Ecco come privacy by design e privacy by default tracciano la cookie law
Con la pubblicazione delle Linee Guida sottoposte a consultazione pubblica, anche considerando la particolare invasività che possono avere nell´ambito della sfera privata degli utenti, l’Autorità Garante ha ritenuto opportuno affrontare nuovamente il tema dell'utilizzo dei cookie così come gli altri strumenti di tracciamento. Seppur il GDPR non sia intervenuto direttamente sul punto, le norme sul consenso ma, anche in misura non secondaria, le norme sull'attuazione dei principi di protezione dati già dalla progettazione e per impostazioni predefinite (cd. "privacy by design e by default" o DPbDD) hanno sicuramente innovato il panorama giuridico di riferimento relativo ai cookie. La sopravvenuta normativa ha, quindi, richiesto la recente presa di posizione dell’Autorità Garante.
(Nella foto: Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano)
Quando si ci riferisce ai cookie possiamo distinguere quelli di natura tecnica (l’articolo 122 del d.lgs. 30 giugno 2003, n. 196 li definisce quali stringhe di testo necessarie per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio”), essi essenzialmente mirati a migliorare la internet experience, da quelli di natura commerciale (se riconducibili a soggetti identificati o identificabili c.d. cookie di profilazione, essi utili per veicolare la pubblicità comportamentale ed acquisire relativi feedback). Anche gli altri strumenti di tracciamento possono essere soggetti alla medesima classificazione.
In che modo l’articolo 25 GPDR tratteggia nuovi “equilibri” tra Interessato e Titolare?
In relazione alle limitazioni correlate alle finalità del trattamento, le GuideLines 4/2019 (adottate nella versione definitiva lo scorso 20 ottobre) illustrano che uno degli elementi chiave della privacy by design sia proprio la necessità del trattamento. Le finalità del trattamento, in pratica, vincolano il Titolare in fase di progettazione e contemporaneamente delineano i confini del trattamento stesso (c.d. purpose orientation).
Applicando tali concetti in relazione ai cookie, il Titolare dovrà trattare – per impostazione predefinita – solamente i dati necessari per le finalità e conservandoli per il tempo strettamente necessario. Inoltre, al momento dell’accesso in un sito internet, per impostazione predefinita, il Titolare potrà utilizzare solo cookie di natura tecnica e ciò sino a quando l’interessato non presti il consenso per quelli di natura commerciale.
Il banner (modalità confermata rispetto al provvedimento del 2014) dovrà contenere impostazioni che di default non prevedano l’utilizzo di cookie di natura commerciale, in modo tale che il semplice click sulla X posta, solitamente, in alto a destra del banner permetta all’interessato di proseguire la navigazione senza essere tracciato per finalità commerciali.
Al contrario, qualora l’interessato intenda permettere tracciamento e profilazione per finalità commerciali, potrà farlo esprimendo il consenso con un azione positiva attraverso un area di navigazione che contenga la c.d. informativa minima (indicante l’eventuale utilizzazione di cookie di natura commerciale in aggiunta a quelli di natura tecnica), link della privacy policy, il comando per acconsentire ed, ancora, il link per eventualmente selezionare terze parti e funzionalità (da mantenere aggiornarti) nonché cookie (raggruppati per categorie omogenee) per le quali espressamente si acconsente.
Anche, in questo caso, le impostazioni predefinite dovrebbero essere posizionate sul diniego dell’utilizzo dei cookie per finalità commerciali, dovendo l’interessato accettare in modo granulare le singole opzioni.
E che dire dei cookie analytics? Tale tipologia di “stringhe di testo” sono utilizzate per raccogliere informazioni sul numero degli utenti e su come questi visitano il sito stesso, e quindi elaborare statistiche generali sul servizio e sul suo utilizzo. Come l’articolo 25 GDPR condiziona gli “equilibri” tra Titolare ed Interessato anche in questo contesto?
L’autorità Garante è intervenuta indicando che i cookie analytics possano essere equiparati a quelli di natura tecnica ma solo a determinate condizioni.
Qui, di nuovo, possiamo richiamare le GuideLines 4/2019. Invero, altro elemento chiave della privacy by design è proprio la data minimisation, quale specificazione del principio di necessità sopra richiamato. L’EDPB, nelle proprie linee guida, insegnano che minimizzare significhi – tra l’altro – avere dati meno dettagliati o aggregati ovvero ridurre il grado di identificazione del dato qualora ciò sia possibile in relazione alle finalità del trattamento. E se le finalità del trattamento non richiedono che i dati si riferiscano ad un soggetto un individuo identificato o identificabile il Titolare deve anonimizzare i dati personali non appena l'identificazione non è più necessaria.
Nell’applicare questi concetti ai cookie analytics, il Garante ha indicato che in caso di loro utilizzo ad opera di terze parti, dovrebbero essere adottate misure di minimizzazione tali da ridurre “significativamente” la capacità identificativa dei dati. Inoltre, tali cookie dovranno essere utilizzati in relazione ad un singolo sito o singola applicazione mobile, non ceduti a terzi o combinati “con altre elaborazioni” (per non aumentarne la potenzialità), proprio per non incrementare i rischi di identificazione dell’utente