Con l'ennesimo provvedimento generale - pubblicato l'8 maggio 2014 e più volte richiamato da successivi comunicati stampa e chiarimenti - il Garante Privacy ha tracciato le linee guida per una corretta informazione agli utenti sull'uso che ciascun sito Web fa dei cookie e per la contestuale acquisizione del consenso al trattamento dei dati personali eventualmente gestiti durante la navigazione.
Chi naviga abitualmente nel Web internazionale, distingue chiaramente i siti italiani da quelli degli altri paesi europei, non per la presenza del tricolore ma per la visualizzazione di banner multicolore che ostacolano la navigazione per mostrare “’informativa semplificata” e acquisire un consenso (il più delle volte obbligatorio, salvo voler rinunciare a visitare il sito) che ha fatto crollare sensibilmente gli accessi degli utenti, infastiditi da tale avviso.
Ce n'era davvero bisogno? La normativa italiana prende spunto da quella europea, alla quale evidentemente gli altri paesi non si sono adeguati, oppure, come al solito, è l'Italia ad essersi adeguata in malo modo, considerando in suoi utenti non sufficientemente alfabetizzati, dal punto di vista informatico, da comprendere l'uso dei cookie e da scegliere consapevolmente se mantenerli o cancellarli dopo aver visitato un sito Web.
Le norme europee auspicano un “consenso informato”
Esaminando il provvedimento, si nota immediatamente un’incongruenza dei contenuti rispetto alle premesse, che si manifesta poi nel Web con l'apposizione dei banner, come già detto, solo sui siti italiani: le norme europee non obbligano gli utilizzatori di cookie a manifestare in modo così evidente l'informativa semplificata e la richiesta di consenso al trattamento ma auspicano, invece, un consenso informato, che presuppone una cultura dell'informazione e dell'informatica.
Solo a titolo d'esempio, la Direttiva Europea 2002/58/CE, relativa alle modalità di accesso ai servizi telefonici e telematici, utilizza il condizionale per evidenziare la necessità di informare e rendere edotto il consumatore circa la possibilità di proteggere le informazioni che lo riguardano, anche attraverso tecniche di cifratura dei dati.
A carico del fornitore di servizi pone, invece, l'obbligo di garantire la sicurezza dei dati trasmessi in rete dalla cognizione non autorizzata da parte di terzi.
Al punto 25, la Direttiva tratta esplicitamente dei cookie, indicandoli uno strumento legittimo di analisi del funzionamento dei siti Web ed evidenziando che l'utente dovrebbe essere informato del loro utilizzo, anche al fine di negare il consenso alla loro installazione.
La Direttiva 2009/136/CE, richiamando al punto 51 la già citata Direttiva 2002/58/CE, da un lato ribadisce la necessità di tutela dei dati personali degli utenti dei servizi di comunicazione elettronica rispetto al trattamento da parte di terzi, dall'altro evidenzia l'opportunità di creare una cultura della sicurezza incentrata sulla valutazione e catalogazione degli incidenti, al fine di formare e informare i cittadini, diffondendo le buone prassi che hanno consentito di ottenere i migliori risultati nella pratica quotidiana.
La minaccia? I software che registrano azioni e abitudini
Punta il dito, l'Unione Europea, non tanto sulla possibilità che, attraverso i cookie, possano lasciarsi tracce sul computer dell'utente - che qualcun altro, successivamente, potrebbe leggere, anche per fini di profilazione - quanto sulla minaccia costituita dai software che registrano le azioni e le abitudini degli utenti a loro insaputa.
In relazione ai cookie, anche la seconda Direttiva ricorda che possono verificarsi tentativi, da parte di terzi, di archiviare informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a notizie già archiviate da altri, ma ribadisce, innanzitutto, che non è necessario alcun consenso nelle ipotesi di memorizzazione di informazioni di natura tecnica, necessarie per il funzionamento di un sito o di un servizio al quale l'utente ha chiesto di poter accedere (richiesta che è insita nella chiamata al sito) e che, in ogni caso, il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione.
La Direttiva presuppone, cioè, che per l'utente sia normale configurare il suo browser per accettare, filtrare o rifiutare i cookie.
Il Legislatore Europeo sembra quindi voler affermare che è necessaria una cultura della sicurezza delle informazioni e della prevenzione degli incidenti informatici, che non può essere garantita da un banner proiettato ad ogni primo accesso a un determinato sito Web, ma che deve costituire il risultato di un lungo percorso di alfabetizzazione informatica, fin dai primi anni di scuola.
Utente avveduto e utente disattento
Un utente avveduto sa come configurare il proprio browser per accettare solo determinate categorie di cookie o per non accettarne affatto, sa come proteggersi da virus e malware, sa come rimuovere le informazioni che reputa riservate al termine della navigazione (password e user id memorizzate nell'accesso ai vari servizi), sa come ripristinare il programma che utilizza per consultare Internet al fine di cancellare la cronologia e la cache, che possono risultare ben più invasive del semplice cookie.
Un utente disattento o semplicemente ignorante (nel senso che ignora le più elementari cautele) cederà volontariamente quanto inconsapevolmente molte più informazioni di quante possa acquisirne un eventuale malintenzionato semplicemente utilizzando i cookie.
Che molte aziende utilizzino i cosiddetti “biscottini” per profilare gli utenti e adeguare le offerte commerciali alle ricerche effettuate su Internet, è circostanza della quale un navigatore dovrebbe accorgersi semplicemente notando che Facebook propone, a margine del diario, prodotti analoghi a quelli cercati o consultati su Amazon qualche istante prima.
Ripristinando le impostazioni di default del programma di navigazione e tornando a utilizzare Facebook, la pubblicità torna a essere casuale.
Da tale analisi, si può dedurre che il trattamento si svolge in forma anonima, altrimenti al successivo accesso tramite Facebook, il sistema dovrebbe associare nuovamente i dati dell'utente a quelli registrati in precedenza; si può dedurre anche che il cliente ha il controllo della situazione, poiché potrebbe anche cancellare tutti i dati a ogni utilizzo o impostare il browser per farlo automaticamente.
Un disclaimer, ancorché dotato di richiesta di consenso al trattamento, nulla aggiunge alla sicurezza del navigatore avveduto, sia perché l'accesso alla maggior parte dei siti è sempre condizionato al deposito del cookie, sia perché sa già in precedenza come tutelarsi.
Viceversa, è l’utente ignorante che deve preoccupare il Legislatore, poiché, al soggetto che ignora perfino cosa siano i cookie, sia l'informativa semplificata che il consenso al trattamento risulteranno talmente ostici e incomprensibili da essere inutili e comunque superflui rispetto all'obiettivo da raggiungere, dato che sarà già stato profilato abbondantemente da servizi ai quali egli stesso ha chiesto di accedere.
Nel tornare all'oggetto della dissertazione, occorre ricordare che la profilazione degli utenti era soggetta all'acquisizione del consenso degli interessati e alla notifica al Garante, ex art. 37, D.Lgs. 196/2003, a prescindere dal provvedimento di carattere generale emesso nel mese di giugno 2014, il quale, peraltro, costituisce comunque un documento con delle linee guida, vincolante per i destinatari solo nella misura in cui, osservandolo pedissequamente, subiscono un sinistro e possono dimostrare di aver adempiuto correttamente alle indicazioni dell'Autorità. Al contrario, discostarsi dalla prassi indicata dal Garante non comporta automaticamente l'irrogazione della sanzione ma la necessità di spiegare i motivi della diversa interpretazione data alla norma di riferimento, che resta il Codice della Privacy.
Adempimenti a carico dei gestori italiani di siti Web
Dopo tale lunga premessa, è opportuno delineare brevemente quali adempimenti sono effettivamente a carico dei gestori italiani di siti Web che utilizzano cookie tecnici, di profilazione, di terze parti.
Il cookie tecnico, necessario per migliorare l'esperienza di navigazione e attivare programmi e opzioni, senza trattamento dei dati personali dell'utente o con trattamento in forma anonima, non necessita di alcun banner e di alcun consenso preventivo da parte dell'utente, potendosi ritenere assolto ogni obbligo informativo con la privacy policy del sito.
I cookie che eseguono l'analisi della navigazione e dei comportamenti degli utenti sono assimilati a quelli tecnici (nessun banner, nessun consenso), anche se forniti da terze parti, quando si limitano migliorare la fruibilità del sito per caricare più velocemente le informazioni e utilizzano tecniche di anonimizzazione, anche parziale, che impediscono il trattamento dei dati dell'utente anche ai fini della connessione con altri dati.
I collegamenti a risorse esterne - tramite link, banner pubblicitari, collegamenti a social network - non sono soggetti all'obbligo di informazione e acquisizione del consenso nell'ipotesi in cui non richiedano l'installazione di cookie di profilazione.
In sostanza, l'obbligo di utilizzare un banner informativo, che avverta l'utente dell'installazione di cookie di profilazione, evidenziando che qualsiasi attività di prosecuzione della navigazione diversa dalla chiusura del browser comporterà consenso esplicito al trattamento, esiste solo nei confronti dei soggetti che, dichiaratamente, trattano i dati dell'utente per tracciarne i comportamenti e rilevarne le abitudini, al fine di costruirne un profilo dettagliato da utilizzare per ragioni commerciali.
In tal caso, il consenso potrà essere richiesto anche per singole categorie di dati e sarà comunque necessario procedere alla notifica del trattamento all'Autorità Garante per la Privacy, ai sensi dell'art. 37, D.Lgs. 196/2003 (come del resto era necessario fare anche in precedenza).
Un chiarimento opportuno, anche se non necessario, riguarda la possibilità di effettuare una sola notifica per tutti i siti Web gestiti nell'ambito dello stesso dominio (all'evidente fine di limitare il versamento dei diritti di segreteria).
Qualche perplessità, invece, desta l'obbligo di ottemperare per quei soggetti che, pur non avendo sede in Italia, sono tecnicamente in grado di scaricare cookie sui computer degli utenti italiani, sia per la difficoltà di pretendere un simile adempimento da parte di soggetti estranei alla giurisdizione italiana, sia per l’oggettiva difficoltà di procedere con l'irrogazione delle eventuali sanzioni.
Avvocato Gianluca Pomante
Esperto in tema di Privacy e IT