Nella nostra quotidiana esperienza sul web, da un lato siamo continuamente alla ricerca di servizi personalizzati che migliorino la nostra esperienza utente; dall’altro, siamo sempre più consapevoli dell’importanza della tutela dei nostri dati personali.
In questo delicato equilibrio tra personalizzazione e privacy, i cookie svolgono un ruolo cruciale. Questi piccoli file di testo, depositati sui nostri dispositivi ogni volta che visitiamo un sito web, sono gli architetti silenziosi della nostra esperienza online: raccolgono informazioni sul nostro comportamento di navigazione, ci consentono di utilizzare servizi a cui abbiamo fatto accesso in precedenza e ci permettono di ricevere contenuti mirati alla base dei nostri interessi.
Tuttavia, il loro utilizzo solleva anche questioni complesse in termini di privacy e protezione dei dati personali. Nell’attuale contesto normativo europeo, caratterizzato da un dibattito sempre più acceso sulla Direttiva ePrivacy e sulla legittimità del cosiddetto “pay or leave”, è quindi fondamentale comprendere pienamente cosa sono i cookies, come funzionano e quali implicazioni possono avere per la nostra privacy.
Che cosa sono i Cookies e perché sono importanti
La capacità di analisi è, da sempre, al centro di chi ha l’obbiettivo di vendere un prodotto o un servizio.
Cosa rispondere, quindi, all’imprenditore o al manager che in modo del tutto legittimo esprima la necessità di raccogliere informazioni sugli utenti della propria piattaforma web al fine di addivenire a una analisi il più possibile completa ed esaustiva e che, comprensibilmente, voglia farlo senza rischiare di incorrere in sanzioni?
I cookies analitici e la raccolta delle informazioni
Parliamo dei cookies analitici e degli altri strumenti di tracciamento, in particolare, anche se non solo.
Altrettanto importante è il diritto di un imprenditore di valorizzare la propria attività, che consista nella vendita di prodotti o nell’offerta di servizi.
Come affrontare, quindi, la necessità o la volontà di rendere in qualche modo ulteriormente remunerativo l’accesso a un servizio online attualmente gratuito, andando a valorizzare le informazioni raccolte durante la navigazione, di nuovo, cercando di restare nell’ambito della compliance?
Il “pay or leave” o “pay or consent”
Parliamo del cosiddetto “pay or leave”, anche se forse la definizione più adeguata è quella, maggiormente utilizzata, di “pay or consent”.
Sono fermamente convinto che la disciplina in materia di protezione dei dati personali (e mi riferisco sia al GDPR che alla Direttiva 2022/58/CE nota come E-Privacy) non impedisca affatto né l’una né l’altra pratica.
Rispetto alla gestione dei cookies, se bene sia doveroso rilevare un miglioramento della situazione “cookie banner” in generale, si nota ancora con una certa frequenza l’utilizzo di dark pattern, di consensi pre-flaggati e, ancor peggio, del legittimo interesse.
Ora, una cosa va chiarita una volta per tutte: l’archiviazione delle informazioni o l’accesso alle informazioni archiviate sugli apparecchi degli utenti (l’utilizzo di cookies, insomma) è materia disciplinata dalla Direttiva E-Privacy mediante le Leggi dei singoli Paesi Membri che la applicano.
La Direttiva E-Privacy e il legittimo interesse
Ecco: la Direttiva E-Privacy non contempla il legittimo interesse. Spiace. Ma tant’è.
Ciò che si può fare col legittimo interesse, poiché rientranti nella disciplina del GDPR, sono i trattamenti successivi, ma questa è un’altra storia.
Sempre nel GDPR rientrano tutti gli obblighi di trasparenza, esercizio dei diritti, etc. .
Ed è proprio questo il punto.
Se si vogliono utilizzare tecniche di raccolta di informazioni utili ad analizzare e profilare gli utenti di una piattaforma, occorre disegnare il processo affinché rispetti tutti i requisiti di cui al GDPR in tema di principi (in primis: liceità, correttezza e trasparenza) e della Direttiva E-Privacy in tema di base di legittimazione (consenso).
A riguardo si è espresso da poche settimane anche lo European Data Protection Board con il documento “Report of the work undertaken by the Cookie Banner Taskforce – Adopted on 17 January 2023”.
Il concetto di base, che emerge anche dal report è che dalla iniziativa della Commissione Europea nota come “Cookie pledge”, è che la gestione dei Cookies e degli altri strumenti di tracciamento così come disciplinata dalla Direttiva E-Privacy (cookie banner + cookie notice in caso di utilizzo di cookies non esclusivamente tecnici) non è oggettivamente funzionale ed efficace.
Come negarlo? Purtroppo, però, dovremo farci i conti ancora per molto tempo, dato che la bozza di Regolamento E-Privacy per ora sembra essere assolutamente impantanata (e non posso dire che ciò mi dispiaccia, dato che le ultime bozze in circolazione non offrono speranze di miglioramento rispetto a nessuno dei temi che mettono in difficoltà le imprese e non solo).
Il report dell’European Data Protection Board sui Cookies
Occorre comunque dare una risposta a chi, in un modo o nell’altro, deve gestire l’uso di cookies analitici e altri sistemi di tracciamento e intende farlo in modo conforme alla normativa.
Il report dello EDPB chiarisce molto le idee a riguardo, senza però semplificare la vita.
Ecco allora che la proposta della Commissione potrebbe in qualche modo esser d’aiuto, laddove prefigura la possibilità di ridurre le informazioni da fornire nei cookie banner.
La Commissione, però, non si ferma qui ed entra nel merito del secondo argomento trattato in questo articolo: il c.d. “pay or consent” che, sostanzialmente, passa per un banner definito “paywall”.
Il vero nodo della questione, a opinione di chi scrive, è che sinora tutti gli editori e le piattaforme che hanno introdotto il paywall hanno omesso di applicare l’obbligo di progettare il trattamento in modo tale da poter garantire il rispetto di tutti i principi di cui al GDPR (privacy by design).
Se infatti non è accettabile in generale che un titolare del trattamento non si metta nella condizione di informare in modo intellegibile, accessibile, completo gli interessati, meno che mai è scusabile che non lo faccia chi di mestiere divulga informazione (gli editori).
Non è accettabile, inoltre, che chi decide di percorrere la strada della scelta, per gli utenti, tra fruire dei servizi offerti consentendo alla valorizzazione dei trattamenti effettuati sui propri dati e il pagamento in denaro, non tenga in considerazione il fatto che non è lecito richiedere un unico consenso per diverse finalità di trattamento (profilazione, marketing diretto, cessione a terzi a fini di marketing).
È l’ABC della data protection e non è affatto impossibile da predisporre.
Qualora lo fosse, non dovrebbe essere possibile effettuare i trattamenti. Punto.
Il futuro dei cookies tra regolamento ePrivacy e paywalls
Talune Autorità di Controllo si sono già pronunciate, mentre (salvo che il provvedimento non sia uscito nel periodo precedente alla pubblicazione di questo articolo) siamo ancora in attesa della pronuncia da parte dell’Autorità Garante per la Protezione dei Dati Personali [1] italiana.
Ad esempio, come riportato in un precedente articolo, la Conferenza delle Autorità indipendenti per la protezione dei dati della Federazione e dei Länder (DSK) ha preso una importante posizione su quelli che ha definito ‘cosiddetti modelli di abbonamento puro sui siti web’ ribadendo quello che è probabilmente molto ovvio: occorre trasparenza ed occorre un consenso che sia effettivamente liberamente prestato e granulare.
Note
[1] in esito all’istruttoria annunciata con comunicato stampa del 18 ottobre 2022, aperta con nota del 21 ottobre 2022 cui ha fatto seguito nota del 12 novembre 2022.
