In un quadro normativo europeo povero e poco attuale, nonché in considerazione delle disposizioni nazionali, risultato dello sforzo delle autorità di singoli paesi, alcuni garanti europei hanno deciso di intervenire in maniera autonoma in materia di cookie.
Si tratta di un tema molto rilevante, in considerazione della mole di dati personali che gli utenti forniscono alle aziende più o meno consapevolmente. E proprio per questo, senza attendere linee guida dall’Unione Europea, i garanti di Francia, Germania, Spagna e UK hanno fornito i loro chiarimenti.
Le modalità di prestazione del consenso
Dalla disamina delle indicazioni dei Garanti europei risulta che l’aspetto più rilevante riguarda le modalità di prestazione del consenso: l’impostazione previgente comportava che l’utilizzo dello “scroll” sulla pagina internet fosse da intendersi quale prestazione del consenso. Infatti, la Direttiva e-Privacy (attualmente in vigore) fa riferimento alla Direttiva 95/46/CE (normativa in vigore in materia di privacy prima del GDPR, si veda a tal proposito il Considerando 17 della Direttiva e-Privacy, con cui si indica che “ai fini della presente direttiva il consenso dell’utente o dell’abbonato, senza considerare se quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva 95/46/CE”), da cui è stato tradizionalmente ritenuto che lo “scroll” fosse un comportamento idoneo a integrare la prestazione del consenso da parte dell’utente, con grande soddisfazione dei gestori dei siti web e dei terzi che li utilizzavano per iniettare i loro cookie.
La posizione dei garanti europei sembra ora spingere verso una direzione molto diversa: infatti, il testo della direttiva 95/46/CE è stato abrogato dal GDPR che, all’art. 94 specifica proprio come “i riferimenti alla direttiva abrogata si intendono fatti al [GDPR]”. Pare quindi opportuno evidenziare come il consenso per l’installazione dei cookie debba presentare le stesse caratteristiche che vengono richieste dal GDPR: se il consenso è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, GDPR), risultano evidenti le ragioni per cui per la maggior parte dei garanti europei fornisce ora indicazioni circa il fatto che meri comportamenti passivi non possano integrare prestazione del consenso.
La situazione in Italia
E in Italia? Si attendono chiarimenti da parte del Garante della Privacy. Il quadro normativo italiano infatti fa già presagire che il Garante della Privacy dovrà intervenire sul tema, probabilmente adottando un’impostazione simile a quella espressa dai garanti europei che fino a ora si sono espressi al riguardo. Riassumendo, infatti, l’impostazione che trova applicazione in Italia prevede che all’utente venga offerta un’informativa stratificata: un primo banner che riporti le informazioni essenziali relative al trattamento dei suoi dati personali e la possibilità di accedere a un testo completo, cliccando su un apposito link presente nel banner stesso. Il Garante della Privacy, nei suoi “Chiarimenti in merito all’attuazione della normativa in materia di cookie” del 5 giugno 2015 specificava inoltre che “si rappresenta che soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell´informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”, con ciò formalizzando la pratica dello “scroll”.
L’effetto della elaborazione dei dati è dirompente: il consumatore è fatto destinatario di offerte che altri hanno selezionato sulla base dei suoi gusti, delle sue esperienze, delle sue conoscenze. Il primo pensiero è che si tratti di un effetto positivo: quando il tempo è il bene più prezioso, è un vantaggio ricevere solo offerte che sono in linea con i propri interessi. A ben pensarci però, in gioco c’è ben altro: le esperienze, la diversità, uscire dalla propria confort zone fatta di elementi che appartengono alla propria esperienza, significa dover scegliere. Significa toccare aspetti di cui non si era a conoscenza, solleticare il proprio intelletto, confrontarsi con realtà scomode che richiedono di essere affrontate. Il libero mercato, si dice, comporta che la determinazione dei prezzi derivi dall’incontro di domanda e offerta: se però la domanda viene posta da chi offre, non è poi tanto libero.
Cookie, le indicazioni fornite dai Garanti
Nell’attesa di conoscere quale impostazione verrà adottata in Italia in relazione all’utilizzo dei cookie, in particolare in relazione alle modalità di prestazione del consenso da parte degli utenti, ripercorriamo i punti essenziali delle indicazioni fornite dai garanti di Francia, Spagna, UK e dalla Datenschutzonferenz in Germania.
AEPD: Agencia Española protección datos (Guía sobre el uso de las cookies – novembre 2019) | ICO: Information Commissioner’s Office (Guidance on the use of cookies and similar technologies – luglio 2019) | CNIL: Commission nationale de l’informatique et des libertés | DSK: Datenschutzkonferenz[1] (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – marzo 2019) | |
Quadro normativo | I principali riferimenti normativi sono: la L. 34/2002, inerente ai servizi della società dell’informazione e il commercio elettronico (la Ley de servicios de la sociedad de la información y de comercio electrónico, “LSSI”), il GDPR e la L. 3/2018 di applicazione dello stesso. La posizione espressa da parte della L. 34/2002 riproduce il contenuto della Direttiva 2002/58/CE (“Direttiva e-Privacy”)[2]: si fa riferimento, infatti, alla possibilità di procedere con l’archiviazione e il recupero di dati nelle apparecchiature terminati dei destinatari, previo consenso espresso in base a informazioni chiare e complete anche sulle finalità del trattamento dei dati, pur restando ferma la possibilità di procedere in tal senso in caso si renda necessario per fornire un servizio richiesto da parte dell’utilizzatore[3]. In aggiunta, la LSSI fa riferimento alla possibilità di fare affidamento sul consenso espresso attraverso l’uso di appropriati parametri del browser o di altre applicazioni. | Il principale riferimento normativo è: Privacy and Electronic Communications Regulations (PECR). | I principali riferimenti normativi sono: la Convenzione n.108 del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati personali, il GDPR, la Direttiva e-Privacy, la Direttiva 2008/63/CE relativa alla concorrenza nei mercati delle apparecchiature terminali di telecomunicazioni. | I principali riferimenti normativi sono: il German Telemedia Act, la Direttiva e-Privacy, il GDPR. |
Ambito di applicazione | Cookie e tecnologie analoghe utilizzate (ad es. local shared objects o flash cookies, web beacons o bugs ecc.) per memorizzare e recuperare dati da un’apparecchiatura terminale (e.g. un computer, un telefono cellulare o un tablet) di una persona fisica o giuridica che utilizza, per motivi professionali o meno, un servizio della società dell’informazione. I cookie non sono solo utilizzati in relazione alle pagine web ma anche in relazione alle piattaforme per cellulare e alle applicazioni. | La PECR si applica in relazione a qualsiasi tecnologia che memorizza o accede a informazioni sul device dell’utente (e.g. HTML5, local storage, Local Shared Objects e tecniche di fingerprinting). Le linee guida utilizzano il termine ‘cookies’ per fare riferimento ai cookie e alle tecnologie simili, incluse quelle utilizzate in altro contesti come quello di app. | Le indicazioni del CNIL si applicano a tutte le operazioni di accesso, tramite trasmissione elettronica, alle informazioni memorizzate nel terminale (e.g. tablet, smartphone, computer fisso o mobile, console per videogiochi, assistente vocale, qualsiasi oggetto collegato ad una rete di telecomunicazioni aperta al pubblico) o per registrare le informazioni in tale apparecchio. Si fa riferimento ai cookie HTTP, i “local shared objects, i “local storage”, gli identificatori generati dai sistemi operativi (pubblicitari o meno, e.g. IDFA Android ID), gli identificativi del hardware (e.g. indirizzo MAC, numero di serie o qualsiasi altro identificativo del dispositivo). | Le indicazioni della Datenschutzkonferenz si applicano a talune attività di “tracciamento” su siti web al fine di monitorare il comportamento degli utenti. |
Chiarimento circa la distinzione tra cookie di prima e terza parte | Sono definiti cookie di:
| Sono definiti cookie di:
| n.a. | n.a. |
Modalità con cui vengono rese le informazioni | Le informazioni devono essere rese:
| Le informazioni devono essere:
| Le informazioni devono essere rese:
| Il trattamento dei dati deve essere trasparente e comprensibile: i soggetti interessati devono essere informati dettagliatamente e preventivamente di ogni forma di trattamento dei dati effettuata e di tutti i destinatari dei loro dati personali. |
Richiami alle informative stratificate | Il AEPD suggerisce di adottare informative stratificate, in modo da consentire all’utente di avere evidenza delle informazioni principali e di poter poi accedere a un secondo livello con informazioni dettagliate. Il AEPD suggerisce i seguenti esempi di informativa breve: Le informazioni devono anche riportare un sistema che permetta all’utente di accettare o meno tutti i cookie o un link che conduca a tale sistema di controllo. | n.a. | n.a. | La Datenschutzkonferenz indica i requisiti da tenere in considerazione nella realizzazione dei “cookie banner” e della informativa breve. In particolare, è opportuno soddisfare i seguenti requisiti:
|
Base giuridica | Il consenso dell’utente. | Il consenso dell’utente. | Il consenso dell’utente. | Il consenso dell’utente. |
Consenso implicito | La modalità di “continuare la navigazione” può essere considerata un mezzo per raccogliere il consenso: a tal fine, l’avviso deve essere reso in modo da garantire che non passi inosservato da parte dell’utente. Inoltre, l’utente deve compiere una chiara azione positiva (tra cui vengono annoverati anche la navigazione in una diversa sezione del sito web o il click su uno qualsiasi dei contenuti del servizio): restano esclusi comportamenti quali il semplice fatto di rimanere a guardare lo schermo, lo spostamento del mouse o la pressione di un tasto della tastiera o anche la consultazione delle informazioni inerenti alla espressione della propria preferenza sui cookie. | Il consenso deve essere prestato con un’azione chiara e positiva: continuare a utilizzare il sito web non costituisce un consenso valido. | Il consenso deve essere prestato mediante un’azione positiva del soggetto interessato, a condizione che lo stesso disponga dei mezzi per esercitarlo e sia stato informato in anticipo delle conseguenze della sua scelta. Pertanto, continuare la navigazione su un sito web non costituisce una chiara e positiva accettazione. | Il consenso deve consistere in una dichiarazione inequivocabile o in un altro atto confermativo con il quale l’interessato dichiara di acconsentire espressamente al trattamento dei dati personali che lo riguardano (le procedure di opt-out, il silenzio, le caselle pre-selezionate o l’inattività dell’interessato non costituiscono un consenso validamente prestato). |
Casi di esclusione dalla necessità di raccogliere il consenso | Non richiedono di informare gli utenti e di raccogliere il loro consenso i cookie che:
| Non richiedono di informare gli utenti e di raccogliere il loro consenso i cookie che:
| L’obbligo di ottenere il consenso non trova applicazione se l’accesso o la registrazione delle informazioni memorizzate nell’apparecchiatura terminale dell’utente:
| n.a. |
Necessità di raccogliere il consenso per i cookie analitici | Il WP29 ha chiarito che i cookie possono essere installati previo consenso degli utenti: in ogni caso, il rischio per la privacy degli utenti rimane contenuto, se sono cookie di prima parte che trattano dati aggregati per scopi statistici e se vengono fornite le rilevanti informazioni sul loro utilizzo, che permettano di rifiutarne l’installazione. | Sì, in quanto i cookie analitici non vengono considerati strettamente necessari[6]. | Non richiedono di informare gli utenti e di raccogliere il loro consenso i cookie che:
Possono essere prodotte solo statistiche anonime. Tale esenzione è applicabile, tra gli altri requisiti indicati dal CNIL, in caso:
| Non è necessario raccogliere il consenso dei soggetti interessati per l’utilizzo dei cookie analitici, a meno che essi comportino il trasferimento di dati personali a terze parti (peraltro, in tal caso non è necessario ottenere il consenso se gli utenti possono facilmente esercitare l’opt out in relazione al trasferimento dei dati a terze parti). |
Durata di validità del consenso | 24 mesi | n.a. | n.a. | n.a. |
Rapporto tra consenso ai cookie e fornitura del servizio | In caso di rifiuto all’installazione dei cookie, è ammesso che sia negato l’accesso al servizio in alcuni casi. | La tecnica del cookie wall (per cui gli utenti sono tenuti a esprimere la loro volontà di acconsentire o accettare i cookie prima di accedere al servizio) può essere considerato inappropriato in quanto il consenso non sarebbe liberamente prestato. | La tecnica del cookie wall è in contrasto con il quadro normativo in materia di trattamento di dati personali. Il consenso, infatti, è validamente prestato solo se l’interessato è in grado di esercitare la sua scelta senza subire gravi inconvenienti e/o conseguenze negative. | Il consenso deve essere “volontario”: il soggetto interessato deve poter effettuare una scelta autentica e libera senza subire, in caso di rifiuto, alcun tipo di conseguenza negativa e/o svantaggiosa. In altre parole, la navigazione su un sito web dovrebbe essere consentita anche laddove il soggetto interessato rifiuti talune tipologie di cookies. |
Cookie, l’attuale quadro normativo
Il GDPR, come noto, ha introdotto un quadro normativo nuovo in relazione al trattamento dei dati personali: tale disciplina comporta conseguenze di rilievo anche per quanto riguarda i cookie.
I cookie rientrano nel perimetro di applicazione della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (“Direttiva e-Privacy”), di cui si attende un aggiornamento a breve con l’emanazione di un regolamento in materia. Si tratta, in realtà, di un’attesa lunga se si considera che la pubblicazione di tale testo normativo era atteso in contemporanea con l’entrata in vigore del GDPR.
In materia di cookie, in Italia, è inoltre necessario tenere in considerazione gli articoli che il D.Lgs. 196/2003 (“Codice della Privacy”, come successivamente modificato) dedica a tali mezzi di trattamento (i.e. il Titolo X), cui si aggiungono le indicazioni fornite da parte del garante per la protezione dei dati personali (“Garante della Privacy”) con il provvedimento “Individuazione delle modalità semplificate per l´informativa e l’acquisizione del consenso per l’uso dei cookie” del 8 maggio 2014 e i successivi chiarimenti.
Conclusioni
Considerando la rapidità con cui la tecnologia si evolve e la molteplicità dei mezzi che ormai vengono utilizzati per raccogliere la maggior parte dei dati (ad esempio le app), non è più possibile ritenere esaustive le indicazioni normative vigenti. Si tratta di disposizioni pensate in relazione a mezzi tecnologici in larga parte superati: attualmente, quindi, l’interprete che si trova costretto ad applicare la normativa vigente a una realtà di molto avanzata, è costretto a scegliere se disattendere tali previsioni (assumendosi un rischio) o attenersi alle stesse, le quali si mostrano però inidonee e gravose. Tuttavia, l’interprete non è il legislatore: pertanto, quest’ultimo non può certo derogare alle disposizioni di legge.
____________________________________________________________
- L’associazione delle autorità di controllo tedesche per la protezione dei dati. ↑
- Articolo 5 della Direttiva e-Privacy: “Riservatezza delle comunicazioni1. Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza.2. Il paragrafo 1 non pregiudica la registrazione legalmente autorizzata di comunicazioni e dei relativi dati sul traffico se effettuata nel quadro di legittime prassi commerciali allo scopo di fornire la prova di una transazione o di una qualsiasi altra comunicazione commerciale.3. Gli Stati membri assicurano che l’uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente interessato sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l’eventuale memorizzazione tecnica o l’accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente”. ↑
- Articolo 22 della LSSI: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”. ↑
- Il AEPD precisa anche che nel caso in cui i cookie siano inviati da un computer o dominio gestito dall’editore stesso, ma le informazioni raccolte attraverso di essi siano gestite da terzi, essi non possono essere considerati cookie di prima parte, se il terzo li utilizza per i propri scopi (e.g. il miglioramento dei servizi forniti o la fornitura di servizi pubblicitari ad altri soggetti). ↑
- In considerazione del fatto che uno stesso cookie può essere utilizzato per più di uno scopo (i cookie polivalenti), il AEPD ricorda che i proprietari di siti web dovrebbero avvalersi di un cookie diverso per ogni scopo. In caso siano utilizzati cookie polivalenti, il loro utilizzo è ammesso solo se l’utente esprime il proprio consenso in relazione a tutti gli scopi che consente di realizzare (salvo perseguano scopi che risultano esclusi dall’applicazione della normativa vigente, come evidenziato in tabella). ↑
- L’ICO ha infatti specificato che “You are likely to view analytics as ‘strictly necessary’ because of the information they provide about how visitors engage with your service.However, you cannot use the strictly necessary exemption for these. Consent is required because analytics cookies are not strictly necessary to provide the service that the user requests. For example, the user can access your online service whether analytics cookies are enabled or not”. ↑