Privacy on line: lo stato dell’arte della normativa sulla profilazione e sugli strumenti di tracciamento
C’è ancora molto da fare in merito alla tutela dei diritti di riservatezza e di tutela dei dati personali degli utenti dei siti web; eppure un quadro giuridico di riferimento lo possiamo trovare grazie alla Direttiva 2002/58/CE, la quale si richiama gli articoli 7 e 8 della Carta dei diritti fondamentali della Unione Europea ovvero al rispetto della vita privata e della vita familiare, nonché all’art. 8 sulla protezione dei dati di carattere personale.
Difatti il divieto di memorizzare le comunicazioni e i relativi dati sul traffico da parte di persone diverse dagli utenti o senza il loro consenso è dovuto al fatto che le apparecchiature terminali degli utenti di reti di comunicazione elettronica e qualsiasi informazione archiviata in tali apparecchiature fanno parte della sfera privata dell´utente, che deve essere tutelata tra l’altro anche ai sensi della Convenzione europea per la protezione dei diritti dell´uomo e delle libertà fondamentali.
Si tratta di un tema rilevante, in considerazione della mole di dati personali che gli utenti forniscono alle aziende, più o meno consapevolmente, considerata la rapidità con cui la tecnologia si evolve e la molteplicità dei mezzi usati per raccogliere i nostri dati.
In merito allo stato dell’arte della attuale normativa applicabile, volendo fare una ricognizione normativa si rende necessario in primo luogo fare riferimento alla Direttiva e-Privacy (attualmente in vigore) la quale è stata adottata prima che venisse approvato il Regolamento EU 2016/679, più famoso come “GDPR”, che dovrà essere pertanto considerato sia nei principi generali sia nella nozione di consenso.
(Nella foto: Ada Fiaschi, Data Protection Compliance ITA Airways)
Invero quanto rappresentato può creare problemi interpretativi tra le figure tutelate: utente o contraente, per la direttiva ePrivacy, interessato per il GDPR; anche se in sintesi abbiamo una tutela estesa anche alle persone giuridiche. Pertanto il consenso dell´utente o dell´abbonato, deve essere acquisito prima di memorizzare le comunicazioni e i relativi dati sul traffico da parte degli utenti o contraenti. Inoltre sempre in merito ai principi del GDPR, da non dimenticare quanto enunciato nell’articolo 25, in merito alla privacy by design, il quale come dice la Vice presidente della Autorità Prof.ssa Ginevra Cerina Feroni, sembra maggiormente interpretare l’esigenza di integrare il rispetto dei diritti fondamentali nello sviluppo tecnologico.
Entrando nel merito della disciplina va precisato che in Italia i principi fondamentali della direttiva ePrivacy sono stati riprotetti all’art. 122 del codice privacy - Informazioni raccolte nei riguardi del contraente o dell'utente, il quale richiede il consenso del contraente e/o utente per l'archiviazione delle informazioni nell'apparecchio terminale o per monitorare le operazioni dell'utente.
Naturalmente il consenso è valido solo se lo stesso è stato informato con modalità semplificate. Al riguardo meritano di essere prese come testo di riferimento le Linee guida GPDP sui cookie e sugli altri strumenti di tracciamento - 10 giugno 2021.
Riassumendo, infatti, l’impostazione che trova applicazione in Italia prevede che all’utente venga offerta un’informativa stratificata: dove nel primo banner devono essere riportate le informazioni essenziali relative al trattamento dei dati personali e la possibilità di accedere a un testo completo, cliccando su un apposito link presente nel banner stesso.
Da ricordare inoltre che in merito alla nozione di consenso ci si deve riferire all’art. 4 del GDPR che definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento.
Ma perché viene richiesto il consenso, quali i rischi per gli interessati? ll rischio principale è che le informazioni personali oggetto di trattamento siano raccolte e incrociate anche con i dati relativi all’utilizzo di funzionalità e servizi diversi, ai quali è possibile accedere utilizzando molteplici terminali (cd. enrichment), con l’effetto della creazione di profili sempre più specifici e dettagliati.
Al riguardo il nostro Garante correttamente distingue i sistemi di tracciamento attivi - vedi i cookie per i quali l’utente che non intenda essere profilato, oltre a poter rifiutare il proprio consenso, ha anche la possibilità pratica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo- da quelli più pericolosi ovvero gli strumenti “passivi” dove l’utente non è generalmente in grado di rifiutare l’uso di queste tecnologie, dovendo fare affidamento a strumenti che lo aiutino a bloccarne il funzionamento (es. browser con funzione anti-fingerprinting.
Per chiudere il presente articolo con l’occasione si segnala che a tutela degli utenti interessati le diverse Autorità Garanti europee stanno irrogando a carico dei grandi player della rete mondiale maxi-sanzioni in tutta Europa.
Nel video: lo speech di Ada Fiaschi al Privacy Day Forum 2023. Sotto le slides dell'intervento)