La regolamentazione della riservatezza dei dati personali assume, oggigiorno, importanza crescente man mano che la digitalizzazione prende largo nella nostra quotidianità sociale.
Come noto, tale importante questione, che riveste un ruolo certamente dirimente nello sviluppo di nuove tecnologie digitali è stata recentemente affrontata, a livello europeo, con l’adozione del Regolamento Generale sulla Protezione dei Dati (G.D.P.R.), n. 2016/679.
Con tale atto, l’Unione europea ha inteso rafforzare il potere di controllo delle persone a cui riferiscono i dati, puntando sia sul carattere “inequivocabile” del consenso al trattamento dei dati, sia sull’attuazione dei principi di protezione dati già dalla progettazione di beni e servizi e, altresì, per impostazioni predefinite (i c.d. metodi di “privacy by design e by default”).
Invero, nonostante l’importante operazione di riforma e armonizzazione delle regole su tutto il territorio europeo, il Regolamento non ha espressamente preso in considerazione la disciplina relativa ai cookie e agli altri strumenti di tracciamento, se non per quanto riguarda l’esigenza di conformità fra questa e i principi generali di tutela esplicitati dal predetto atto normativo.
A distanza di quasi due anni dall’attuazione in Italia del Gdpr, però, si è sempre più avvertita l’esigenza di prendere in considerazione l’opportunità di modificare anche tali aspetti, soprattutto per quanto concerne la correttezza delle modalità per rendere l’informativa online agli utenti che accedono alla rete internet e, di riflesso, sulle modalità di acquisizione delle prestazioni del consenso.
Ma che cosa sono i cookie o, in generale, gli strumenti di tracciamento?
I cookie sono informazioni immesse sul browser quando si visita un sito web o si utilizza un social network con pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico e possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico.
Possono banalmente definirsi, quindi, come stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale, che resta, in genere, nella disponibilità dell’utente.
Alcuni cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web.
Si tratta dei c.d. cookie tecnici, spesso utili, perché possono rendere più veloce e rapida la navigazione e fruizione del web, perché ad esempio intervengono a facilitare e rendere più fluida la navigazione su internet.
Vi sono, però, anche particolari tipologie di cookie: ad esempio, i c.d. analytics, sono quelli che vengono utilizzati dai gestori dei siti web per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso, e quindi elaborare statistiche generali sul servizio e sul suo utilizzo, che rappresentano un importante elemento nell’attività di programmazione e sviluppo delle attività dell’imprese digitali.
Altri cookie possono invece essere utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioural Advertising). Si parla, in questo caso, di cookie di profilazione.
È proprio grazie a quest’ultima tipologia di cookie, infatti, che si permette di inserire all’interno di pagine di navigazione non commerciale (es. mail personale, social network, ecc), banner pubblicitari legati alle ultime ricerche effettuate sul web o all’ultimo acquisto fatto su Internet.
Dal punto di vista della tutela della privacy, dunque, è evidente come i cookie di profilazione si mostrino molto invasivi rispetto alla vita privata degli utenti “profilati”, motivo per cui la normativa europea e italiana hanno previsto che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio valido consenso all’inserimento dei cookie sul suo terminale.
In particolare, con provvedimenti del 2014 e 2015, il Garante per la protezione dei dati personali ha previsto regole di condotta per chi usa cookie per finalità di profilazione e marketing, sia circa l’informativa, che deve immediata e visibile per l’utente, sia per le modalità di prestazione del consenso.
Di recente, a seguito delle indicazioni fornite dal Comitato EDPB, che riunisce i Garanti europei del 4 maggio scorso, il Garante italiano ha avviato un’attività di valutazione e possibile revisione delle regole attualmente vigenti in materia, licenziando delle nuove Linee guida sulle quali verrà avviata una consultazione pubblica.
La consultazione, diretta a imprenditori, consumatori e operatori, è volta ad acquisire osservazioni e proposte da parte della generalità degli stakeholders su temi caldi come la regolamentazione dei sistemi di tracciamento passivi, quali il fingerprinting, che utilizza l’impronta digitale dell’utente per l’autentificazione su siti e pagine web, allo scrolling e alla reiterazione di richieste di consenso agli utenti, che rappresentano, ad oggi, modalità molto discusse di acquisizione del consenso.
Per chi volesse partecipare alla consultazione, le proprie riflessioni dovranno essere trasmesse, entro 30 giorni dalla pubblicazione in Gazzetta Ufficiale dell’avviso di consultazione pubblica, al seguente indirizzo di posta elettronica: lineeguidacookie@gpdp.it.
La consultazione delle linee guida pubblicate atte a stimolare il dibattito, nonché per maggiori informazioni sul rapporto fra cookie e privacy, non resta che visitare il sito del Garante della Privacy italiano, accessibile mediante il seguente link:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9501006
