all’interno dei terminali degli utenti che vi navigano (euno smartphone, un PC e così via fino ad arrivare a dispositivi IoT). Quest’ultima caratteristica permette di inquadrarli negli strumenti di tracciamento cosiddetti ‘attivi’, in contrapposizione ad altri strumenti che, a parità di risultati conseguibili, presuppongono la mera osservazione dell’utente navigante (il fingerprinting). Non essendo archiviati all’interno del proprio dispositivo-terminale, l’utente non ha la possibilità di rimuovere gli strumenti di tracciamento ‘passivi’ i quali, pertanto, sfuggono a un controllo sul piano pratico (non anche giuridico).

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Seguendo l’impostazione dell’Autorità Garante per la protezione dei dati personali (“Garante”), i cookie si distinguono in due macro-categorie in base alla finalità sottesa al loro impiego. Da un lato i cookie ‘tecnici’, le cui funzioni spaziano dal garantire la normale navigazione e fruizione del sito web al miglioramento dei servizi e prodotti offerti online. Dall’altro lato i cookie ‘di profilazione’, volti essenzialmente a inserire l’utente identificato o identificabile all’interno di cluster (i.e., a profilarlo) mediante la raccolta di informazioni concernenti – inter alia – specifiche azioni, pattern comportamentali e preferenze manifestate nel corso della navigazione, con il fine ultimo di intraprendere attività mirate quali marketing e advertising.

Il Garante ha chiarito, inoltre, come i cosiddetti cookie ‘analytics’ (volti a misurare il numero di visitatori del sito in una determinata fascia oraria, per area geografica o altre caratteristiche) sono equiparabili ai cookie tecnici solo se e nella misura in cui il titolare ponga in essere misure di privacy by design e di minimizzazione tali da precludere l’individuazione dell’interessato (cosiddette single-out) a partire dall’aggregazione relativa agli analytics, per esempio intervenendo sulla struttura dell’indirizzo IP all’interno del cookie così da renderlo riferibile a più dispositivi.

I cookie nella Direttiva ePrivacy e nel GDPR

La Direttiva ePrivacy ha anzitutto gettato le fondamenta dell’obbligo di informazione chiara e completa degli utenti con riguardo all’impiego di cookie nel contesto del sito web visitato. Sul piano normativo nazionale – nel caso italiano (v. infra) come in altri – ciò si è tradotto nel noto approccio ‘multilivello’ costituito da un’informativa breve (banner) collegata a una più estesa, spesso denominata ‘cookie policy’. Al tempo stesso, la Direttiva ePrivacy ha lasciato agli Stati membri ampio margine in relazione alle modalità di raccolta del consenso dell’utente all’impiego di cookie non tecnici, da manifestarsi vuoi mediante una sua azione positiva (c.d. opt-in) vuoi mediante la mancata espressione di un diniego operata, per esempio, a fronte di una preselezione da parte del publisher (c.d. opt-out).

L’ingresso in scena del Regolamento UE n. 2016/679 (“GDPR”), se da un lato ha irrobustito gli obblighi di informazione e trasparenza, posizionandoli in un disegno di rigorosi principi applicabili al trattamento di dati personali, dall’altro ha segnato una ‘riforma’ dell’istituto del consenso e dei diritti degli interessati. Nella misura in cui l’impiego di strumenti di tracciamento implichi un trattamento di dati personali l’applicabilità del GDPR ridisegna, in senso incrementale, la disciplina della Direttiva ePrivacy che si pone quale ‘lex specialis’ rispetto al GDPR (come in futuro si porrà il Regolamento ePrivacy).

Trasparenza e consenso informato nelle Linee Guida dell’EDPB e del Garante

L’impatto del GDPR risulta più chiaro se si guarda alle linee guida in materia di consenso al trattamento di dati personali adottate dallo European Data Protection Board (“Linee Guida EDPB”), sorte dalla necessità di fornire maggiori chiarimenti – inter alia – proprio sulle modalità di raccolta del consenso all’impiego di cookie o altri strumenti di tracciamento.

In primo luogo, l’utente che naviga su un sito web deve essere informato sulle tipologie di cookie utilizzati in maniera chiara, semplice e trasparente. In caso di utilizzo di soli cookie tecnici, sarà necessaria e sufficiente la disponibilità di un’informativa estesa che fornisca all’utente informazioni circa l’utilizzo e le finalità degli stessi, laddove l’utilizzo di altre tipologie di cookie (v. supra) impone di mostrare un primo livello di informativa (e.g., cookie banner) su qualsiasi pagina di primo accesso al sito.

Sul piano del consenso, la pratica dei publisher di ricorrere ai c.d. ‘cookie wall’ – impedendo l’accesso o la fruizione del sito sino a quando l’utente non accetti i cookie del caso – non può essere considerata in linea con il GDPR, ledendo il principio in forza del quale il consenso deve essere prestato liberamente dall’interessato.

Al tempo stesso, il consenso deve tradursi in una dichiarazione o azione positiva di volontà inequivocabile. Vengono così estromessi definitivamente i margini di legittimità per sistemi di c.d. opt-out nonché, generalmente, per sistemi di accettazione dei cookie invalsi nel mondo digitale quali la semplice prosecuzione dell’uso normale di un sito web oppure lo scorrimento di una pagina web da parte dell’utente (c.d. ‘scrolling’). Simili azioni, infatti, potrebbero essere confondibili con altre attività inerenti la navigazione e non connesse all’espressione del consenso, all’impiego di cookie e/o al trattamento dei dati personali in generale. Le Linee Guida EDPB sottolineano, inoltre, che in tali casi potrebbe essere concretamente difficoltoso fornire all’utente la possibilità di revocare il consenso, stante il principio di cui all’art. 7 del GDPR in base al quale il diritto di revoca deve poter essere esercitato con la stessa facilità con cui è stato espresso il consenso.

Nel solco tracciato dalle Linee Guida EDPB, il Garante – focalizzandosi sui vari strumenti di tracciamento e funzionalità che, incrociando i dati (c.d. enrichment), permettono la creazione di profili degli utenti sempre più dettagliati e specifici – ha sottolineato i seguenti aspetti all’interno delle Linee Guida sull’utilizzo di cookie e di altri strumenti di trattamento, pubblicate in data 11 dicembre 2020 e delle quali si attende il testo definitivo in seguito alla chiusura (già avvenuta) del periodo di consultazione pubblica:

  • l’informativa può essere resa non solo mediante il tradizionale meccanismo ‘multilivello’, ma “anche per il tramite di più canali e modalità (multichannel)” (canali video, pop-up, assistenti virtuali, chatbot e così via). Tra le informazioni da rendere note agli utenti il Garante annovera i criteri di codifica dei cookie e degli altri strumenti di tracciamento utilizzati, potenzialmente utili anche a fini istruttori da parte delle Autorità.
  • per impostazione predefinita (by-default), l’utilizzo di informazioni per l’accesso a un sito web deve essere inizialmente limitato al minimo indispensabile per consentirne la fruizione, rimettendo interamente all’interessato un effettivo, concreto potere di manifestare – in modo inequivocabile – la volontà a un utilizzo più ampio dei suoi dati (mediante tecniche di profilazione).
  • l’opt-in dovrà concretizzarsi in un’area passibile di essere chiusa ( mediante click su apposito comando ‘X’), volta a raccogliere i diversi consensi secondo un meccanismo granulare preimpostato per il diniego (profilazione, elaborazione di analytics individuali, invio di newsletter personalizzate e così via), garantendo la revoca e il ripensamento dell’utente anche in blocco. Per evitare influenze dettate da scelte di design il Garante consiglia, infine, di utilizzare “comandi e […] caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare”.
  • se il semplice scrolling del cursore di pagina non è di per sé adatto alla raccolta di un valido consenso, può essere una componente di un più articolato e preciso pattern ai fini di una scelta inequivoca dell’utente nel senso di prestare il proprio consenso all’uso dei cookie.
  • il publisher deve mettere l’utente nelle condizioni di non dover manifestare il consenso a ogni accesso e, al tempo stesso, adottare meccanismi che siano in grado di tenere traccia della volontà manifestata. In ogni caso, l’utente deve sempre poter avere a disposizione nella pagina iniziale del sito “il link alla privacy policy nonché all’area dedicata alle scelte di maggiore dettaglio”.

I cookie nel Regolamento ePrivacy

Il Regolamento ePrivacy si inserisce nel quadro normativo sin qui esposto consolidandolo e, al tempo stesso, espandendolo. Il centro nevralgico della tutela degli utenti (end-users) è infatti rappresentato, ancora una volta, dal consenso (il Regolamento ePrivacy ne mutua la disciplina dal GDPR, richiamandola esplicitamente). Lo spettro applicativo della protezione viene esteso, sul piano oggettivo, alle comunicazioni elettroniche che non costituiscono o ricomprendono dati personali e, sul piano soggettivo, alle informazioni riferite vuoi a persone fisiche vuoi a persone giuridiche che si trovano nel territorio UE.

Lo schema adottato è quello di una regola generale della riservatezza dei dati relativi alle comunicazioni elettroniche e del divieto di qualsiasi interferenza con i medesimi (captazione, memorizzazione, monitoraggio, etc.) da parte di chiunque non sia l’utente finale interessato: i margini consentiti dal Regolamento ePrivacy per l’impiego dei cookie e altri sistemi di tracciamento, pertanto, rappresentano eccezioni a tale regola. In tal senso il Considerando (21) del Regolamento ePrivacy chiarisce: «Use of the processing and storage capabilities of terminal equipment or access to information stored in terminal equipment without the consent of the end-user should be limited to situations that involve no, or only very limited, intrusion of privacy».

L’eccezione ‘principe’ continua a essere rappresentata dal consenso, cui si accostano altre condizioni di liceità – alternative tra di loro e sulle quali si innestano specifiche prescrizioni (in merito alle misure di sicurezza da implementare) – che descrivono un perimetro più circoscritto rispetto alle basi giuridiche previste dall’art. 6 del GDPR. Tra le altre, l’impiego delle capacità di trattamento e di memorizzazione delle apparecchiature terminali e la raccolta di informazioni dalle apparecchiature terminali degli utenti finali, anche sui loro software e hardware, sono consentite ove necessario: (a) al solo scopo di fornire un servizio di comunicazione elettronica; (b) per mantenere o ripristinare la sicurezza dei servizi della società dell’informazione o delle apparecchiature terminali dell’utente finale; (c) prevenire le frodi o prevenire o individuare guasti tecnici per la durata necessaria a tale scopo; (d) ai soli fini della misurazione del pubblico (audience measurement).

Tale impianto parrebbe preservare, in linea generale, la possibilità di prescindere dal consenso con riguardo all’impiego dei cookie tecnici e dei cookie analytics e, come anticipato, consolidare il regime del consenso sotto l’egida del GDPR espandendone lo scope applicativo rispetto agli strumenti di tracciamento non ricompresi in quelli riferiti poc’anzi (cookie di profilazione). In particolare, tra le altre previsioni:

  • il consenso non dovrebbe essere richiesto per autorizzare la memorizzazione tecnica o l’accesso ove tali trattamenti siano necessari e proporzionati al fine di fornire un servizio specifico richiesto dall’utente finale, ciò potendo includere – inter alia – la memorizzazione di: (a) cookie, per la durata di una singola sessione stabilita su un sito web, al fine di tenere traccia dell’input dell’utente finale durante la compilazione di moduli online su più pagine; (b) cookie di sessione di autenticazione, utilizzati per verificare l’identità degli utenti finali impegnati in transazioni online; (c) cookie utilizzati per ricordare gli articoli selezionati dall’utente finale e inseriti nel carrello.
  • nell’ambito dei servizi Internet of Things (IoT), i quali si affidano a device interconnessi (termostati, dispositivi medici collegati, contatori intelligenti, veicoli automatizzati e collegati etc.), l’uso delle capacità di trattamento e memorizzazione dei medesimi, così come l’accesso alle informazioni ivi contenute, non dovrebbe presupporre il consenso nella misura in cui tali attività siano necessarie per la fornitura di un servizio richiesto dagli utenti (l’archiviazione di informazioni in uno smart meter per la fornitura di un servizio di fornitura di energia richiesto, nella misura in cui ciò sia necessario per la stabilità e la sicurezza della rete energetica o per la fatturazione del consumo di energia degli utenti finali).
  • in generale, la semplice registrazione del fatto che il dispositivo dell’utente finale non sia in grado di ricevere il contenuto richiesto dall’utente medesimo non dovrebbe costituire un accesso a tale dispositivo né un uso delle capacità di elaborazione del dispositivo.
  • i software provider dovrebbero impostare settings tali da assicurare, in ogni caso, la prevalenza del consenso direttamente espresso dall’utente su quello dei privacy settings (“diritto di autodeterminazione”), ciò che dovrebbe essere implementato senza ritardo dagli applicativi operanti presso i terminali.
  • all’utente che abbia manifestato il proprio consenso al trattamento nell’ambito delle comunicazioni elettroniche deve essere rammentata la possibilità di revocare il consenso, manifestato in precedenza, a intervalli periodici di «[no longer than 12 months], as long the processing continues, unless the end-user requests not to receive such reminders]».

Sarà comunque opportuno che gli operatori tengano in considerazione ulteriori sviluppi della bozza di Regolamento ePrivacy, specialmente nelle direzioni indicate lo scorso 9 marzo 2021 dall’EDPB che ha ribadito – inter alia – quanto segue nel suo Statement 3/2021 on the ePrivacy Regulation:

  • la deroga dell’audience measurement (v. supra) è formulata in modo troppo ampio e dovrebbe essere limitata al ‘low level anayltics’ necessario per l’analisi delle prestazioni del servizio richiesto dall’utente, garantendo un facile opt-out e in ogni caso senza dar luogo (i) da solo, o in combinazione con altre soluzioni di tracciamento, a un’individuazione o a una profilazione degli utenti da parte del fornitore o di altri responsabili del trattamento, né (ii) alla raccolta di informazioni di navigazione relative agli utenti su diversi siti web o applicazioni.
  • la necessità che il consenso fornito dall’utente sia autenticamente libero dovrebbe impedire ai fornitori di servizi di utilizzare pratiche del tipo ‘prendere o lasciare’ (il ‘cookie wall’) che subordinano l’accesso ai servizi e alle funzionalità al consenso di un utente, alla memorizzazione delle informazioni, o all’ottenimento dell’accesso alle informazioni già memorizzate nell’apparecchiatura terminale dell’utente stesso: il Regolamento ePrivacy dovrebbe sancire questo divieto in modo esplicito.
  • nell’ottica di migliorare la situazione attuale e restituire il controllo agli utenti, il Regolamento ePrivacy dovrebbe affrontare il tema della c.d. ‘cookie banner fatigue’ – dato dal sovraccarico di richieste di consenso nello stesso come in diversi siti web o altri contesti, ciò che disincentiva la lettura delle informative e mina l’autenticità del consenso dell’end-user – prevedendo inter alia un obbligo affinché i browser e i sistemi operativi (includendo i relativi soggetti di riferimento nello scope soggettivo del Regolamento ePrivacy) pongano in essere meccanismi uniformi, user-friendly ed efficaci, che mettano i titolari dei trattamenti nelle condizioni di ottenere agevolmente il consenso degli utenti.
  • gli utenti, dal canto loro, dovrebbero beneficiare di tali meccanismi unitamente a ‘privacy settings’ che preservino by default il diritto alla protezione dei dati personali e all’integrità dei terminali, garantendo: (i) modalità di espressione, gestione e revoca del consenso facili, vincolanti ed esecutive nei confronti di tutte le parti coinvolte (fornitori di software, il publisher etc.); (ii) la possibilità di prestare il consenso all’uso di determinati tipi di cookie inserendo uno o più fornitori in cosiddette white-list nelle impostazioni del browser (così operando sin da subito una selezione circa i possibili tracciamenti cui essere sottoposti).

Conclusioni

I cookie possono rappresentare uno strumento legittimo e utile per valutare l’efficacia di un servizio della società dell’informazione (e.g., in relazione al design o alla pubblicità dei siti web), a misurare il numero di utenti finali che visitano un sito web e/o che utilizzano un’applicazione. Diverso è il caso, invece, di cookie e altri identificatori utilizzati per determinare chi sta utilizzando il sito e raccogliere dati sulla sua persona. Il Regolamento e-Privacy, nel solco del GDPR e della Direttiva e-Privacy, persegue gli obiettivi istituzionali dell’Unione relativi alla salvaguardia dei diritti fondamentali della persona, nell’ottica di restituire agli utenti la signoria del controllo sulla propria sfera personale-digitale e, al tempo stesso, plasmare un mercato digitale efficiente.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3