Privacy online tra profilazione, cookie, ed altri strumenti di tracciamento alla luce della taskforce dell’European Data Protection Board
L’utilizzo dei cookie, così fondamentale e pervasivo nella nostra società ormai dominata dal web, solleva questioni di vario tipo legate alla tutela dei dati personali, tanto che è stato oggetto di varie e celebri pronunce e Linee Guida da parte di Corti e Autorità in tutta l’Unione Europea.
(Nella foto: l'Avv. Marco Martorana, Presidente di Assodata, sarà tra gli speaker del Privacy Day Forum)
Innanzitutto, chiariamo che i cookie possono avere varie finalità, e proprio sulla base di queste vengono categorizzati in cookie tecnici, analitici e di profilazione. Questi ultimi sono quelli che normalmente generano più problemi da un punto di vista di tutela della persona, in quanto consentono il tracciamento delle abitudini, delle preferenze, dei gusti della stessa ricavabili dalla sua attività online, contribuendo a creare un vero e proprio profilo del singolo individuo.
Conosciamo ormai bene i rischi della profilazione, con cui molti di noi si confrontano tutti i giorni anche in contesti -almeno apparentemente- innocui in cui viene loro proposta pubblicità personalizzata. Il GDPR pone dei limiti stringenti ai processi decisionali interamente automatizzati, compresa la profilazione, che incidono in modo significativo sull’individuo, ma non sempre rientriamo in questi casi estremi e gli stessi annunci targettizzati, secondo le Linee Guida dell’European Data Protection Board (EDPB), la maggior parte delle volte non ricadono nell’ambito di applicazione dell’art. 22 del GDPR.
Tuttavia, non dobbiamo dimenticarci che restano valide tutte le altre disposizioni del Regolamento UE, compresa la necessità di una base giuridica del trattamento tra quelle previste dall’art. 6. Su questo punto ricordiamo la recente decisione dell’EDPB, il quale ha affermato che il trattamento dei dati personali, compresa la profilazione, funzionale alla presentazione di pubblicità personalizzata agli utenti dei social network di Meta non può essere considerato necessario per l’esecuzione del contratto con l’utente e, quindi, è necessario chiedere il consenso di quest’ultimo.
Quando la profilazione avviene tramite i cookie, però, la soluzione è molto lineare e scritta a chiare lettere nel nostro Codice Privacy: deve essere chiesto il consenso all’utente.
Ce lo ricordano anche le Linee Guida del Garante Privacy italiano del 10 giugno 2021: per capire se vada chiesto il consenso ai cookie è necessario fare riferimento all’art. 122 del Codice Privacy, che su questo punto ha recepito la Direttiva e-Privacy e quindi costituisce norma speciale rispetto al GDPR, mentre bisogna rispettare il dettato del Regolamento per quanto riguarda i requisiti del consenso e, di conseguenza, come questo viene chiesto all’utente. Torniamo quindi agli art. 4 e 7 del GDPR per ricordarci che il consenso deve essere libero, specifico, espresso con azione o dichiarazione positiva inequivocabile, informato, revocabile in qualsiasi momento con la stessa facilità con cui è stato prestato. Da queste semplici indicazioni derivano tutte le ripercussioni concrete su quali attività siano lecite e quali no nell’utilizzo dei cookie di profilazione, a partire dalla progettazione del banner con le relative caselline da spuntare.
Per questo la Taskforce dell’EDPB ha pubblicato nel febbraio 2023 un rapporto con varie indicazioni su come creare i cookie banner, anche da un punto di vista di design, per assicurare agli utenti la possibilità di prendere una decisione effettivamente libera e il più possibile consapevole sull’utilizzo dei cookie per i quali devono prestare il consenso.
A seguito delle Linee Guida 5/2020 emanate dall’EDPB nel 2020 abbiamo assistito a una maggiore sensibilità sulla raccolta del consenso degli utenti ai cookie, accentuata in Italia con le Linee Guida del nostro Garante dell’anno successivo.
Le varie pronunce e restrizioni nell’uso di queste tecnologie stanno portando anche molti operatori a chiedersi se in fondo non sia necessario un cambio di rotta, verso un futuro “cookieless”. Non ci resta che vedere se le società che fanno della profilazione il fulcro del loro business si piegheranno alle stringenti richieste derivanti dalla normativa europea, o se troveranno nuove soluzioni per tracciare gli utenti, sollevando ulteriori quesiti. È già chiaro tuttavia che le aziende stanno avendo difficoltà a farsi indirizzare e a trovare un giusto equilibrio tra tutela dei dati ed esigenze tecniche ed economiche.
È possibile ipotizzare che con il Metaverso alcune di queste problematiche non ci saranno più, ma ne sorgeranno sicuramente altre e sarà compito del legislatore, delle Autorità garanti ma anche dei professionisti limitare il più possibile l’insorgenza e l’impatto di nuovi problemi legati alla profilazione.