Il Garante per la Protezione dei Dati Personali ha pubblicato un’importante guida in tema dei cookie e di altri strumenti di tracciamento a seguito della riunione tenuta in Roma, del 10 giugno 2021 alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei quale segretario generale.
Il documento ha lo scopo di far luce dal punto di vista giuridico e normativo sull’utilizzo dei cookie da parte dei siti web e sulla qualità della corretta informativa da fornire a ciascun utente circa l’acquisizione del proprio consenso informato on line alla luce del Regolamento UE 2016/679.
L’utente in sede di prestazione del proprio consenso all’utilizzo dei cookie o di altri strumenti di tracciamento deve essere ben adeguatamente informato sull’archiviazione degli stessi sui loro terminali da parte dei siti web visitati.
L’esigenza è data certamente dall’evoluzione comportamentale degli utenti sulla rete i quali sono sempre più orientati ad una moltiplicazione delle proprie identità personali in rete (social network). Chiaramente il rischio che le informazioni personali vengano tracciate, in questo modo, è sempre più elevato: da qui l’obbligatorietà di un quadro rafforzato che renda effettivo il controllo sulle informazioni personali oggetto del trattamento.
Innanzitutto come stabilito dall’art. 30 del Regolamento “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”. Questo è ciò che fa un cookie che solitamente si presenta come una stringa di testo che il sito web posiziona o archivia all’interno di un dispositivo terminale che l’utente abbia nella propria disponibilità, come ad esempio un tablet, un pc, ovvero uno smartphone e così via. La funzionalità “nascosta” di questi terminali che abbiano una connessione ad internet non è la mera “connessione/navigazione” ma è anche il salvataggio in memoria di ciò che si visita navigando in rete proprio al fine di tracciare un profilo utente sempre più preciso, ad esempio i cookie vengono utilizzati per le operazioni pubblicitarie a favore di alcuni brand, che prendono il nome di remarketing.
I cookie possono raccogliere ogni tipo di informazione come ad esempio un indirizzo IP, il nome utente, l’indirizzo email, le impostazioni di lingua, persino il dispositivo usato per la connessione e etc.
È infatti sempre attraverso i cookie che si sviluppa il fenomeno della c.d. pubblicità comportamentale dove in base alla nostra navigazione ci vengono proposte offerte dedicate e specifiche.
Cosa si intende per altri strumenti di tracciamento
Il Garante non si occupa solo dei cookie ma parla anche degli “altri strumenti di tracciamento” facendo riferimento agli identificatori passivi, i quali si differenziano dai cookie, che prendono anche il nome di identificatori attivi, perché questi ultimi presuppongono la mera osservazione.
Tra gli strumenti “passivi” ad esempio è ricompreso il fingerprinting, ossia quella tecnica che permette di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato. Tale tecnica può essere utilizzata per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web.
La classificazione dei cookie
La classificazione che risponde alla ratio della disciplina di legge e dunque alle esigenze di tutela della persona, è quella che si basa al di là della differenza tra strumenti attivi e passivi su due macro categorie:
-i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);
-i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato.
Quanto alla normativa applicabile l’utilizzo dei cookie o degli altri strumenti di tracciamento si fa riferimento a quanto stabilito dall’art. 122 del Codice della Privacy:
-l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate;
-ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente;
-salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.