Cosa si intende per cookie law? Ecco cosa è possibile fare per proteggere la propria privacy e quali piccoli accorgimenti adottare per tutelare la nostra profilazione online
La tutela dei dati personali attraverso la cookie law
È una direzione intrapresa ormai da tempo quella dell’ordinamento sovranazionale e nazionale tesa a tutelare le persone dal trattamento dei propri dati personali e delle proprie attività online da parte delle società che operano sulla rete. In tale ottica si pone anche la normativa in maniera di cookie, cioè quella che viene spesso chiamata con l’espressione inglese “cookie law”.
I cookie sono delle stringhe di testo che i siti web archiviano all’interno di un dispositivo nella disponibilità dell’utente, ad esempio un pc, un tablet o uno smartphone. I software per la navigazione in internet e per il funzionamento di questi dispositivi possono memorizzare i cookie, registrando così le precedenti inetrazioni dell’utente con uno o più siti web.
Le informazioni codificate nei cookie possono includere dati personali[1], come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.
Se da un lato è tramite i cookie che è possibile consentire, per esempio, alle pagine web di caricarsi più velocemente, dall’altro tramite gli stessi è possibile veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare l’efficacia del messaggio pubblicitario, oppure adeguare la tipologia e la modalità dei servizi resi ai comportamenti dell’utente, già oggetto di precedente osservazione.
Le tipologie di cookie
Esistono diverse tipologie di cookie:
- i cookie tecnici, utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio, esplicitamente richiesto dall’utente, a erogare tale servizio;
- i cookie di profilazione, utilizzati per ricondurre a un soggetto specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte, al fine di raggrupparli all’interno di cluster omogenei, in modo che sia possibile al titolare, ad esempio, modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
- i cookie wall, un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
Le differenti finalità che li connotano, di natura “tecnica” o di natura “non tecnica” (ipotesi, quest’ultima, relativa ai cookie di profilazione) giustificano la diversa disciplina, che si va di seguito ad esporre nei suoi princìpi essenziali.
La cookie law: la centralità del consenso
La cookie law trova fonti sia europee sia nazionali: prima di tutto la Direttiva ePrivacy 2002/58/CE, recepita nell’ordinamento nazionale dal decreto legislativo n. 196 del 30 giugno 2003 e i pareri dell’EDPB, “European Data Protection Board” o “Comitato Europeo per la Protezione dei Dati”; queste disposizioni sono poi integrate dalle linee guida fornite dall’italiana Autorità Garante per la Protezione dei Dati Personali.
Per l’utilizzo di cookie tecnici, il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa; i cookie con finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso informato dell’utente.
Assume dunque importanza fondamentale il tema della manifestazione di volontà dell’utente. Questa deve essere libera, specifica, informata e inequivocabile: occorre un atto positivo con il quale l’interessato manifesta inequivocabilmente l’intenzione di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò può avvenire, ad esempio, con la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto.
Non configura consenso il silenzio, l’inattività o la preselezione di caselle.
Discorso a parte invece si ha per lo scrolling, mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici. Il semplice “scroll down” del cursore di pagina può intervenire nella procedura di acquisizione del consenso solo come componente di un più articolato processo di acquisizione del consenso.
Altra ipotesi peculiare è quella dei cookie wall (si veda il precedente paragrafo 2, lettera c) che, di regola, costituiscono un’illecita modalità di acquisizione del consenso, non consentendo di qualificarlo come libero, ma che ammettono al contempo un’eccezione, da verificare caso per caso: quella per cui il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.
Criticità presenta anche l’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso, laddove l’utente l’abbia in precedenza negato: tale meccanismo appare suscettibile di lederne la libertà inducendolo a prestare assenso pur di proseguire nella navigazione libero dalla comparsa, per l’appunto, del banner. Di conseguenza, le scelte dell’utente dovranno essere debitamente registrate e la prestazione del consenso non più nuovamente sollecitata se non quando ricorrano determinate circostanze (per esempio ove mutino significativamente le condizioni del trattamento, oppure decorsi almeno 6 mesi della precedente presentazione del banner).
Informazioni
“Direttiva ePrivacy” 2002/58/CE.
European Data Protection Board: EDPB | European Data Protection Board.
Decreto legislativo n. 196 del 30 giugno 2003.
Linee guida fornite dall’Autorità Garante per la Protezione dei Dati Personali.
[1] Tra i dati personali rientrano anche i particolari dati biometrici. Per un approfondimento sull’argomento: I dati biometrici – DirittoConsenso.
Lara Gallarati
Ciao, sono Lara. Classe 1994, vivo un po' a Monza (dove sono cresciuta) e un po' a Milano (dove lavoro). Dopo il liceo scientifico e la laurea in giurisprudenza conseguita all'Università Statale di Milano, sono diventata Avvocato. Passioni: diritto, politica, letteratura, arte, musica... l'Umano, vizi e virtù. Oltre allo sport, al vino e al cioccolato. I quattro peccati capitali per me: l'ingiustizia, l'ipocrisia, la superficialità e l'arroganza.
