Tutto ha avuto inizio nel gennaio 2021, quando l’organizzazione no-profit “Noyb” – European Center for Digital Rights – presentava denuncia formale per conto di sei membri del Parlamento in relazione ad un portale web interno, dedicato ai test Covid-19 degli stessi parlamentari. In particolare, tale sito web, elaborato dal fornitore “Ecolog Deutschland GmbH”, consente ai deputati ed al personale del Parlamento europeo di sottoporsi al test per appurare di avere contratto o meno il Covid-19, fissando un appuntamento attraverso apposita procedura di registrazione.
Il problema cookie nel Parlamento UE
A seguito della navigazione sul predetto portale, alcuni europarlamentari hanno riscontrato la presenza di cookie di Stripe e Google Analytics; hanno, quindi, segnalato l’anomalia al Parlamento e al relativo DPO dando impulso al successivo intervento di Noyb, che ha richiesto l’accesso al fascicolo – aperto a seguito della segnalazione e di scambi informativi tra i deputati e il PE – al fine di supportare le doglianze dei soggetti interessati. Il provvedimento emesso dall’EDPS, a seguito dell’analisi del portale web “incriminato”, ha messo in evidenza i seguenti punti:
- cookie policy e informativa privacy non conforme ai principi di chiarezza, intellegibilità e trasparenza;
- trasferimento di dati negli Stati Uniti in assenza di garanzie adeguate;
- presenza di cookie banner poco chiari.
Detti elementi sono stati complessivamente considerati quali sintomi di un approccio deficitario del Parlamento Europeo in relazione al principio dell’accountability.
Google localizza gli utenti con l’inganno: uso distorto delle norme privacy
È fondamentale precisare che, nel caso del trattamento di dati personali effettuato dal PE – o da qualsiasi altra istituzione europea – si applica il Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, concernente, per l’appunto, la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati. Potrebbe dirsi una sorta di fratello gemello del Regolamento UE 679/2016.
Cookie policy e informativa privacy non conforme ai principi di chiarezza, intellegibilità e trasparenza
L’attività di analisi dell’EDPS si è concentrata sulla circostanza secondo la quale il Parlamento Europeo ha agito come titolare del trattamento dei dati, mentre Ecolog ha assunto la qualifica di responsabile del trattamento. Occorre ricordare che il responsabile del trattamento può godere di un notevole grado di autonomia nella prestazione dei propri servizi e può identificare gli elementi “non essenziali” del trattamento. Può, inoltre, consigliare o proporre determinate misure al riguardo, ma spetta al titolare del trattamento decidere se accettare tale consiglio o proposta, secondo il dettato normativo dell’art. 29, par.1., lett. f) del Regolamento 1725, che prevede che il responsabile del trattamento “assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento”.
Nel caso di specie, dalle evidenze documentali, è apparso che il PE, in qualità di titolare del trattamento non abbia fornito ad Ecolog le istruzioni necessarie per la creazione del portale web, compresi i criteri per la redazione dell’informativa privacy da rendere ai soggetti interessati e che avrebbero avuto accesso al portale.
Incaricando Ecolog di allestire e garantire il funzionamento del sito web dedicato, nonché di redigere la predetta informativa, il Parlamento, in qualità di titolare del trattamento, avrebbe anzi scelto di conferire indipendenza operativa e discrezionalità al responsabile del trattamento, provvedendo, peraltro, ad approvare il lavoro svolto dalla predetta società, prima che il sito web dedicato divenisse pubblico.
L’affermazione del PE secondo cui i cookie di Google Analytics erano utilizzati sul sito web “senza alcuna istruzione data al riguardo dal Parlamento europeo” non cambia il fatto che il dovere primario di ottemperanza a quanto previsto dalla normativa in materia ricada sul titolare.
Pertanto, l’inosservanza delle norme complessivamente intese e, in particolare degli articoli 26 e 29 del predetto Regolamento – che recano disciplina analoga a quella statuita dagli articoli 24 e 28 del GDPR, quindi responsabilità del titolare del trattamento e qualificazione del ruolo del responsabile del trattamento – hanno indotto l’EDPS ad affermare che il Parlamento europeo sia venuto meno “alla necessaria diligenza richiesta al titolare del trattamento dei dati per non aver fornito alcuna prova documentale delle intervenute istruzioni in favore del responsabile del trattamento dei dati”.
Trasferimento illegale di dati negli Stati Uniti mediante l’utilizzo dei cookie
È ormai noto che, quando l’utente visita un sito web possono essere generati dei cookie, vale a dire stringhe di testo che vengono installati sui dispositivi impiegati per la navigazione per molteplici finalità, di natura tecnica, analitica o di profilazione.
L’utilizzazione di alcune tipologie di cookie consente, tra l’altro, l’autenticazione dell’utente durante le sessioni di navigazione con la finalità del miglioramento del servizio.
Attraverso alcune tipologie di cookie di tracciamento, come quelli di Stripe e Google Analytics, qualora l’indirizzo IP non venga trattato in maniera anonimizzata e/o aggregata, è possibile identificare l’utente, dando luogo, pertanto ad un vero e proprio trattamento di dati personali. Peraltro, l’EDPS puntualizza, con un’interpretazione fortemente restrittiva nella qualificazione dei cookie, che anche alcuni cookie analitici di prima parte, che “sono spesso considerati come strumenti strettamente necessari per gli operatori di servizi web, non sono strettamente necessari a fornire funzionalità esplicitamente richieste dall’utente e sono di conseguenza, in linea di principio, soggette al requisito del consenso”.
Quanto accadeva con il portale di Ecolog può essere sintetizzato come segue: mediante la consultazione del sito web, i dati personali – rectius di navigazione, ottenuti mediante le impostazioni, anche di default, dei cookie – venivano trasferiti a Stripe proprio attraverso il cookie Stripe, che conteneva un identificatore.
Sia il Parlamento che Ecolog, interpellati al riguardo, non hanno chiarito se e quali misure fossero state predisposte per impedire il trattamento (e il conseguente trasferimento).
Quanto ai cookie di Google Analytics, il Parlamento europeo ha riconosciuto che fossero presenti sul portale web al fine di elaborare “identificatori online, compresi gli identificatori di cookie, indirizzi di protocollo internet e identificatori di dispositivi” così come “identificatori di clienti”.
Difatti, l’ EDPS ha verificato che i dati personali dei visitatori del sito web siano stati trattati per il periodo intercorrente tra il 30 settembre e il 4 novembre 2020, quando i sistemi di tracciamento hanno continuato a funzionare sul portale – evidentemente all’insaputa degli utenti – con conseguente trasferimento degli stessi negli Stati Uniti – dove hanno sede sia Stripe che Google LLC – in assenza di adeguate garanzie, in violazione di quanto statuito dagli articoli 46 e ss. del Regolamento 2018/1725.
Si è rilevato, infatti, che il PE non ha fornito “alcuna documentazione, prova o altra informazione relativa alle misure contrattuali, tecniche o organizzative in atto per garantire un livello di protezione sostanzialmente equivalente ai dati personali trasferiti negli Stati Uniti nel contesto dell’uso dei cookie sul sito web”. Conseguentemente, l’EDPS è giunto alla conclusione che “il Parlamento non abbia soddisfatto i requisiti dell’articolo 46 e dell’articolo 48, paragrafo 2, lettera b), del regolamento per il periodo compreso tra il 30 settembre e il 4 novembre 2020, durante il quale i cookie in questione erano presenti sul sito web dedicato”.
Banner dei cookie sul portale Covid-19 dedicato al Parlamento
Ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58/EC (cosiddetta direttiva “e-Privacy”), l’uso dei cookie “è consentito solo a condizione che l’abbonato o l’utente interessato abbia espresso il proprio consenso, dopo essere stato informato in modo chiaro e completo, conformemente alla direttiva 95/46/CE, 35 tra l’altro, sulle finalità del trattamento”.
Sulla base di tale disposizione, è necessaria la presenza, all’interno dell’informativa resa in favore dell’utente, di tutti gli elementi che vengono memorizzati sul dispositivo utilizzato, in modo che sia chiaro ed intellegibile su cosa l’utente debba eventualmente esprimere il proprio consenso. Chiaramente, ciò dipende dalla tipologia di cookie adoperati sul sito web, in quanto il predetto consenso è necessario unicamente per quei cookie che, ad esempio, consentano di profilare l’utente.
Per tali ragioni, il testo del cookie banner sul portale in questione avrebbe dovuto fare specifico riferimento alle tipologie di informazioni trattate attraverso i cookie, nonché alle finalità di un’eventuale conservazione, con indicazioni identiche in tutte le versioni linguistiche, che avrebbero dovuto attribuire ad ogni utente la libertà di acconsentire o meno al trattamento dei cookie non tecnici.
L’attività condotta dall’EDPS, su impulso di Noyb, ha, per converso dimostrato che i cookie banner presenti sul sito web presentavano requisiti diversi, a seconda della lingua adoperata.
Ad esempio, la versione francese includeva cookie di terze parti quali Facebook, Google Maps, Google Analytics, Instagram, OpenStreetMap, Twitter, Vimeo e Youtube; quella inglese, invece, era priva di qualsiasi indicazione sul punto, con evidente violazione dei requisiti previsti in materia di informativa chiara e trasparente tra gli utenti che navigavano sulla versione francese del sito e quelli che, al contrario, utilizzavano la versione inglese.
Di più: risultava mancante l’opzione “rifiuta tutto” o la precisazione della possibilità di mantenere le impostazioni di default, mentre appariva particolarmente agevole prestare il consenso a tutte le tipologie di cookie. Non era neppure prevista la granularità del consenso, meno che meno la facoltà di revocarlo o di modificare le impostazioni in qualsiasi momento.
Di talché, l’EDPS ha ritenuto:
- che i cookie banner, nelle differenti versioni linguistiche, non fossero in linea con la definizione di consenso di cui all’articolo 3, paragrafo 15, del regolamento – inteso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” – né fossero conformi ai requisiti richiesti dal combinato disposto dell’articolo 37 del regolamento applicabile e dell’articolo 5, paragrafo 3, della direttiva e-privacy;
- che il cookie banner non fornisse informazioni trasparenti sul trattamento dei dati personali in relazione ai cookie presenti sul sito web, costituendo violazione dell’articolo 14, paragrafo 1, del regolamento 2018/1725.
Conclusioni
L’EDPS non ha comminato sanzioni ma solo esercitato poteri correttivi, stigmatizzando l’operato del Parlamento per quanto accaduto ed intimando la correzione delle condotte non conformi.
La decisione dell’EDPS apre lo scenario ad importanti profili di riflessione, in quanto:
- ribadisce che i titolari del trattamento rimangono responsabili di tutte le operazioni di trattamento sui loro siti web e sono tenuti ad assicurarsi il confezionamento di un accordo che preveda e documenti l’esistenza di istruzioni chiare, precise e specifiche ai responsabili del trattamento;
- conferma che l’utilizzo di cookie che comportino il trasferimento dei dati personali sul territorio extraeuropeo debba sottostare ai requisiti individuati dalla normativa europea per garantire un livello di protezione adeguato, affermando, in modo inaspettato, che anche per i cookie di analitici di prima parte possa essere necessario il consenso, quando garantiscano un servizio che non è stato espressamente richiesto dall’utente;
- precisa che i cookie banner debbano essere veritieri e rispecchiare l’uso effettivo dei cookie sul sito web, elencando i soggetti che ricevano i dati in modo identico anche nel caso in cui vengano adoperate lingue diverse.