Il 14 novembre 2023, l’European Data Protection Board (“EDPB”) ha adottato le Linee guida 2/2023 sull’ambito tecnico di applicazione dell’art. 5 (3) della Direttiva 2002/58, la cosiddetta Direttiva e-privacy, disciplina cardine in materia di tracciamento degli utenti sulla rete internet attraverso diversi strumenti, come a esempio i cookies, che impone di raccogliere il consenso degli interessati per archiviare informazioni sui – o accedere ai – loro device.
La linea Guida EDPB costituisce uno strumento utile per comprendere quali tecnologie rientrano nell’ambito di applicazione della Direttiva, delineando così la cornice normativa che si snoda attorno a una serie di nuovi servizi e strumenti sempre più utilizzati da imprese e aziende.
Quali sono questi strumenti? Qual è l’impatto nei confronti di chi utilizza questi strumenti?
Prima di addentrarci nell’argomento, appare utile focalizzare l’attenzione su alcuni aspetti della norma che, da un punto di vista operativo, segnano uno spartiacque determinante per la sua applicazione nel caso pratico.
L’ambito oggettivo della Direttiva
Considerato l’ampio ambito di applicazione della Direttiva, ma soprattutto la crescente evoluzione tecnica intercorsa fino ad oggi, è sicuramente lecito nutrire dubbi sulle effettive applicabilità e cogenza della norma con riferimento a soluzioni tecnologiche impensabili al momento della sua adozione.
Pertanto, dando per assodati alcuni concetti di base richiamati dalla norma, un primo profilo di interesse è sicuramente l’ambito oggettivo della Direttiva. Questa, infatti si applica alle “informazioni” di un abbonato o di un utente, concetto più amplio rispetto a quello di dato personale ai sensi del Reg. EU 2016/679, c.d. GDPR.
Il “dato personale”
Per dato personali, infatti, si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” quando per “identificabile” si intende chi possa essere identificato direttamente o indirettamente, ad esempio mediante il nome, una matricola, informazioni relative all’ubicazione e/o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. L’informazione rilevante ai sensi della Direttiva, invece, non richiede alcuna certa riconducibilità del dato a una persona fisica, né tantomeno che questa possa essere astrattamente identificabile.
Le due nozioni, pertanto, si pongono in un rapporto di generale a particolare dove il dato personale ai sensi del GDPR è parte dell’informazione ai sensi dell’ePrivacy Directive. Come vedremo più avanti, la presente differenza ha un impatto rilevante sul campo di applicazione della norma attenzionata.
La nozione di “apparecchio terminale”
Un secondo profilo riguarda la nozione di “apparecchio terminale”. Secondo l’interpretazione fornita dall’EDPB nelle Linee Guida 2/2023 sul campo di applicazione dell’art. 5, comma 3, dell’ePrivacy Directive del 14 novembre 2023, quando il dispositivo non agisce da endpoint nell’ambito di un sistema di comunicazione ma si limita a trasmettere solo informazioni senza apportare eventuali modifiche non dovrebbe essere considerato rilevante ai sensi della ePrivacy Directive.
Cosa prevede l’art. 5 (3) della e-Privacy Directive
L’art. 5 (3) della e-Privacy Directive (Dir. EU 2002/58/CE del 12 luglio 2022) prevede che “gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
Alla luce di quanto sopra, è evidente come diverse ipotesi rientrino nello scope dell’art. 5, comma 3, dell’ePrivacy Directive. Basti pensare al funzionamento della comunicazione di rete, la quale si basa solitamente su un c.d. layered model – come sostenuto dallo stesso EDPB nelle richiamate Linee Guida – che richiede l’uso di identificatori univoci idonei a consentire un corretto deployment delle comunicazioni. Il medesimo discorso può essere esteso ai cookie, i quali consentono l’acquisizione di informazioni (perlopiù dati personali, ove ne ricorrano i presupposti di legge) da un dato device.
I case studies
Per provare a comprendere in maniera più approfondita il reale impatto dell’art. 5, comma 3, dell’ePrivacy nel panorama tecnologico contemporaneo proviamo a ripercorrere i casi proposti dall’EDPB nelle ultime Linee Guida emesse e a individuare, per ciascuno di essi, le azioni necessarie per rispondere ai requisiti richiesti dalla norma.
Tracking pixel e tracking link
I tracking pixel sono delle componenti accessorie di un contenuto, solitamente un’immagine, che agiscono quali collegamenti ipertestuali rispetto un sito web o un messaggio di posta elettronica. In altri termini, la loro funzione è totalmente estranea rispetto al contenuto tramite il quale sono veicolati, agendo esclusivamente quale collegamento fra un nodo della rete e l’altro, quando per tali si intendono il client e l’host del pixel. Una volta stabilita la relazione, la funzione del pixel si realizza mediante la comunicazione dall’uno all’altro nodo di informazioni che possono variare grandemente a seconda della relativa funzione.
Un classico esempio ricorre ogni qualvolta il mittente di un messaggio di posta elettronica richieda la trasmissione di una conferma di lettura. Ciò è tecnicamente realizzato mediante un tracking pixel che restituisce al suddetto l’avvenuta apertura del messaggio da parte del destinatario, che dunque vede un terzo (mittente) accedere tramite una rete di comunicazione elettronica (internet) a un’informazione (l’avvenuta lettura del messaggio) archiviata nell’apparecchio terminale di un utente (destinatario).
In un caso di questo genere, diverse sono le soluzioni pratiche che consentono al provider di uniformarsi al disposto della norma. Infatti, fermi restando i casi di esclusione del consenso, un primo livello di compliance potrebbe tradursi nella predisposizione di un’idonea informativa ai sensi dell’art. 13 GDPR da sottoporre all’utente al momento dell’acquisto della soluzione informatica.
Un secondo livello, invece, può essere individuato nella comparsa di un banner (o di altra finestra di avviso) in caso di trasmissione (o accesso) verso terzi di informazioni archiviate all’interno del proprio device, di fatto rendendo l’utente edotto dell’operazione e consentendogli, al tempo stesso, di esprimere il proprio consenso. In aggiunta, potrebbe anche prevedersi un collegamento a un pagina informativa del servizio, per un maggiore grado di informazione.
Al netto di quanto sopra, si tenga bene a mente che l’individuazione di qualsivoglia misura di compliance necessita di un’adeguata valutazione, che tenga in considerazione eventuali criticità e che ponderi, pertanto, il livello di rischio cui l’organizzazione impattata si espone.
Quanto detto con riferimento ai tracking pixel può essere esteso anche ai tracking links, nel qual caso l’identificatore viene aggiunto all’indirizzo del sito web. In altri termini, quando un determinato sito web viene visitato da un navigante, questo – contemporaneamente alla richiesta di accesso – carica anche il detto identificatore, irrilevante ai fini del caricamento della pagina. Volendo portare un tipico esempio per renderne più chiaro il funzionamento, tramite il tracking link il sito web è in grado di identificare l’origine della fonte in entrata di traffico.
Ad esempio, come osserva ancora l’EDPB, i portali di e-commerce fanno grande uso di simile tecnologie fornendo tracking link univoci ai propri partner commerciali; ciò consente di ricostruire la fonte della visita e, di conseguenza, abilita il partner commerciale alla riscossione della commissione sul lead generato mediante il landing sul detto portale.
Questo secondo esempio ci aiuta a comprendere al meglio quanto, su di un piano pratico, possa fare la differenza l’uso del termine “informazione” rispetto a “dato personale”, come da scelta del Legislatore europeo. Infatti, se fosse stato impiegato il secondo, sarebbe stato necessario dimostrare – per giustificare l’applicabilità a un simile caso dell’ePrivacy Directive – che il tracking links acquisisse informazioni tali per cui le stesse – stand alone o in combinazione con altre – fossero in grado di portare all’identificazione di una persona fisica.
Al contrario, con la scelta lessicale attuale, ciò non è assolutamente necessario in quanto sono “sufficienti” le “semplici” informazioni.
Ferme restando le valutazione di cui sopra, e volendo scendere su di un piano pratico, la comparsa di un pop-up potrebbe risultare in un accorgimento tecnico adeguato per rispondere ai requisiti richiesti dalla Direttiva, purché dotato di caratteristiche tali da consentire una libera ed inequivocabile scelta all’utente (es. button di cc.dd. “allow” e “block”).
API (Application Programming Interface)
Per API si intendono delle componenti informatiche in grado di consentire la comunicazione di informazioni fra device e/o nodi di una rete che altrimenti non potrebbero interagire diversamente. Sulla base della presente definizione, è intuibile che le API ricadano a pieno titolo nell’ambito di applicazione dell’art. 5, comma 3, dell’ePrivacy Directive.
E ciò è tanto più chiaro nel caso di un’API fornita da browser web che consente di accedere da remoto alle informazioni contenute localmente presso gli endpoint. In questo caso, infatti, il cliente, mediante il ricorso a un’API, avrebbe accesso – di fatto integrando uno dei requisiti richiesti dalla norma attenzionata – a informazioni che sono prodotte direttamente dai device cui l’interfaccia accede, che consentirebbe pertanto la trasmissione delle informazioni richieste dall’uno all’altro nodo.
In un caso del genere, il processo di adeguamento all’art. art. 5 (3) della e-Privacy Directive appare sensibilmente più complesso, seppur circoscritto a ipotesi ben definite (es. architettura informativa, network aziendale, etc.). Tuttavia, proprio tale ultima circostanza consente di identificare con più facilità gli step funzionali a garantire la compliance delle attività.
Infatti, trattandosi nella maggior parte dei casi di reti informatiche private – solitamente aziende o organizzazioni – un primo presidio di compliance potrebbe essere individuato nella predisposizione di una misura organizzativa (es. linee guida) che illustri le caratteristiche dell’API e ne descriva il funzionamento. A ciò dovrebbe accompagnarsi una comunicazione informativa – eventualmente anche a fini GDPR – e, da ultimo, la raccolta dei necessari consensi. Il tutto al netto delle eventuali cause di esclusione previste dalla norma stessa che, in un caso del genere, non si faticherebbe a individuare.
L’estrema versatilità dell’ipotesi, pertanto, richiede una preventiva valutazione da condurre secondo un approccio basato sul rischio ad opera di esperti legali e informatici.
IP-based tracking
Un ulteriore esempio fornito da EDPB – il cui utilizzo giustificherebbe l’applicabilità della ePrivacy Directive – è costituito dagli strumenti di tracciamento basati sulla raccolta dell’indirizzo IP, come ad esempio i cookie, spesso oggetto di integrazioni normative o vicende giurisprudenziali. In questo caso, infatti, il cookie – o un ulteriore strumento – accederebbe a un dato presente all’interno del device del visitatore (l’indirizzo IP, per l’appunto) di fatto “abilitando” l’applicazione della norma anche rispetto al caso di specie.
In proposito, tuttavia, è opportuno fare un’importante distinzione. Infatti, come osserva correttamente l’EDPB, ottenere l’accesso all’indirizzo IP del navigante porterebbe all’applicazione dell’art. 5 (3) della ePrivacy Directive solo qualora la presente informazione provenga dal terminale di un abbonato o di un utente che agisce da endpoint nell’ambito di un sistema di comunicazione e che non si limita a trasmettere informazioni senza apportare eventuali modifiche.
La norma non troverebbe pertanto applicazione nel caso dell’IP di un router, il quale non è direttamente riconducibile al device di un utente quanto più a una rete locale privata di riferimento, in quanto il suo ruolo è proprio quello di consentire lo smistamento di un pacchetto dati fino al nodo di destinazione.
Questo esempio consente di comprendere al meglio quanto anticipato in apertura di lavoro. Infatti, secondo l’interpretazione fornita dall’EDPB nelle dette Linee Guida, quando il dispositivo non agisce da endpoint nell’ambito di un sistema di comunicazione (proprio come un router) ma si limita a trasmettere solo informazioni senza apportare eventuali modifiche (ancora una volta, come un router) non dovrebbe essere considerato rilevante ai sensi della ePrivacy Directive. L’esempio sopra riportato, pertanto, altro non è che un caso pratico di quanto precede.
Su di un piano pratico, le “Linee guida cookie e altri strumenti di tracciamento” adottate dal Garante per la Protezione dei Dati Personali del 10 giugno 2021 forniscono una grande mano per identificare le azioni da porre in essere per garantire la conformità delle attività.
Infatti, loro scopo è illustrare le misure organizzative e tecniche necessarie per un trattamento compliant dei dati personali degli utenti on line. Fra le varie suddette, sono raccomandati “meccanism[i] di acquisizione del consenso online tramite presentazione di un banner”, che altro non è che una finestra mediante la quale l’interessato può acconsentire o meno al download e all’installazione di cookie nel proprio browser, e dunque al trattamento dei propri dati personali per una o più finalità.
È evidente che una simile soluzione ben si armonizza anche con il disposto di cui all’art. 5 (3) dell’ePrivacy Directive dal momento che anche in questo caso si rende necessario a) informare l’utente dell’uso delle informazioni e b) acquisire il suo consenso (eccezion fatta per alcuni ipotesi).
IoT device
Per inquadrare il fenomeno degli IoT device proviamo a immaginare il funzionamento di uno smart vehicle.
La sua caratteristiche principale è la costante raccolta di dati e informazioni circa il corretto funzionamento della vettura e gli accadimenti dello spazio circostante. Un classico esempio è quello dei sensori, i quali agiscono – per l’appunto – da punti di raccolta delle informazioni in loco le quali, nella maggior parte dei casi, sono a loro volta trasmesse o rese disponibili a un server remoto mediante internet (es. mediante SIM).
In casi di queste genere, l’applicabilità della ePrivacy Directive risulta alquanto chiara. Infatti, ricorrono tutti i presupposti richiesti dalla norma oggetto di approfondimento dell’EDPB trattandosi informazioni accessibili (o archiviate, a seconda dei casi) presso un apparecchio terminale (smart veihcle) di un utente (autista) mediante una rete di comunicazione elettronica (internet).
Diverso sarebbe il caso in cui il sensore, pur agendo da punto di raccolta delle informazioni, non trasmetta le informazioni direttamente a un server da remoto mediante un protocollo di comunicazione residente su di una rete, ma si limiti ad archiviarle in locale, per poi condividerle mediante una connessione point-to-point (es. bluetooth) con un secondo device come, ad esempio, uno smartphone.
Nella prima trasmissione, infatti, mancherebbe uno dei cardini attorno al quale è stata costruita la norma, e cioè la rete di comunicazione. Diverso sarebbe il caso della seconda trasmissione – ove questa effettivamente avvenga – in quanto l’informazione potrebbe viaggiare dallo smartphone verso un server remoto solo attraverso una linea internet che, da ultimo, giustificherebbe l’applicabilità dell’art. 5, comma 3, dell’ePrivacy Directive.
Un discorso simile potrebbe farsi per un download su supporto di memoria esterno e rimovibile (es. USB pendrive, hard disk esterno, etc.). La mera comunicazione di dati fra il supporto e il personal computer di approdo non costituisce trasferimento di informazioni rilevanti ai fini della norma di nostra interesse, in quanto il contatto fra il supporto e il device avviene simultaneamente mediante canale USB. Invece, ove quelle stesse informazioni fossero poi trasmesse online a un terzo, ancora una volta si ricadrebbe nell’ambito di applicazione della ePrivacy Directive.
Identificatore univoco
Diverse organizzazioni si avvalgono di quelli che sono chiamati “identificatori univoci” o “persistenti”. Si tratta solitamente di stringe alfanumeriche create a partire da un set di dati personali e/o informazioni persistenti (nome e cognome, email, numero di telefono, etc.) il quale, mediante un’apposita funzione, viene sottoposto ad hashing sul dispositivo dell’utente e successivamente raccolto portando da ultimo proprio alla creazione dell’identificatore.
Nel momento in cui il presente processo viene condotto online da parte di un sito web (o comunque nell’ambito di un’altra rete di comunicazione elettronica) l’entità che accede e/o raccoglie i dati mediante la creazione dell’identificatore integra a piena titolo un’operazione passibile di ricadere nell’ambito di applicazione dell’art. 5, comma 3, della ePrivacy Directive.
Considerando le affinità di funzionamento degli identificatori univoci con alcune dei precedenti esempi, per provare a gestire una simile tecnologia potrebbero applicarsi le medesime misure di controllo suggerite per i tracking pixel. Sia in questo che nell’altro caso, infatti, vi è una comunicazione sostanzialmente simile fra due nodi dei quali uno invia una richiesta e l’altro vi risponde.
Pertanto, un presidio multilivello come quello già analizzato, che prevede un’idonea informativa ai sensi dell’art. 13 GDPR da sottoporre all’utente al momento dell’invio dell’identificatore e il ricorso a un banner, appare una soluzione parimenti valida.
Conclusioni
In conclusione, gli esempi forniti da EDPB, oltre ad aiutarci a comprendere quali sono le principali tecnologie impattate dalla disciplina dell’articolo 5, comma 3, della ePrivacy Directive e benchè siano ancora in fase di consultazione pubblica, costituiscono uno strumento utilissimo per i player che ne fanno uso – anche, ma non solo – per ragioni di business.
Qualificando le tecnologie in perimetro, infatti, identificano indirettamente anche i soggetti sui quali ricade l’onere di adottare i presidi tecnico-organizzativi indispensabili per continuare ad utilizzare in maniera compliant strumenti utilissimi per lo sviluppo di un business.
