Sono passate solo poche settimane da quando le linee guida del Garante Privacy in materia di cookie e strumenti traccianti sono entrate in vigore, eppure, mai come ora, la situazione appare incredibilmente incerta per gli operatori di sistema.
Il motivo di tale confusione è da ricercare in una sequenza di decisioni di autorità straniere con le quali si è giunti di fatto a vietare i principali applicativi e gli strumenti utilizzati per la gestione dei cookie.
Google Analytics, CookieBot, Framework IAB, nel rispettivo settore, coprono di fatto il 90% del mercato delle soluzioni cookie, portando gli operatori di settore a porsi una importante domanda: a questo punto, esiste qualcuno in UE che in effetti è compliant?
I cookie sotto la lente dei Garanti privacy: lo stato dell’arte in Italia e Ue
È una domanda tutt’altro che sciocca, a cui per fornire una risposta sommaria, è sufficiente visitare un certo numero di siti, anche di soggetti istituzionali. Una simile ricerca non può che portare a scoprire come la maggior parte di questi utilizzi almeno uno degli strumenti dichiarati illegittimi.
Ma cosa ha spinto le varie authority a prendere tali decisioni? Analizziamole con ordine.
Google Analytics: per Austria e Francia è illegittimo
I cookie di Google sono stati dichiarati illegittimi per ben due volte in meno di 20 giorni. La prima decisione è arrivata dal Garante austriaco e la seconda dal Garante francese (CNIL). In entrambi i casi il problema principale evidenziato dalle authority è il fatto che Google invia i dati in USA senza rispettare quanto previsto nella sentenza Schrems II e, quindi, nelle successive raccomandazioni di EDPB. Ora, che Google invii i dati negli Stati Uniti, senza adottare misure capaci di ostacolare eventuali analisi invasive da parte dell’intelligence americana, in forza del FISA, è ormai cosa pacifica, per lo meno a parere di chi scrive.
Non è un caso se anche EDPS abbia, per lo stesso motivo, dichiarato illegittimo l’utilizzo dei sistemi Google da parte del Parlamento Ue. Ciò che però stupisce, lasciando di fatto disarmati anche coloro che si vorrebbero sforzare per garantire una adeguatezza del proprio sito alla normativa UE, è il fatto che secondo le autorità nemmeno l’utilizzo della funzione di pseudonimizzazione può in qualche modo rendere legittimo l’utilizzo degli Analytics della grande G. Questo è un enorme problema in quanto, nella maggior parte dei casi, il consulente suggerisce ai clienti di utilizzare i Google Analytics in forma pseudonimizzata, così da evitare tutta una serie di adempimenti e problemi derivanti, tra l’altro, anche dall’invio dei dati in USA per i cui, pare il caso di ricordarlo, il consenso non può costituire base giuridica idonea.
Precisa difatti il garante austriaco che anche con la funzione di pseudonimizzazione, gli utenti vengono comunque identificati con un certo ID univoco, circostanza questa che non può ritenersi idonea a spersonalizzare l’interessato. Difatti, a differenza dei casi in cui i dati sono pseudonimizzati in modo tale da camuffare o cancellare i dati identificativi in modo che gli interessati non possano più essere identificati, nel caso di Google, esistono tutta una serie di informazioni di contesto capaci di consentire all’operatore e, quindi, anche all’intelligence USA di re-identificare facilmente l’utente, con evidente violazione della privacy.
Gli effetti delle decisioni dei Garanti francese e austriaco
Ma che effetti hanno queste decisioni in concreto? Per chiunque operi nel settore della consulenza privacy, ma anche per chiunque gestisca siti internet per professione, è chiaro che una simile decisione mette fuori gioco praticamente la totalità dei siti esistenti in UE e non. Un aiuto, tuttavia, potrebbe arrivare proprio dal CNIL che ha pubblicato altresì una utile lista di servizi compliant utilizzabili in sostituzione di Google.
In particolare, CNIL ritiene che le seguenti informazioni siano le uniche strettamente necessarie per la corretta amministrazione di un sito:
- misurazione dell’audience, pagina per pagina; l’elenco delle pagine da cui è stato seguito un collegamento per richiedere la pagina corrente (a volte denominata “referrer”), sia interna che esterna al sito, per pagina e aggregata su base giornaliera;
- il tipo di terminale, browser e dimensioni dello schermo dei visitatori, per pagina e aggregati su base giornaliera;
- statistiche sul tempo di caricamento della pagina, per pagina e aggregate su base oraria;
- statistiche del tempo trascorso su ciascuna pagina, frequenza di rimbalzo, profondità di scorrimento, per pagina e aggregate su base giornaliera;
- statistiche sulle azioni degli utenti (click, selezione), per pagina e aggregate su base giornaliera;
- statistiche sull’area geografica di provenienza delle richieste, per pagina e aggregate su base giornaliera.
Al fine di facilitare la conformità dei responsabili del trattamento dei dati, la CNIL raccomanda che i fornitori di soluzioni di misurazione dell’audience consentano una configurazione semplice che permetta di impostare i sistemi in modo da raccogliere i dati sopra elencati.
Naturalmente non è escluso che altre misure possano essere conformi al criterio di minimizzazione, risultando l’elenco di CNIL una mera indicazione di massima utile per meglio orientare il gestore del sito web.
CookieBot
CookieBot, un altro sistema molto utilizzato, è stato invece oggetto di una decisione di un tribunale tedesco nel dicembre 2021 (quindi, poco più di 20 giorni prima delle decisioni contro Google).
Nel caso specifico, il titolare del trattamento utilizzava la piattaforma di gestione del consenso (CMP) “Cookiebot” utile per memorizzare le preferenze relative ai cookie dei propri utenti finali. Il CMP elabora dati come gli indirizzi IP di ciascun utente finale e una “cookie key” (CMP Data). Cookiebot ha sede in Danimarca e utilizza un provider di hosting con sede negli Stati Uniti (Akamai Technologies Inc.) in connessione con Cookiebot CMP e quindi trasferisce i dati CMP ad Akamai Technologies Inc fuori dal territorio UE.
In particolare, il tribunale ha evidenziato come vi sia sempre un trattamento di dati nel caso in cui si utilizzi il Cookiebot CMP. Questo perché, come facile immaginare, l’indirizzo IP completo è da considerarsi un dato personale, sussistendo un trattamento a prescindere che l’indirizzo IP sia elaborato solo alla prima apertura di Cookiebot CMP poiché la raccolta e il trasferimento dell’indirizzo IP, anche solo per un passaggio di breve durata, è di per sé da considerarsi un “trattamento di dati personali” ai sensi del GDPR. Inoltre, come nel caso di Google, anche qui è presente una “cookie key” ovvero un ID che memorizza la decisione relativa al consenso ai cookie dell’utente finale, nonché una versione del banner dei cookie, il timestamp per la decisione del consenso ai cookie e la posizione dell’utente finale. Questo ID è evidentemente un dato capace di identificare o rendere identificabile l’utente dovendosi ritenere a tutti gli effetti un dato personale.
Alla luce di questo il tribunale ha quindi ritenuto che il trasferimento dei dati CMP ad Akamai Technologies Inc. fosse un trasferimento di dati illegale verso un paese terzo nel caso specifico.
TCF (Transparency & Consent Framework) di IAB
Stessa sorte è in sostanza toccata al Trasparency e Consent Framework di IAB Europe, seppur per motivi diversi. A dire il vero, anche in questo caso la decisione non sorprende molto. Già nel 2020 infatti Privacy Network denunciava una serie di criticità nel TCF di IAB che oggi hanno portato alla decisione del garante belga.
Ciò che viene contestato a IAB, in particolare attiene alla violazione degli Articoli 5.1.a e 6 GDPR. Ciì in quanto il TCF di IAB consente di scegliere tra due basi giuridiche (consenso e legittimo interesse) entrambe da considerarsi inadeguate. Ed infatti, mentre il consenso appare prestato in modo non specifico, il legittimo interesse risulta essere una base giuridica inutilizzabile così come ribadito dal Garante Privacy italiano e da EDPB. L’interesse legittimo delle organizzazioni che partecipano al TCF è del resto superato dagli interessi degli interessati, in considerazione del trattamento su larga scala delle preferenze degli utenti (raccolte nell’ambito del TCF) nel contesto del protocollo OpenRTB e dell’impatto che questo può avere su di loro.
Rischi e costi delle criticità evidenziate dai Garanti nazionali
Ma tutto ciò cosa significa in termini pratici?
È pacifico che, come evidenziano alcuni, le suddette decisioni non hanno efficacia erga omnes. Tradotto, significa che sarebbe giuridicamente sbagliato dichiarare che Google Analytics, CookieBot CMP e IAB TCF sono ora da considerarsi illegali. Vero è però che queste decisioni evidenziano importanti criticità, difficilmente controbattibili, fondando quindi un utile precedente per chi volesse in qualche modo segnalare il trattamento illegittimo dei propri dati.
In sostanza, nel giro di due mesi ci siamo trovati dinnanzi ad uno scenario in cui chi crea e gestisce siti dovrebbe adeguarsi a linee guida del Garante Privacy senza tuttavia poter utilizzare gli strumenti principali presenti sul mercato. Questo porterà inevitabilmente a due approcci, già visti l’indomani della sentenza Schrems II:
- da una parte ci sarà chi sensibilizzerà i propri clienti spiegando pro e contro dell’utilizzo di simili sistemi;
- dall’altra ci sarà chi invece suggerirà di non mutare il proprio assetto, tanto “così fan tutti” e, soprattutto, a breve arriverà un nuovo privacy shield che risolverà tutti i problemi (salvo quelli evidenziati con riferimento a IAB). Si tratta di due posizioni agli antipodi che però sono le uniche possibili.
La verità è che, quale sia la scelta, il consulente ed il titolare del trattamento si troveranno davanti a rischi e costi. Adeguo nuovamente il sito per poi scoprire che un nuovo atto normativo renderà vani gli sforzi o resto immobile rischiando sanzioni? Per aiutare tutti noi sarebbe auspicabile l’intervento di EDPB o di un’autorità nazionale, capace di segnare la strada maestra in uno scenario ormai modificato irrimediabilmente nel giro di poco meno di 40 giorni.