Archivio rubriche 2021

Garante per la protezione dei dati personali (2/2021)

Aggiornato al 30/6/2021 

Nel periodo di riferimento considerato (Marzo 2021 – Giugno 2021), fra i provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’), si segnalano le nuove «Linee guida cookie e altri strumenti di tracciamento»[1].

 

Con le predette Linee guida, approvate a seguito di apposita consultazione pubblica[2], l’Autorità di protezione dei dati torna sull’argomento affrontato già con il precedente provvedimento generale relativo all’«Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie»[3], anche alla luce delle modifiche normative nel frattempo intercorse, con «l’obiettivo di specificare, al riguardo, le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso on-line degli interessati, ove necessario, alla luce della piena applicazione del Regolamento (UE) 2016/679»[4].

È interessante notare, in primo luogo, come il nuovo provvedimento non si applichi solo ai cookie in senso stretto[5], ma anche a tutti gli altri strumenti di tracciamento online che «consentono di effettuare trattamenti analoghi», come ad esempio «il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online», come il «tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico» o l’invio di «pubblicità comportamentale (c.d. “behavioural advertising”)» con possibilità di misurare «l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione».

Il riferimento è, ad esempio, al cd. fingerprinting, «ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato».

Quanto alle regole applicabili, tenendo conto che sia i cookie che gli altri strumenti di identificazione passiva online possono avere diverse finalità, è stata data evidenza dei differenti adempimenti che il titolare del trattamento deve effettuare ai fini di conformarsi alla disciplina in materia di protezione dei dati personali.

Nello specifico, nel caso di utilizzo di cookie e degli altri identificatori meramente “tecnici” – ossia volti esclusivamente a «effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio»[6] – il titolare del trattamento non è obbligato a chiedere il consenso, ma soggiace in ogni caso all’obbligo di fornire l’informativa prevista dagli artt. 12 ss. del RGPD.

In tutti gli atri casi – stante le previsioni contenute nell’art. 122 del Codice privacy – i cookie e gli altri strumenti di tracciamento possono essere utilizzati solo «previa acquisizione del consenso, comunque informato, del contraente o utente». Tale regola vale, quindi, ad esempio, per i cc.dd. cookie di profilazione, che in quanto tali sono «utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete».

In ordine alle modalità per acquisire il consenso, è importante ricordare che il Garante interviene sul c.d. scrolling e sui cookie wall, evidenziando fra l’altro che in generale «il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento». Ciò tuttavia non significa che in alcuni casi lo scrolling non possa essere utilizzato nella procedura di acquisizione del consenso, laddove ad esempio sia «una delle componenti di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile».

Quanto, invece, a quei meccanismi di tipo vincolante nel quale l’utente è «obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito» (cookie wall), il Garante ritiene che il consenso così prestato non è libero ed è quindi illecito, in quanto non conforme alle regole del RGPD (cfr. art. 4, par. 1, punto 11).

Sempre in ordine alla modalità di acquisizione del consenso, è rilevante l’indicazione contenuta nelle Linee guida per la quale il gestore del sito web non può proporre in maniera eccessiva banner ai fini dell’acquisizione del consenso, soprattutto laddove l’utente abbia già effettuato l’accesso al sito web e abbia liberamente negato il consenso, in quanto tale pratica può ledere la libertà della persona inducendola ad accettare «pur di proseguire nella navigazione libero dalla comparsa del banner contenente l’informativa breve e la richiesta di prestazione del consenso».

Il Garante ha evidenziato, inoltre, la necessità che il titolare del trattamento rispetti i principi di privacy by design e by default anche in relazione ai cookie ed agli altri strumenti di tracciamento, garantendo «che, per impostazione predefinita, siano trattati solo i dati personali necessari in relazione a ciascuna specifica finalità del trattamento» e che, fra l’altro, «la quantità dei dati raccolti e la durata della loro conservazione non eccedano il minimo necessario per il conseguimento delle finalità perseguite» (art. 25, del RGPD). Ciò significa, ad esempio, che nessun cookie o altro strumento di tracciamento diverso da quelli tecnici – pena eventuale sanzione del Garante – può essere posizionato per impostazione predefinita all’interno del dispositivo utilizzato dall’utente al momento del primo accesso a un sito web[7].

Quanto all’utilizzo di cookie analytics anche di terze parti – ad esempio «per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito web o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche» – è stato confermato il precedente orientamento contenuto nel provvedimento del 2014, secondo il quale tali strumenti vanno assimilati a quelli “tecnici”. Pertanto, gli stessi possono essere utilizzati anche senza consenso (ma sempre previa informativa), a condizione che venga garantita un’attuazione efficace dei principi di protezione dei dati ai sensi della privacy by design (art. 25, par. 1, RGPD) e che, in tale prospettiva, «sia fatto ricorso a misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytic, qualora il loro utilizzo avvenga ad opera di “terze parti”». Al riguardo, l’Autorità di protezione dei dati ha fissato alcuni paletti all’interno dei quali è possibile assimilare i cookie analytic ai cookie tecnici. Nello specifico, è «indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato (cd. single out)». A tal fine, la «struttura del cookie analytics» dovrà «prevedere la possibilità che lo stesso cookie sia riferibile non soltanto ad uno, bensì a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve»[8].

Sul tema, è inoltre rappresentata «la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi». Eventuali soggetti terzi che partecipano al trattamento (es.: quelli che «forniscono al publisher il servizio di web measurement»), «non possono «comunque combinare i dati, anche così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) né trasmetterli a loro volta ad ulteriori terzi», in quanto in tal modo si potrebbero creare rischi di identificazione dell’utente (ciò a meno che «la produzione di statistiche da loro effettuata con i dati minimizzati interessi più domini, siti web o app riconducibili al medesimo publisher o gruppo imprenditoriale»).

Alcune indicazioni sono fornite anche con riferimento all’informativa, che dovrà essere aggiornata alla luce degli elementi richiesti dal nuovo RGPD (art. 12 ss.). Ci si sofferma infine sulla nota problematica della mancanza di «un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento che consenta di distinguere oggettivamente, ad esempio, quelli tecnici dagli analytics o da quelli di profilazione, se non basandosi sulle indicazioni rese dal titolare stesso nella privacy policy». Per tale motivo, auspicando una soluzione in futuro della questione, è stato chiesto ai titolari del trattamento in ogni caso di indicare «almeno i criteri di codifica degli identificatori adottati da ciascuno».

 

[1] Provvedimento n. 231 del 10/6/2021, in G.U. n. 163 del 9/7/2021 e in www.gpdp.it, doc. web n. 9677876.

[2] Cfr. deliberazione del Garante n. 255 del 26/11/2020, in www.gpdp.it, doc. web n. 9498472.

[3] Provv. n. 229 dell’8/5/2014, in G.U. n. 126 del 3/6/2014 e in www.gpdp.it, doc. web n. 3118884.

[4] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati”, di seguito “RGPD”.

[5] Per una descrizione più dettagliata dello strumento tecnico e sul relativo funzionamento, si rinvia al contenuto delle Linee guida.

[6] Art. 122, comma 1 del d. lgs. n. 196 del 30/6/2003, recante il «Codice in materia di protezione dei dati personali», di seguito “Codice privacy”.

[7] Nel caso in cui, invece, l’utente accetti di essere profilato nelle Linee guida è illustrata l’adozione dello specifico modello e banner che si suggerisce di utilizzare,

[8] È interessante l’indicazione del Garante sul punto, laddove evidenzia come di «regola questo effetto si ottiene mascherando opportune porzioni dell’indirizzo IP all’interno del cookie» e fornisce specifiche indicazioni in ordine alle diverse tipologie di IP: indirizzi IP versione 4 (IPv4) a 32 bit e indirizzi IP versione 6 (IPv6).

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633