Garante per i dati personali - 10/06/2021 - n. 231 art. 1

Considerazioni preliminari

Precisiamo da subito che il precedente intervento del Garante in questo ambito, il citato provvedimento dell'8 maggio 2014, n. 229, non è stato invalidato da quello del 2022 – tuttavia ne eredita l'impostazione generale e va a ripercorrerlo in maniera completa, venendo di fatto aggiornato quasi in toto da quello qui in commento.

L'integrazione e l'aggiornamento di quelle regole sono imputabili alla novità normative del GDPR, al monitoraggio effettuato dall'autorità, alla maggior diffusione di nuove tecnologie caratterizzate da crescenti livelli di potenziali pervasività, oltre all'evoluzione comportamentale degli stessi utenti web, sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall'accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network. Con gli annessi rischi che le informazioni personali siano raccolte anche incrociando i dati relativi all'utilizzo di funzionalità e servizi diversi, di titolari diversi, “con l'effetto della creazione di profili sempre più specifici e dettagliati”. Vigente il GDPR, è lo stesso considerando 30 che menziona i cookie come forma di marcatori o identificativi temporanei che, se combinati con altre informazioni, possono creare profili e permettere l'identificazione dell'utente.

Da qui la rafforzata esigenza di tutele maggiormente orientate a favorire e a rendere effettivo il controllo (cioè l'autodeterminazione) dell'interessato e l'utente sulle proprie informazioni.

Le tipologie di cookie e identificatori attivi

Visitando un sito web, un utente può ritrovare archiviati e poi letti sul suo dispositivo dei piccoli file di testo – i c.d. cookie –, a opera dei siti web visitati (prime parti o “publisher”) o forniti da terze parti (solitamente l'archiviazione sul dominio della terza parte è attivata da un elemento come per es. un banner).

Originariamente l'utilizzo era meramente tecnico, di supporto alla navigazione web degli utenti: visto che il protocollo di rete HTTP (tuttora il principale utilizzato in Internet per la trasmissione di informazioni) è di tipo “ stateless ”, cioè non mantiene memoria delle interazioni client-server dell'utente con una pagina web, si richiederebbe la continua ri-autenticazione dell'utente sulle pagine visitate. Così l'uso del cookie funge da “supporto di memoria” di tali interazioni e permette una esperienza utente fluida e continua, garantendo l'autenticazione con un solo login, salvando i prodotti inseriti in un carrello e-commerce, ecc.

Successivamente a tale utilizzo meramente tecnico, lo strumento del cookie è stato però impiegato per diversi fini come quelli commerciali e di tracciamento dell'utente. Divenendo lo strumento chiave sia per rendere la c.d. pubblicità comportamentale (“behavioural advertising”), personalizzata, che per misurarne l'efficacia, con una notevole precisione. Una svolta, rispetto alle possibilità offerte degli altri strumenti di marketing. Tanto più considerando che solo il dominio che ha archiviato il cookie nel dispositivo dell'utente può accedervi o modificarlo (salvo l'utente) – c.d. same-origin policy.

Nella stringa di testo di un cookie, infatti, possono essere inclusi sia dati personali (come l'indirizzo IP, un nome utente, un identificativo univoco, l'indirizzo e-mail, ecc.), così come dati non personali (per es. le impostazioni della lingua o per il carrello di un e-commerce). I dispositivi interessati possono andare da un computer a un tablet, da uno smartphone ai sensori IoT (Internet of Things). Lo strumento utilizzato dall'utente come tramite con i siti web e che gestisce la memorizzazione e lettura dei cookie è il software browser di navigazione. In genere, un cookie può contenere quanto meno il nome del web server di riferimento e un Cookie-ID come identificativo unico dell'utente.

Ulteriori tipologie di marcatori attivi possono essere gli HTML5 local storage, i Local Shared Objects (LSO), gli script, i tracking pixel o web beacon, i plugin, ecc. Tipologia particolarmente insidiosa (e illecita) sono i c.d. Flash Cookie che – in quanto muniti di un'archiviazione di backup – sono in grado di re-installarsi pur se cancellati dall'utente.

Circa l'effettivo potere identificativo dei cookie, nel caso di dati personali, è preferibile effettuare un distinguo: se il cookie registra dati sulle preferenze utente o simili dati anonimi, si potrebbero generalmente considerare – in sé – non identificati né identificabili gli interessati. Se, d'altro canto, sono aggiunte informazioni (per es. il Cookie-ID), anche mediante combinazione o arricchimento con altri dataset o tracce digitali, allora si tratterebbe di dati dal potenziale identificativo e, dunque, personali.

Pur dovendosi sempre fare una valutazione caso per caso, questa suddivisione sarebbe supportata dalla CGUE con la nota sentenza Breyer ( C-582/14, 19 ottobre 2016, ECLI:EU:C:2016:779 ), ove si è sposato un approccio “relativo” e non già “assoluto” sul tema della determinabilità dell'identità, riconoscendola perlopiù in caso di mezzi legalmente e concretamente disponibili per il titolare, seppur tramite terze (e quarte) parti – così in Spindler – Förster, 4-6, i quali tuttavia non escludono la possibilità di dover valutare la “prossimità de facto” di mezzi illeciti di identificazione.

A conferma del solco “relativista” tracciato della Breyer, in ogni caso, segnaliamo la recente pronuncia del Trib. UE, caso T-557-20, 26 aprile 2023.

Un argomento di non scarso rilievo, benché non espressamente trattato nelle linee guida del Garante, concerne il trattamento dei dati particolari (come quelli sanitari) tramite cookie, nel contesto delle eccezioni previste dall'art. 9 del GDPR. È cruciale enfatizzare che il GDPR prevede un consenso “esplicito” per tale trattamento, corrispondente a una azione affermativa con una dichiarazione espressa attribuibile all'utente. Una problematica che non ha ancora ricevuto un'analisi dettagliata in termini di conformità dei cookie banner – generando incertezze dovute, al momento, a insufficienti case studies e indirizzi da parte delle autorità.

Però emergono almeno due sentenze significative della CGUE relative alla potenzialità dei dati raccolti – in apparenza non particolari – di svelare informazioni di questo tipo. La prima, nel caso Vyriausioji Tarnybinės Etikos Komisija ( C-184/20, 1 agosto 2022, ECLI:EU:C:2022:601 ), ha determinato che il nome del partner di una persona può indicare le sue preferenze sessuali (evidenziato dai dati ottenuti durante la navigazione in specifici siti web) – si rimanda al commento di Lo Savio. La seconda, nel contesto del caso Facebook/Meta Platforms Inc. ( C-252/21, 4 luglio 2023, EU:C:2023:537 ), ha messo in luce le criticità relative all'utilizzo dei dati raccolti al di fuori del social media (cioè dati off Facebook, legati all'utente ma acquisiti da altri servizi del gruppo o attraverso siti e servizi terzi) e che potenzialmente, una volta aggregati, possono rivelare informazioni particolari sugli utenti.

Si vuole segnalare altresì il provvedimento dell'autorità spagnola AEPD (provv. n. E/03624/2021 del 17 gennaio 2022) contro la app di social e dating Grindr e la CMP implementata: la società titolare aveva dichiarato di trattare persino dati di salute (come la contrazione di HIV) pur senza uso di cookie o condivisione a terzi; inoltre aveva negato di usare dati rivelatori dell'inclinazione sessuale, perché contesto LGBTQ+ e dunque aperto a persone di qualsiasi inclinazione sessuale. L'AEPD ha accettato tale posizione, a differenza dell'autorità norvegere DPA che per la stessa fattispecie (provv. n. 20/02136-18 del 13 dicembre 2021) ha invece riconosciuto per Grindr la raccolta e l'uso illeciti di dati particolari, sanzionandola – e precisando che l'eccezione ex art. 9.2 GDPR (dati resi manifestamente pubblici dagli interessati) non si può applicare a dati caricati su una app di una comunità chiusa o condividendo fotografie non sempre riconoscibili.

L'autorità Garante ha spesso richiamato la necessità di comprendere le particolarità del funzionamento tecnico dei cookie: in accountability se ne deve tenere conto, tra l'altro, per le valutazioni dei profili di rischio per la sicurezza IT. Si veda per es. il caso del possibile attacco detto “Cookie hijacking”, in cui il traffico viene intercettato e il cookie viene letto da terzi. Vanno applicate soluzioni di crittografia per scongiurare il rischio (valore Secure per usare il canale di trasmissione HTTPS), così come vanno effettuati determinati settaggi, quale per es. httpOnly per impedire l'uso del cookie da parte di client script o cross-side (v. Agatello per una avvertita disamina tecnica dei profili cybersecurity dei cookie).

Che non si tratti di tema da sottovalutare lo ribadiscono casi di hacking anche recenti e allarmanti, come quello dell'aprile 2024 per cui nel dark web sono stati rinvenuti miliardi di cookie di prima parte per l'ad tracking, trafugati da svariati domini web e persino potenzialmente utilizzabili per effettuare login al posto degli utenti reali (https://www.mediapost.com/publications/article/395066/what-hackers-do-with-54b-leaked-cookies.html). Si attende la reazione delle autorità di controllo a fronte di tale scoperta.

Potrebbe trattarsi di attacchi dolosi come di imperizia. Caso diverso e già accertato, in tale secondo frangente, è quello toccato all'autorità di controllo svedese (Integritetsskyddsmyndigheten – “IMY”), esaminabile dal provv. sanzionatorio del 24 giugno 2024 (n. DI-2021-5544) avverso Avanza Bank AB. Nella fattispecie è stato acclarato un data breach del 2021 coinvolgente i Facebook pixel utilizzati sul sito web della Banca coinvolta, poiché un errore di loro configurazione (della feature detta “Automatic Advanced Matching” di Meta), da parte della Banca, ha erroneamente e indebitamente comunicato vari dati personali dei propri utenti bancari (circa un milione di interessati) a Meta. L'autorità ha pertanto accertato l'inidonea adozione di misure di sicurezza, ai sensi degli artt. 5 e 32 GDPR nonché dell'art. 5 della Direttiva 2002/58 (ovviamente non vi era alcun consenso informato alla trasmissione di quei dati), con una sanzione comminata per oltre un milione di euro.

Altri strumenti di tracciamento (identificatori passivi)

Di diverso funzionamento sono altri strumenti pur assimilati dal Garante ai cookie, ovvero gli identificatori passivi, limitati all'operazione di lettura di informazioni del dispositivo utente. Si tratta di un'altra novità, non trattata nel provvedimento del 2014.

Esempio tipico è quello del c.d. browser/device fingerprinting, tecnica “che permette di identificare il dispositivo utilizzato dall'utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall'interessato”. Le finalità possono essere le stesse degli identificatori attivi, sfruttando l'impronta digitale ricavata dalle configurazioni del browser per identificare (probabilisticamente) e profilare l'utente.

Si comprende come il limitarsi all'osservazione e lettura di informazioni, oltre a essere ben più opaca e occulta, spesso taciuta, sia più insidiosa per l'utente: diversamente dai cookie, l'utente non dispone di strumenti autonomamente azionabili per difendersi e impedire il trattamento (salvo adottando alcune impostazioni o plugin blocker appositi per i browser, spesso di dubbia o eccessiva efficacia), dovendo necessariamente rimettersi all'azione del titolare.

Altre tecniche assimilabili – seppure non menzionate dal Garante ma altrettanto occulte e di sola lettura – possono comprendere il c.d. browser history sniffing, sfruttando per es. Javascript per ricavare la cronologia dei siti visitati dall'utente.

In tempi recenti, dopo che lo scenario di utilizzo dei cookie di terze parti per uso commerciale pare volgere al tramonto (specie dopo gli aggiornamenti con adblock del browser Safari e conseguenti annunci di Google per le future versioni del browser Chrome entro il 2025 – nuova data rimandata, da ultimo, per controversie con l’autorità antitrust del Regno Unito verso il progetto Privacy Sandbox, spia delle gravi e perduranti problematiche concorrenziali insite nelle nuove scelte tecnologiche dei big players), tecniche come il fingerprinting (e altre basate su dati di prima parte, come l'account utente e l'indirizzo e-mail) stanno aumentando di applicazione, spesso sfruttando la mancanza di consapevolezza e frustrando i diritti spettanti agli utenti (v. AA.VV., Study on the impact, 233). Tra le alternative proposte dagli OTT - come il citato Google Privacy Sandbox, Facebook Advanced Matching, Apple SKAdNetwork – troviamo spesso l’uso di coorti (gruppi omogenei di interessati), raccolta dati in locale e altre dichiarate forme di anonimizzazione e pseudonimizzazione. Spesso però di opaca implementazione tecnica e che potrebbero riservare nuove criticità privacy in futuro. Il tutto per fronteggiare la crisi delle prassi di retargeting e di misurazione delle conversioni, permesse dall’uso dei cookie di terze parti e difficili da attuare altrimenti con sufficiente affidabilità (sostituendo a criteri deterministici dei criteri probabilistici).

Recenti sono le linee guida EDPB 2/2023, dedicate all'ambito di applicazione tecnica dell'art. 5.3 della Direttiva 2002/58 (“ePrivacy”), sull'uso del consenso per l'archiviazione o l'accesso alle informazioni nel dispositivo utente: il documento premette la necessità di chiarire che – a fronte dell'emergere di nuovi emergenti tecniche di tracciamento online, oltre al fingerprinting, destinate a sostituire man mano i cookie di terze parti – va data per assodata l'applicabilità della Direttiva altresì a tali prassi e strumenti (come l'elaborazione dati in locale, il tracciamento basato solo sull'IP, la reportistica IoT). Un esempio diffuso ne è il tracciamento di URL e pixel, cioè un collegamento ipertestuale a una risorsa (di solito un file immagine, incorporato in un contenuto come un sito web o un'e-mail, oppure con un identificatore aggiunto all'URL). Oppure ancora è il caso dell'identificatore univoco persistente, solitamente derivato da dati personali persistenti (nome e cognome, email, numero di telefono, ecc.), sottoposti a hashing sul dispositivo dell'utente, poi condivisi tra diversi soggetti esterni per identificarlo in modo univoco tra diversi possibili dataset.

Interessante è, tra l'altro, la precisazione che nella nozione di “rete di comunicazione elettronica” possano rientrare le reti asincrone peer-to-peer, a condizione che il protocollo di rete permetta l'inclusione di ulteriori peer. Così come non è necessario che “l'archiviazione” (anche temporanea, come il caching) e “l'accesso” alle informazioni si cumulino, essendo operazioni ben distinte – nè che siano effettuate in capo allo stesso soggetto. Peraltro, l'operazione di accesso richiede che il soggetto invii, in modo proattivo, istruzioni specifiche all'apparecchiatura terminale, al fine di ricevere le informazioni desiderate: ciò accade con i cookie (tramite chiamata HTTP), con gli endpoint API (come quelli di sistema degli smartphone) o con codice Javascript. Le informazioni sono soggette alla Direttiva se e solo se escono dal dispositivo di generazione o conservazione dell'utente, attraverso una rete di comunicazione, per arrivare a un terzo.

La classificazione dei cookie e degli altri strumenti di tracciamento

La classificazione dei marcatori più rilevante per il Garante è quella teleologica-funzionale, per le due macro-categorie ricavate direttamente dall'art. 122.1 Codice privacy.

Cookie (e altri marcatori) tecnici

Si tratta di quelli utilizzati al solo fine di (i) effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o (ii) nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio; per tali cookie, il titolare non dovrà provvedere alla raccolta di un consenso, limitandosi alla sola resa dell'informativa specifica (pur inserita nell'informativa generale degli altri trattamenti online), proprio come permesso dall'art. 122 del Codice privacy.

Tra questi il Garante, fin dal provvedimento del 2014, includeva i c.d. analytics (cookie di analisi del comportamento utente a vari fini, come valutare l'efficacia di un servizio web o misurarne il “traffico” utente con suddivisioni di dati per aree geografiche, fasce orarie, ecc.) purché si adottino misure di minimizzazione tali da ridurne significativamente il potere identificativo – diretto e univoco – del cookie; in tal senso, il Garante suggerisce tecniche per favorire l'incertezza dei dati registrati nel cookie, come per es. il riferirsi a più dispositivi o domini, sfruttando la c.d. “mascheratura” minima di porzioni dell'indirizzo IP annotato (nel caso di IPv4, dovrebbe toccare l'ultimo ottetto del numero di indirizzo), misura di pseudonimizzazione (reversibile) più che di anonimizzazione (irreversibile); ancora, la finalità va rigorosamente circoscritta alla produzione di statistiche aggregate per singolo sito o app, senza che eventuali terzi incrocino i dati con altri o li trasmettano a terzi (salvo che le statistiche concernino più domini, siti web o app riconducibili al medesimo titolare o gruppo imprenditoriale); il Garante, detto ciò, ammette il possibile ricorso ad analisi aggregate – senza tali requisiti – per più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all'elaborazione meramente di conteggio statistico, non usata per operazioni di natura commerciale verso gli utenti. Resta comunque opinabile l'inclusione da parte dell'autorità degli analytics nella categoria degli strumenti tecnici, vista la lettera dell'art. 122 Codice privacy: non risultano inquadrabili né come strumenti essenziali per il funzionamento di un sito né rispondenti a servizi richiesti dagli utenti.

Il Garante non è l'unica autorità che ha ricompreso negli analytics diverse fattispecie: nelle sue linee guida sui cookies, riviste nel 2020, e in una recente comunicazione (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience) la CNIL francese ha stabilito (contrariamente, invece, alla visione dell'ICO inglese) che i cookie di audience measurement sono assimilabili a quelli tecnici, se sfruttati per risultati statistici anonimi. Sono impiegati sovente, per testare le scelte editoriali secondo la performance. L'autorità si è spinta a fornire tempi di conservazione: massimo 13 mesi per i marcatori, massimo 25 mesi per le informazioni raccolte tramite i marcatori – v. in proposito Serraiotto. 

In sintonia, troviamo le recenti linee guida dell’AEPD spagnola sui cookie tecnici (“Guía Uso de cookies para herramientas de medición de audiencia” del gennaio 2024) includendovi, secondo determinati fini esclusivi: tracciare l’audience, analizzare dispositivi e browser, raccogliere statistiche di utilizzo e determinare l’origine geografica delle richieste web - con dati aggregati perlomeno quotidianamente. AEPD prescrive misure integrative, come la limitazione della durata pari a quella della CNIL.

Si può rinvenire un'argomentazione a favore dell'inclusione degli analytics tra i cookie tecnici già nell'Opinion 4/2012 del WP29 sulle eccezioni al consenso: se ne riconosce la non essenzialità funzionale, tuttavia si innesta una inedita valutazione del rischio privacy. La finalità deve essere strettamente statistica e aggregata di prima parte, con adeguate garanzie come il possibile opt-out (da rivedere, alla luce del GDPR) e l'uso strumenti di pseudonimizzazione (come la mascheratura dell'IP). Conscio della forzatura, lo stesso WP29 caldeggiava una revisione della Direttiva 2002/58 per includere espressamente tale tipologia di strumenti tra quelli non soggetti a consenso (vedi quanto indicato di seguito sul progetto di Regolamento ePrivacy). Nella stessa Opinion si argomentava, oltre tutto, come l'uso di social plugin (per es. il pulsante “Mi piace”) non fosse soggetto a consenso per gli utenti previamente loggati al proprio account del social media.

Cookie (e altri marcatori) non tecnici

Detti dal Garante altresì di “profilazione”, sono utilizzati per ricondurre a soggetti determinati (identificati o identificabili che siano) specifiche azioni o schemi comportamentali ricorrenti d'uso (c.d. “pattern”), così da raggruppare i diversi profili ottenuti all'interno di cluster omogenei di diversa ampiezza; ciò permette di modulare la fornitura del servizio in modo sempre più personalizzato (ben al di là di quanto strettamente necessario) nonché di inviare messaggi pubblicitari mirati (in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete); ai sensi del Codice privacy, tale trattamento richiede necessariamente (oltre all'informativa specifica) un consenso specifico dell'utente. Il consenso, come di evince, è imposto dal Codice privacy, le caratteristiche di sua validità saranno invece quelle dettate dal GDPR, in virtù del combinato disposto delle norme. Il Garante sottolinea ulteriormente come la base giuridica del legittimo interesse – prevista dal GDPR, in via generale – non sia presente nel Codice privacy (e, a monte, nella Direttiva ePrivacy), pertanto non sia ammissibile nel caso di cookie non tecnici – ecco spiegato perché non sia ammissibile un opt-out (cioè una opposizione per far cessare il trattamento) bensì solo un opt-in (quale consenso per far iniziare il trattamento).

Molti CMP permettono di sfruttare certi standard di settore come il Transparency & Consent Framework (“TCF”) 2.0 di IAB Europe, per la raccolta e condivisione dei consensi che si vuole in linea con la normativa europea. La configurazione e la valenza di tali standard è sempre da assoggettare a una valutazione in accountability del titolare che ne fruisce. Nel farlo, si dovrà tenere conto che tale TCF è stato ritenuto illecito, sotto diversi profili, dall'autorità di controllo belga Autorité de protection des données (caso DOS-2019-01377, datato 2 febbraio 2022), sia quanto a ruoli privacy che quanto all'ingiustificato uso della base del legittimo interesse. Nel momento in cui si scrive IAB Europe ha sia impugnato il provvedimento belga di fronte alla CGUE che avviato iniziative “rimediali” del TCF, in linea con le osservazioni dell'autorità belga. Difatti il 16 maggio 2023 IAB ha pubblicato una versione emendata del TCF, battezzata quale “TCF 2.2”. Nell'ultima versione notiamo questi mutamenti: (i) rimozione, da molte delle finalità previste, della base legale del legittimo interesse per la pubblicità e la personalizzazione dei contenuti; (ii) miglioramenti nelle informazioni standardizzate (per es. con descrizioni accessibili agli utenti, completate da esempi di casi d'uso reali); (iii) i fornitori saranno tenuti a fornire informazioni aggiuntive sulle loro operazioni di trattamento; (iv) trasparenza sul numero totale di fornitori; (v) specifici requisiti per facilitare la revoca del consenso da parte degli utenti.

A tal proposito, si rammenta che le linee guida o standard forniti da organizzazioni settoriali e gruppi di interesse, quale forma di auto-regolazione privata, possono rappresentare sì preziosi framework di riferimento, tantopiù se verticali, tuttavia non possono avere alcun effetto “legittimante”: la loro adozione, di per sé, non può garantire la conformità al dettato normativo (Spindler – Förster, 11). Sarà sempre e solo il titolare che li adotta a doverli valutare – e adattare, se possibile – in esclusiva, propria accountability. Oltre a non tenere conto, se di tenore “internazionale”, di variabili territoriali di disciplina, come i recepimenti nazionali e la frammentazione nell'approccio delle autorità di controllo, ben evidenti nella presente trattazione.

L'acquisizione del consenso online

Il c.d. “scrolling”

Nel provvedimento sui cookie del 2014, il Garante ammetteva la possibilità di esprime il proprio consenso tramite “scrolling”, cioè lo scorrimento a schermo della pagina web da parte dell'utente.

Ora l'autorità prende atto che secondo il GDPR (considerando 32) il consenso va reso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione – libera, specifica, informata e inequivocabile – di accettare il trattamento. Il silenzio, l'inattività o la preselezione di caselle non sono equiparabili a tale manifestazione di volontà. V'è di più, in tal senso: l'EDPB nel parere n. 5/2020 ha chiarito che il mero scrolling non è mai idoneo, di per sé, ad esprimere compiutamente una manifestazione di volontà.

Posizione recepita dal Garante nel provvedimento in commento, pur ammettendo, dal canto suo, una sua residuale funzione. Ovvero come una delle componenti di un più articolato processo che consenta all'utente di segnalare al titolare del sito – con la generazione di un preciso pattern (per es. disegnando una certa figura, come un “8”, muovendo uno smartphone) – una scelta inequivoca e consapevole, che sia al tempo stesso registrabile e dunque documentabile. Sempre il Garante caldeggia i titolari, però, di valutare con estremo rigore di accountability ogni possibile soluzione alternativa di consenso, specie di carattere tecnico. Limitando eventuali falsi positivi (erronee interpretazioni di azioni casuali) e rendendo inequivoco per l'utente l'effetto informatico della propria azione.

Il c.d. “cookie wall”

Inedite sono invece le indicazioni del Garante circa la sempre maggior diffusione dei “cookie wall”, ovvero di meccanismi vincolanti, tramite cookie banner nel quale l'utente venga obbligato – senza alternativa – a esprimere il proprio consenso alla ricezione di strumenti di tracciamento, quale condizione per poter accedere e utilizzare un sito web o sue specifiche sezioni. Trattandosi di consenso condizionato, dunque non libero, è illecito. Salvo che non si offra all'utente la possibilità di accedere ad un contenuto o a un servizio “equivalenti” senza prestare il proprio consenso all'installazione e all'uso di cookie o simili, da valutarsi caso per caso e sempre nel rispetto dei principi del trattamento scolpiti nel GDPR.

Con relative conseguenze, nel caso di esercizio del recesso, quanto alla sospensione o disattivazione del servizio o contenuto subordinato al consenso.

Variante sempre più nota ne è il c.d. “pay wall”, ove l'utente può scegliere se acconsentire all'uso dei suoi dati per fini di marketing e profilazione, oppure in alternativa pagare un corrispettivo, per fruire di un determinato accesso o servizio web.

Il tema in esame si colloca nel dibattito giuridico riguardante la potenziale natura patrimoniale del conferimento di dati personali, in cambio dell'accesso a servizi e contenuti digitali, detto generalmente di c.d. “monetizzazione” dei dati personali – così come pare consentito da normative quali la Direttiva 2019/770, attuata nell'art. 135-octies del d.lgs. 206/2005 (c.d. “Codice del consumo”) e dalla Direttiva 2161/2019 (c.d. “Omnibus”) nei considerando 31 e 34. Il vero rebus sono i limiti e le condizioni che rendono lecita questa pratica, vi si stanno tuttora interrogando le autorità di controllo, potendo sfociare altrimenti in un illecito consenso condizionato. Peraltro, anche considerando ammissibile l'alternativa tra pagamento e consenso per marketing, è da appurare fin dove tale consenso possa spingersi, se per es. possa validamente arrivare fino a poter configurare una profilazione su questa base – e di che tipo, con quali strumenti, per quali ambiti (in ossequio al principio di minimizzazione): si può dubitare che l'invocare il diritto di libertà di impresa possa equivalere alla mancanza di limiti in tal senso, dovendosi bilanciare con gli altri diritti fondamentali degli interessati. Si veda infra per un tentativo di ricostruire gli attuali confini di questa prassi (v. infra l'insinuarsi nel quadro delle nuove normative DSA e DMA). È importante sottolineare, inoltre, che questa dinamica si applica specificatamente nel contesto dei rapporti con i consumatori di contenuti e servizi digitali, come modificato dalla suddetta Direttiva: al di fuori di questo ambito, le incertezze sulla liceità di tali pratiche sono ancora più pronunciate. In molti casi, inoltre, la complessità di implementazione potrebbe essere soverchiante, se pensiamo a utenti minorenni per i quali si debba sia verificare l'età che ottenere un consenso del responsabile genitoriale.

Sul tema si riscontrano diverse posizioni tra le predette autorità dei vari Stati membri. A titolo di autorevole esempio si può citare l'autorità francese CNIL che in alcune proprie linee guida del 2022 sui cookie wall (https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookie-walls/la- cnil-publie-des-premiers-criteres-devaluation) ha suggerito criteri di liceità: (i) un'alternativa reale ed equa all'accesso web, senza dover consentire al trattamento dei dati per l'accesso, come può essere il pagamento di un corrispettivo; (ii) un rapporto "eqilibrato" con l'utente, quanto alla facilità di accesso di un'alternativa offerta di terzi (impossibile nel caso di posizione dominante); (iii) il richiesto corrispettivo monetario del pay wall deve essere “ragionevole”, per es. la richiesta di un abbonamento sarebbe generalmente eccessiva; (iv) la richiesta all'utente di registrare un account può essere lecita, sempre che i dati non vengano riutilizzati per scopi secondari; (v) le finalità devono essere quelle strettamente necessarie per ottenere un equo corrispettivo dai dati; (vi) il pagamento monetario non potrà comportare più alcun tracciamento, tramite cookie o altri marcatori non tecnici.

Altro esempio di pregio è quello dell'autorità di controllo danese Datatilsynet, la quale ha dal suo fornito, nell'aprile 2023 (https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/cookies/cookie-walls), alcune FAQ aggiornate (a rimarcare la frammentazione parziale delle autorità nel territorio unionale). I fattori di valutazione nella libertà di consenso per cookie wall sono ribaditi: (i) un'alternativa “ragionevole”, se in larga misura equivalente (per es. circa la quantità di contenuti accedibili); (ii) nel caso di pay wall, un prezzo “ragionevole”, ovvero – pur senza sindacare scelte d'impresa – che non sia reso così elevato da impedire all'utente una vera scelta; (iii) finalità a consenso limitate a quanto “necessario” per l'alternativa (anche splittando i consensi, nel caso); (iv) ricordando che nel caso di pay wall, i dati del pagante non possono subire altri trattamenti di marketing o assimilati, ma al più di fornitura del servizio o del contenuto (salvo separato consenso aggiuntivo, sempre possibile, per fini di marketing, come usuale).

La stessa autorità ci offre un esempio concreto di questo sindacato del modello pay wall (caso 2021-31-4871, decisione dell'8 febbraio 2023). In questo frangente, il titolare aveva configurato un modello di accesso ai servizi di un marketplace di annunci online: proponendo agli utenti l'opzione di pagare per una sottoscrizione o di accordare un consenso combinato per finalità sia di marketing sia di analisi statistica, giustificato dal modello economico del sito, basato sulle entrate pubblicitarie. Oltre ad ammettere en passant la possibilità che questo consenso si possa legare a una scontistica (in linea teorica), oltre a reputare non eccessivamente elevata la somma richiesta per il pagamento (circa quattro euro al mese), l'autorità ne ha però censurato un risvolto. In effetti, il titolare ha incontrato difficoltà nel dimostrare la “necessità” dell'impiego di dati a fini statistici connessi a questo consenso, nel quadro del proprio modello di business. L'ipotesi non è stata completamente scartata ma dovrebbe essere sottoposta a un'attenta valutazione che richiede una chiara e dettagliata giustificazione da parte del titolare, poi esaminata dall'autorità competente caso per caso.

L'autorità di controllo austriaca DSB , dal canto suo, ha pubblicato nel dicembre 2023 alcune FAQ (https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html) nelle quali, tra l'altro, ha precisato che autorità o enti pubblici (o privati concessionari di pubblici servizi) non possono avvalersi del modello “pay or consent”, così come chi riveste una posizione monopolistica o di quasi monopolio.

Attualmente nell'Unione solo le autorità di Francia, Danimarca e Austria paiono aver riconosciuto più o meno esplicitamente la validità del modello pay wall, seppur con vari distinguo e precisazioni. 

Venendo al piano europeo, si deve dare conto da ultimo dell'EDPB e della sua Opinion 08/2024 “on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms”, pubblicata il 17 aprile 2024.In questo testo il consesso delle autorità ha sancito anzitutto – quanto ai punti più innovativi e rilevanti, rivolti in primis alle VLOP soggette al Digital Services Act – che il modello “pay-or-consent” è astrattamente ammissibile male piattaforme dovrebbero offrire un'alternativa equivalente (“terza via”). Alternativa che non deve richiedere né abbonamenti/pagamenti né comportare profilazione, come un accesso con pubblicità senza trattamento di dati personali o con un trattamento meno invasivo. Il precedente giudiziario a supporto è quello della sentenza CGUE del 4 luglio 2023, Meta Platforms Inc. v Bundeskartellamt, C-252/21, EU:C:2023:537.

La mancanza di opzioni alternative valide e gratuite compromette i requisiti per un consenso valido, oltre a potersi configurare come dark pattern per es. nel prospettare le conseguenze di un diniego. Tanto più i titolari, sottolinea l'EDPB, dovrebbero valutare la frequenza con cui occorra ri-aggiornare i consensi dopo la revoca o il diniego. E ne richiama, almeno per i gatekeepers soggetti al Digital Markets Act, il lasso temporale di un anno per poter “rinfrescare” (cioè riottenere) nuovamente i consensi alla profilazione degli utenti.

Secondo alcuni autori (Amato – Salvi, 56-59), l'impostazione della CNIL entrerebbe in conflitto con la posizione dell'EDPB nelle Linee guida 5/2020 sul consenso (oltre che di altre autorità di controllo europee, come l'AEPD spagnola), quanto al rimandare al fatto – nella valutazione di liceità del cookie wall con una scelta – che sussistano titolari terzi che offrano servizi equivalenti. Ciò secondo l'EDPB minerebbe la libertà del consenso, oltre (aggiungono gli autori menzionati) a essere poco praticabile nel concreto. Ragion per cui l'unica alterativa ammissibile sarebbe quella offerta dallo stesso titolare, seppur a pagamento. E nel caso di consenso alla profilazione, l'uso dei cookie dovrebbe essere limitato a quanto necessario a tal fine per genere “un'equa remunerazione delle attività imprenditoriali e non ulteriore profitto”, a sostenere esclusivamente “i costi effettivamente sostenuti dalla società per rendere un servizio” (Amato – Salvi, 59) – con tutte le ovvie difficoltà nell'ipotizzare il sindacato di un'autorità di controllo privacy quanto a valutazioni economiche di libera impresa.

Gli stessi autori si spingono fino a proporre un modello integrato di “Monetize impact assessment” con cui i titolari potrebbero vagliare – per un trattamento come quello pay wall – il bilanciamento dei benefici al consumatore, i costi del prodotto/servizio, il mercato di riferimento e le misure tecniche-organizzative assicurate (Amato – Salvi, 128-129).

Altri autori, d'altronde, enfatizzano i dubbi di compatibilità del modello pay wall con i principi del GDPR, non potendo dipendere la protezione dei dati personali (e delle informazioni, visto che vi è di mezzo anche la Direttiva ePrivacy) dalla capacità di spesa dell'utente (così Spindler – Förster, 25). Gli stessi autori, tuttavia, riconoscono che un business model “ data trading ” – improntato alla base contrattuale (ex art. 6.1 lett. b)) – sarebbe sia riconosciuto da altre normative (v. la direttiva (UE) 2019/770 e il recente Data Governance Act), sia auspicabile per garantire un'effettiva libertà di autodeterminazione (consapevole e informata) dell'interessato. Il che, però, richiederebbe un intervento normativo sull'articolato del GDPR per potersi davvero attuare (Spindler – Förster, 13-16). Cfr. in tal senso Bolognini (Follia digitale, 80 ss.).

Nel corso del 2022 il Garante nazionale ha avviato un'istruttoria focalizzata su determinate testate giornalistiche online che adottano la pratica del cookie wall (https://www.garanteprivacy.it/home/docweb/-/docwebdis play/docweb/9822601). Tale indagine è stata stimolata dalla circostanza che l'accesso ai contenuti di questi siti web era condizionato all'accettazione, da parte dell'utente, di trattamenti di profilazione realizzati mediante cookie o altri strumenti di tracciamento, oppure, in alternativa, al versamento di una somma pecuniaria. In questo contesto, il Garante ha richiesto alle testate coinvolte di fornire chiarimenti sul funzionamento di tale meccanismo, sulla sua conformità alle normative vigenti in materia di privacy e sui processi di valutazione dell'impatto che avrebbero potuto essere condotti in relazione a tali pratiche. Al momento in cui si scrive non risultano essere stati diffusi ulteriori comunicati o adottati provvedimenti concreti, da parte dell'autorità, in relazione a questa specifica istruttoria.

La pronuncia giurisprudenziale nazionale a oggi più rilevante è quella di Cass. I, n. 17278/2018, per cui nulla impedisce a un titolare – in un caso come quello de quo, concernente un servizio né infungibile, né irrinunciabile senza gravoso sacrificio (si trattava dell'invio di newsletter informative) – di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali. Nel caso de quo, l'utente avrebbe potuto acquisire tali informazioni, secondo la Suprema Corte, tramite altra fonte, anche terza e anche a pagamento. Mentre ciò che è interdetto al titolare è l'utilizzare i dati personali per “somministrare” (o far somministrare) informazioni pubblicitarie a chi non abbia effettivamente manifestato la volontà di riceverle. Insomma, secondo la Suprema Corte l'ordinamento non vieta lo “scambio” di dati personali ma esige, nondimeno, che tale scambio sia frutto di un consenso libero (non coartato). Né, giocoforza, sovrapponibile a un consenso (rectius: accettazione) contrattuale.

Sul piano comunitario, non si può non citare la sentenza CGUE del 4 luglio 2023, Meta Platforms Inc., C-252/21, EU:C:2023:537 – a cui è seguita la recente e urgente “ Binding Decision on processing of personal data for behavioural advertising by Meta ” da parte dell'EDPB del 27 ottobre 2023 ove il Board ha intimato all'autorità di controllo irlandese (in quanto lead authority per via della sede europea di Meta) di imporre alla società il divieto di utilizzare la base contrattuale o il legittimo interesse per fini di profilazione comportamentale a fini marketing (connaturato al suo business model basato sul remarketing effettuato proprio tramite cookie e marcatori utilizzati da siti web terzi). La reazione è stata la nota della stessa Meta del 30 ottobre 2023 (https://about.fb.com/news/2023/10/facebook-and-instagr am-to-offer-subscription-for-no-ads-in-europe), annuncian- do di subordinare l'utilizzo dell'utilizzo dei social network alla scelta utente tra la sottoscrizione con pagamento di un abbonamento – il che comporterebbe il non uso dei suoi dati personali utente per profilazione a fini marketing – e il consenso (senza esborso di denaro) alla stessa profilazione (tramite dati raccolti anche tramite cookie e simil marcatori). La CGUE sopra richiamata si era espressa, tra l'altro, sia precisando che la profilazione marketing non è considerabile parte intrinseca della fornitura (contrattualmente essenziale) di servizi di social media (“tali servizi possono, eventualmente, essergli forniti sotto forma di un'alternativa equivalente che non implichi tale personalizzazione, che non è dunque oggettivamente indispensabile per una finalità che faccia parte integrante di detti servizi”) – sia invitando a valutare se il consenso offerto da un social network in posizione dominante di mercato possa considerarsi “libero “ ai sensi del GDPR (allora ben potendo minare l'offerta di alternative pay wall praticate da player di tal fatta). Sul consenso, la Corte ha sancito che “tali utenti devono disporre della libertà di rifiutare individualmente, nell'ambito della procedura contrattuale, di prestare il loro consenso a operazioni particolari di trattamento di dati non necessarie all'esecuzione del contratto, senza essere per questo tenuti a rinunciare integralmente alla fruizione del servizio offerto dall'operatore del social network online, il che implica che a detti utenti venga proposta, se del caso a fronte di un adeguato corrispettivo, un'alternativa equivalente non accompagnata da simili operazioni di trattamento di dati”.

Quanto alla legittimità del modello cookie wall, un'autorevole conferma da Oltralpe proviene dal Conseil d'Etat francese ( decisione del 19 giugno 2020, caso n. 434684 ), ove ha riconosciuto la validità delle linee guida emesse dalla CNIL a luglio 2019 sull'utilizzo di cookie e altri sistemi di tracciamento online, qualificandole come un esempio di soft law nella sfera di competenza dell'autorità. Tuttavia ha dichiarato non valida la sezione in cui la CNIL “sanciva” un divieto assoluto sull'uso di cookie wall (assente nel dettato normativo), ritenendo che l'autorità fosse così assurta a un ruolo legislativo, ben oltre i suoi poteri.

Secondo alcuni commentatori l'alternativa posta da un pay wall (corrispettivo vs. profilazione) nel caso di accesso ai contenuti dei siti web di informazione porrebbe diversi rischi significativi: in particolare, oltre alla compromissione della libertà di scelta e di informarsi degli utenti, gli editori vedrebbero minato il loro tradizionale ruolo di intermediari degli interessi generali, condivisi, a favore di una “personalizzazione” dei media che invece – anche nella scelta di ciò che va comunicato – enfatizzerebbe le differenze individuali e la relativa visione del mondo, non certo il pluralismo informativo. Ne andrebbe, in buona sostanza, della libertà di informazione e d'espressione (v. Helberger).

Secondo altri (Pelino), il modello pay-or-consent proposto oggi da alcuni social network sarebbe comunque illecito per incongruenze profonde con i principi radicati nel GDPR: (i) contravvenendo al principio privacy by default, quando il modello proporrebbe invece una sorta di “profilazione by default”; (ii) richiedendo un consenso ontologicamente e genuinamente non libero, proprio per l'alternativa posta tra un sacrificio economico e la rinuncia al rispetto di tale principio (tra gli altri).

In aggiunta e alla luce di queste considerazioni, ci si permette di sottolineare come sia necessario rivedere e discutere l'interpretazione di cosa possa essere incluso nel concetto di “fini di marketing”, tanto più profilato e tanto più nel porlo come alternativa al pagamento: come ha dimostrato il caso Cambridge Analytica, i dati possano essere utilizzati per scopi che esulano dal marketing comunemente inteso, includendo fini politici o altri obiettivi non strettamente “commerciali” – non certo quel che si può attendere un utente “by default” nel suo legittimo affidamento. Gettando ombre sull'ammissibilità giuridica, in termini indiscriminati, di tale modello. Per completezza, si segnala che è in discussione dal 2021 la bozza di un Regolamento dedicato alla trasparenza e al targeting della pubblicità politica (COM(2021) 731 final).

Infine: l'evoluzione normativa recente, esemplificata dal DMA e dal DSA, suggerisce che alcuni servizi digitali forniti dalle maggiori piattaforme stiano acquisendo un carattere quasi ibrido, a metà strada tra il settore privato e quello pubblico. Questi servizi, diventati fondamentali nella vita quotidiana delle persone e definibili come “servizi sociali abilitanti”, sono tuttavia gestiti da entità private e concentrati nelle mani di pochi attori, in particolare alla luce della lentezza delle autorità antitrust nel regolare questi fenomeni. Da questa prospettiva, è prevedibile che i maggiori fornitori di servizi, ormai integrati e fondamentali nella struttura della società contemporanea – quali i social media, i servizi di e-mail e altri simili – si trovino ad affrontare un incremento nelle ingerenze normative. Tali interferenze potrebbero riguardare vari aspetti, inclusi quelli relativi alle tariffe e ai modelli di business, come i pay wall, affinchè non sfocino in pratiche discriminatorie, specialmente per quanto riguarda l'accesso a servizi considerati – nell'infosfera odierna – minimi o essenziali. Cfr. Cremona, 467 ss.

La reiterazione delle richieste di consenso

Altro fenomeno di disturbante frequenza è quello della ridondante e invasiva riproposizione del cookie banner a ogni nuovo accesso dell'utente al medesimo sito, quando  abbia già liberamente scelto in precedenza. L'eccessiva riproposizione del banner ai fini dell'acquisizione del consenso – laddove l'utente l'abbia in precedenza negato – ne compromette la libertà: si preferirà prima o poi prestarlo, pur di proseguire nella navigazione liberi dalla riproposizione del banner.

La scelta sul banner da parte dell'utente dovrà essere debitamente registrata, così da non sollecitare più tranne che in alcuni casi (alternativi): (i) è oggettivamente impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo (ad es. se l'utente ha cancellato i propri cookie); (ii) mutano significativamente una o più condizioni del trattamento (ad es. le terze parti), pertanto il banner assolve alla funzione di finalità informativa delle modifiche; (iii) quando sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

La reiterazione di richieste di consenso può costituire un c.d. “dark pattern”, cioè quelle prassi che distorcono o compromettono la capacità degli utenti di compiere scelte o decisioni autonome e informate – si tratta di forme di illecito sia per la normativa privacy (v. le linee guida 3/2022 dell'EDPB dedicate ai dark pattern dei social media) che per quella consumeristica. Allo stesso tempo, la specifica configurazione e il layout dei pulsanti del banner, oltre ai colori utilizzati (sebbene il Garante suggerisca di usarne di uguali dimensioni, enfasi e colori, di facile percezione), possono ben sfociare in dark pattern – da evitarsi con apposito assessment a cura del titolare e che potrebbe, così, dover riconfigurare o cessare l'uso di tool offerti da vendor terzi.

Nel gennaio 2023 l'EDPB ha pubblicato il lavoro della propria taskforce dedicata al fenomeno dei cookie (“Report of the work undertaken by the Cookie Banner Taskforce”). Il lavoro si è incentrato sull'analisi di numerose segnalazioni, presentate dalla associazione NOYB di Max Schrems in tutta Europa, quanto ai cookie banner e alla loro implementazione decettiva. L'uso dei dark pattern applicati a questo contesto ha evidenziato il ricorrere di determinati “pattern nei pattern”. Le casistiche esaminate hanno confermato prassi note da tempo e classificate in maniera omogenea: dall'assenza di un pulsante di rifiuto nel primo strato del banner, all'uso di caselle preselezionate, dall'uso ingannevole di colori e contrasto dei pulsanti, all'erronea classificazione come essenziali, ecc. Questo documento rappresenterà certamente un punto di riferimento per tutte le autorità in sede ispettiva e giudicante.

Per un primo caso di dark pattern accertati e sanzionati dal Garante italiano in sede di raccolta dei dati personali online, v. GPDP, provv. 23 febbraio 2023 [doc. web n. 9870014], seppure non incentrato sui cookie banner.

L'autorià spagnola AEPD (provv. n. PS/00080/2023, ottobre 2023) ha recentemente sanzionato per 5.000 euro un titolare per impiego di dark pattern in ambito cookie, segnalato da NOYB: ciò in ragione della mancanza di un meccanismo adeguato di revoca del consenso, oltre a un wording informativo e a un'impostazione defatigante delle opzioni di scelta nel banner (per rifiutare i cookie vi era da intraprendere un percorso ben più articolato dell'accettazione, in overloading).

Segnaliamo, infine, che sussistono alcuni standard internazionali per il design che possono rivelarsi utili in questo contesto, come quelli dedicati all'ergonomia dell'interazione uomo-macchina: ISO 9241-210 (human-centered design), ISO 9241-11 (usabilità) e ISO/IEC 25022 e 25023 (valutazione dell'usabilità).

La privacy by design e by default in relazione ai cookie

Il meccanismo di acquisizione del consenso

Rispetto al provvedimento del 2014, il Garante sottolinea la necessità di aggiornare le indicazioni sul punto anche per improntarle ai principi di privacy by design e by default introdotti dal GDPR, specie quanto alla minimizzazione. In ossequio all'accountability, l'autorità non prescrive una modalità unica per rispettare tali principi nel contesto in esame, limitandosi a suggerire un modello specifico di seguito esposto. Come detto, nel caso di utilizzo di tracciamento solo di tipo tecnico, il banner non sarà necessario.

In passato si era diffusa l'opzione Do-not-track (“DNT”) in numerosi web browser e che una volta attivata inviava ai siti web visitati un messaggio, cioè che l'utente non volesse essere tracciato “by default”. Nella prassi non ha ricevuto grande supporto dai siti web che, tendenzialmente, ignoravano tale comunicazione. Oggi si cerca di rilanciare l'idea, come nelle ipotesi di Regolamento ePrivacy, in una qualche forma di impostazione tecnica predefinita che, una volta settata, permetta, in generale, l'utilizzo o meno di cookie senza che l'utente intervenga caso per caso. Sebbene questa idea paia attualmente confliggere con alcune previsioni del GDPR, specie quanto alla necessaria granularità del consenso, ed era già stata criticata e ritenuta non sostenibile da parte del WP29 nel proprio Parere 1/2017 (Spindler – Förster, 27-28).

Una modalità di gestione “centralizzata” dei propri consensi (o dinieghi) per la pubblicità comportamentale tramite cookie era stata lanciata dal sito web YourOnlineChoices (https://www.youronlinechoices.com). Promotori ne sono diversi operatori del settore, in forma di iniziativa autonoma dell'EDAA (European Interactive Digital Advertising Alliance). Il sito web, nelle intenzioni, dovrebbe permettere di disattivare, tramite questa sola piattaforma, tutti o alcuni dei cookie di profilazione dei siti web degli aderenti EDAA. Molti utenti però segnalavano il mancato funzionamento e varie irregolarità: nel gennaio 2023, l'autorità di controllo belga APD/GBA ha emanato una decisione (caso 11/2022, del 21 gennaio 2022) secondo la quale il sito in parola avrebbe violato il GDPR sotto diversi profili: per es. oltre che lacunosamente informati, gli utenti si ritrovavano con un cookie non tecnico installato prima di poter effettuare una scelta; era utilizzato un protocollo non sicuro HTTP e non HTTPS; non v'era completa e chiara indicazione dei Paesi terzi di trasmissione dei dati.

In ottica comparatistica, si tenga conto di una normativa statunitense statale come il CCPA (California Consumer Privacy Act, sulla protezione delle informazioni personali dei consumatori residenti in California, trattati dalle aziende), in vigore dal 2020, e il CPRA (California Privacy Rights Act, di estensione e aggiornamento del CCPA). Vi si possono trovare obblighi – incentrati sull'autoregolamentazione, in capo dell'azienda – come il fornire l'informativa privacy e soprattutto un banner per rinunciare ex ante alla vendita o alla condivisione di dati personali, l'approntare un link “Do Not Sell or Share My Personal Information” sul sito web per tale opt-out, il ridurre al minimo la raccolta di dati solo per dati pertinenti e solo per scopi legittimi, ecc. (Amato – Salvi, 113-115). Gli autori sottolineano come il modello di regolazione ivi proposto sarebbe – rispetto a quello europeo – già maturo e tarato sul trasparente, lecito scambio di denaro in cambio dell'uso di dati personali (il pay wall di cui supra al punto 6.2).

La Commissione Europea ha avviato nell'aprile 2023 un'iniziativa di tavola rotonda per migliorare la capacità (c.d. “ empowerment ”) dei consumatori di prendere decisioni informate riguardo la pubblicità basata sul tracciamento tramite cookie e marcatori (https://commission.europa.eu/live-work-travel-eu/consumer-rights-and-complaints/enforcement-consumer-protection/cookie-pledge_it). Il progetto prevede la collaborazione con importanti stakeholder (come Apple, Amazon, Google, IAB Europe, Meta, Mozilla, ecc.) per sviluppare soluzioni volontarie (tecniche e di business model) che affrontino le problematiche legate ai cookie e alla pubblicità mirata. Così da proporre ai consumatori modelli pubblicitari più semplici, rispettando il loro desiderio di non essere tracciati e fornendo metodi alternativi per la personalizzazione della pubblicità in cambio di contenuti gratuiti. Difatti i documenti di lavoro presentano quesiti e ricerca di soluzioni su tre aree: (i) la miglior trasparenza contestuale (per es. sull’information overload); (ii) le alternative pubblicitarie pertinenti ed efficaci pur meno invasive in termini di privacy (eliminando la necessità di usare cookie e altri marcatori per tali scopi); (iii) le soluzioni tecniche per automatizzare le scelte dei consumatori. Nel momento in cui si scrive, si sta lavorando alla definizione di otto principi di impegno comune (c.d. “Cookie pledge”), la cui bozza è stata presentata dalla Commissione Europea nell’ottobre 2023 e oggetto di osservazioni dell’EDPB il 19 dicembre 2023. Si segnalano all’attenzione: i principi B-D sulla dovuta trasparenza del business model e del tipo di pubblicità (nel caso di pagamento o tracciamento dovrebbe esservi sempre un’alternativa pubblicitaria meno intrusiva, per es. di pubblicità contestuale, oltre che in linea con il Digital Markets Act; inoltre il relativo consenso potrebbe ammettere “fini tecnici” come la misurazione della performance o la prevenzione di frodi), il principio G sull’intervallo di un anno per richiedere nuovamente il consenso dopo un rifiuto (registrato con apposito cookie tecnico, privo di identificatori univoci) nonchè il principio H sulle impostazioni predefinite del browser quale accentramento di una consapevole espressione di volontà. Come per qualsiasi strumento basato sull’adozione volontaria, rimane da valutare in che misura la proclamata buona volontà dei partecipanti al pledge si tradurrà in azioni concrete. Infine, sarà essenziale esaminare se verranno introdotti “(dis)incentivi”, quali sanzioni o penalità, per garantire l’effettivo rispetto di tali impegni.

Al momento in cui si scrive, è stato però reso noto (https://www.euronews.com/next/2024/04/23/commissions-data-cookie-pledge-crumbles) che l’iniziativa è ferma. Il draft non è stato sottoscritto dagli stakeholder, come auspicato, poichè l’hanno considerato “prematuro” alla luce dell’entrata in vigore del DSA e DMA.

Il banner

Il modello prevede un primo livello di interazione con l'utente, ovvero il c.d. “banner”: un meccanismo in base al quale l'utente – accedendo per la prima volta alla pagina o sito web – visualizzi immediatamente un'area (i) di dimensioni in percettibile discontinuità nella fruizione dei contenuti della pagina web, (ii) configurata da evitare il rischio che l'utente possa compiere scelte indesiderate o inconsapevoli nell'uso di comandi, pur consentendo l'eventuale espressione di un'azione positiva di manifestazione del consenso, (iii) con adeguatezza e congruità delle dimensioni valutate in relazione ai diversi dispositivi di possibile utilizzo (pensiamo ad es. allo spazio visivo limitato di uno smartphone), (iv) impostata di default per l'uso minimo dei dati strettamente necessari (come i cookie tecnici), così che al momento del primo accesso dell'utente nessun cookie o altro strumento – diverso da quelli tecnici – venga archiviato all'interno del dispositivo, né che venga utilizzata alcuna tecnica attiva o passiva di tracciamento (come la lettura di informazioni nel caso del fingerprinting), (v) richiudibile anche nello stato di default mediante selezione dell'apposito comando usualmente utilizzato a tale scopo (il Garante suggerisce, in via non vincolante, l'uso di una “X” posizionata di prassi in alto a destra e all'interno dell'area del banner), senza costringere ad accedere ad altre aree o pagine dedicate, con un'evidenza grafica pari a quella degli ulteriori comandi o pulsanti negoziali di scelta. In tal modo, le eventuali scelte dell'utente quanto ai consensi saranno conseguenza di un intervento attivo e consapevole dell'utente.

Il banner dovrà prevedere altre prescrizioni minime in questo primo livello:

a) l'avvertenza (testuale) che la chiusura del banner (tramite la predetta “X” o simile) comporta il permanere delle impostazioni di default, da quel momento si può continuare la navigazione senza uso di tracciamento diverso da quello tecnico;

b) un'informativa breve, ovvero che specifichi che il sito utilizza cookie e simili ausili tecnici e potrà – dietro consenso – utilizzare anche cookie di profilazione o altri strumenti di tracciamento (con relative finalità: inviare messaggi pubblicitari, analizzare i comportamenti dei visitatori, ecc.);

c) il link all'informativa privacy estesa (ovvero pienamente rispondente ai requisiti exartt. 13-14 GDPR), la quale si potrà trovare in un secondo strato/livello del banner – e dovrà essere sempre accessibile con un solo click, per es. tramite un apposito link nel footer di qualsiasi pagina del dominio;

d) un comando, come un pulsante, attraverso il quale sia possibile esprimere il proprio consenso, accettando in un colpo solo l'uso di tutti i cookie e gli altri eventuali strumenti di tracciamento;

e) il link a un'ulteriore area dedicata (di solito, un ulteriore strato/livello del banner) nella quale sia invece possibile selezionare – in modo granulare, così permettendo di mutare l'impostazione minima di privacy by default –(i) le funzionalità di tali strumenti (cioè le finalità), (ii) le eventuali terze parti (elencate in maniera aggiornata, raggiungibili con appositi link anche di intermediari loro rappresentanti, come per es. gli ad network)e infine (iii) i cookie (singolarmente o raggruppati per categorie omogenee, sempre aggiornate); nulla di tutto ciò potrà essere preselezionato.

L'area dedicata di tale punto e) dovrà essere sempre raggiungibile per i navigatori, successivamente, attraverso un link (denominato per es. “rivedi le tue scelte sui cookie”) oppure con una floating icon o simile segno grafico che permanga sullo schermo, oltre a permettere all'utente di accertare l'attuale stato dei consensi (una sorta di ricevuta digitale) e di modificarli.

Il WP29 nella sua Opinion 16/2011 (EASA/IAB Best Practice Recommendation on Online Behavioural Advertising) offriva alcuni esempi di modalità alternative al banner quale strumento per informare l'utente e raccoglierne i consensi, come lo splash screen a schermo intero.

Sono altresì rilevanti e confermative le considerazioni della autorità belga APD/GBA in un recente caso (provv. 6 settembre 2024, n. 113/2024). Nella vicenda in esame l’autorità ha innanzitutto segnalato che il pulsante di consenso per la gestione dei cookie non è “libero” se non viene accompagnato contestualmente da quello di rifiuto (nel caso concreto, era presente ma “seppellito” sotto molteplici strati di banner/menù). Così come la revoca del consenso deve comportare lo stesso numero di strati/click necessari per l’espressione del consenso stesso.

Anche l’uso dei colori nei pulsanti è stato ritenuto rilevante per valutare la correttezza dovuta ex art. 5.1 lett. a GDPR: nel caso de qua era utilizzato un pulsante rosso scuro (per accettare) contro un pulsante grigio (per avere maggiori informazioni, ovvero la selezione e il rifiuto). Inoltre rivendicare un legittimo interesse come base giuridica per cookie “non strettamente necessari” - come quelli analytics in genere, senza i distinguo praticante dal Garante nostrano - è da ritenere in violazione della disciplina, oltre che fuorviante per l’utente. Da ultimo, si è ribadito come le linee guida delle autorità di controllo e dell’EDPB, seppur non vincolanti, rivestano in ogni modo un autorevole ruolo di interpretazione della normativa.

La CGUE nella causa Planet49 GmbH ( C-673/17, ottobre 2019, ECLI:EU:C:2019:801 ) ha sancito che (i) il consenso non è validamente espresso quando l'archiviazione di informazioni o l'accesso a informazioni già archiviate nell'apparecchiatura terminale dell'utente di un sito Internet avviene attraverso cookie “autorizzati” mediante una casella di spunta preselezionata che l'utente deve deselezionare al fine di negare il proprio consenso; (ii) il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avervi accesso, rientrano tra le informazioni che il publisher deve comunicare all'utente di un sito Internet.

Ulteriori indicazioni valide per un design di banner in linea con le scienze comportamentali possono essere le seguenti: il colore usato deve rendere confortevole la lettura, inoltre dovrebbe risaltare rispetto a quello della pagina web; l'uso dei colori non dovrebbe essere controintuitivo (per es. usare il verde per negare e il rosso per consentire), e così anche l'uso di eventuali slider (cioè interruttori) – compreso il loro posizionamento (la levetta sulla destra è solitamente associata all'attivazione); i pulsanti dovrebbero essere disposti in maniera coerente, ordinata, non sovrabbondante, dunque comprensibile; non dovrebbe essere invocato un senso di ingiustificata urgenza o necessità (specie nel caso di reiterazione delle richieste di consenso) – per approfondire, v. Spindler – Förster, 25-26.

Accountability probatoria

La memorizzazione delle azioni e delle scelte, anche di dettaglio, rimesse all'utente (consensi e revoche, ecc.) è svolta sempre dal titolare in regime di accountability. Il Garante riconosce che allo scopo si possono utilizzare appositi cookie tecnici o altre modalità, purché si tenga costantemente aggiornata la documentazione delle scelte compiute (in una sorta di registro dei consensi). Le soluzioni di CMP offerte dal mercato devono essere valutate in tal senso, quanto alla capacità di fornire prove sufficientemente valide (spesso si parla impropriamente di “certificazione dei consensi”). Un indice in tal senso potrebbe essere l'adozione di standard internazionali come quelli ISO/IEC 29184:2020 (sulle informative e i consensi in ambito online) e ISO/IEC 27037:2012 (sull'acquisizione forense di prove digitali), del tutto facoltativi. Una linea guida sul design, liberamente accessibile e ricca di indicazioni ed esempi, è quella recente creata dall'istituto ConPolicy col supporto ministeriale tedesco, ovvero le “Good Practice Initiative for Cookie Banner Consent Management Design Guidelines” disponibili online (https://www.conpolicy.de/data/user_upload/Pdf_von_Publikationen/2023_01_26_Cookie_Guidelines.pdf). In ogni caso, la registrazione dell’indirizzo IP utente, con marcatura temporale, è una minima comprova.).

Nel caso di utenti registrati e autenticati (cioè che accedano ai relativi servizi telematici mediante uso di credenziali di autenticazione o di accesso), il Garante nelle sue linee guida riconosce che il momento della creazione dell'account si pone come un naturale momento di discontinuità nella navigazione, quindi per assolvere agli obblighi dei titolari in parola. Precisando che l'utente dovrà sapere e poter scegliere se il tracciamento che lo riguarda venga effettuato attraverso l'analisi incrociata dei comportamenti tenuti tramite l'utilizzo di diversi device.

Non si deve trascurare che la medesima attenzione deve essere posta sia alla raccolta del consenso che al suo eventuale diniego o revoca, per cui gli utenti non registrati dovranno comunque avere strumenti di gestione nell'interfaccia a schermo, immediati e sempre accessibili (per es. finestre pop-up), senza che siano costretti a processi di registrazione/autenticazione o altri aggravi nel processo.

Altro frangente di delicata attenzione da parte dei titolari deve essere quello della codifica semantica degli strumenti di tracciamento, cioè di classificazione certa e oggettiva tra quelli tecnici e non, o di altra tipologia e funzione. L'autorità riconosce che non esiste, al momento, un sistema universalmente accettato di discrimine, lasciando i titolari a basarsi sulle indicazioni rese dai fornitori degli stessi strumenti nella loro privacy policy. Oltretutto le interrogazioni e le verifiche circa il posizionamento di cookie possono avere esiti diversi a seconda del browser considerato. Quindi i titolari che ne facciano uso dovranno indicare almeno i criteri di codifica/classificazione degli identificatori adottati (tra quelli tecnici e non), pare di intendere dal testo del Garante. Ciò dovrebbe avvenire perlomeno nell'informativa breve (con eventuale ulteriore indicazione nell'informativa estesa). La stessa autorità potrà richiedere ai titolari di conoscere tali criteri, in sede di verifica o ispettiva (ricordiamo che il Garante ha già ricompreso l'analisi dell'uso dei cookie in passati piani ispettivi semestrali).

Circa i consensi raccolti eventualmente prima dell'emanazione delle linee guida in parola, il Garante precisa che – se conformi alle caratteristiche richieste dal GDPR – potranno essere ritenuti validi, a condizione che – al momento della loro acquisizione – siano debitamente documentabili perché registrati, mediante evidenze informatiche.

Infine è implicito che l’impiego di strumenti di terze parti richiede una attenta valutazione preventiva e una comprensione dei suoi effetti e delle possibili configurazioni, il più possibile documentata. Per esempio, l’uso di reCAPTCHA e simili può comportare la raccolta di dati hardware e software tramite analytics che richiedono specifica informativa e consenso dell’utente.

La CGUE nella sentenza Wirtschaftsakademie ( C-210/16, 5 giugno 2018, ECLI:EU:C:2018:388 ) ha statuito su due aspetti qui rilevanti: (i) l'applicazione (vigente al tempo dei fatti) della Direttiva 95/46 sulla protezione dei dati personali, nonostante il caso si riferisse a trattamenti rientranti nell'ambito di applicazione materiale della Direttiva ePrivacy; (ii) l'amministratore di una fanpage sul social network Facebook è da considerarsi contitolare del trattamento (congiuntamente al social network) per determinati trattamenti legati ai visitatori del sito web dell'amministratore, effettuati tramite cookie di analytics del social (pur se gli amministratori ottengono solo dati statistici “anonimi” dal servizio). Nell'utilizzo dei cookie e altri marcatori si dovrà effettuare una valutazione sul ruolo privacy giocato con e dalla terza parte, fornitrice degli strumenti utilizzati. Simili sono le conclusioni della pronuncia CGUE FashionID (C-40/17, 29 luglio 2019, ECLI:EU:C:2019:629 ).

Già il WP29, nella sua Opinion 2/2010 sul behavioural advertising, prendeva atto della complessità dei ruoli nell'ecosistema “ad tech”, quello che sfrutta i cookie per il c.d. Real Time Bidding, cioè la vendita di spazi sui siti web dei publisher – tramite un sistema automatizzato di aste – per far arrivare annunci profilati agli utenti. Premesso che ogni valutazione – in carico ai soggetti coinvolti – deve essere effettuata caso per caso, le indicazioni specifiche del WP29 sono tuttora una bussola d'orientamento: (i) i publisher (cioè il sito web che vende i propri spazi web per il targeted advertising, cookie compresi) sono probabilmente titolari del trattamento, se non contitolari (v. le sentenze CGUE suriportate); (ii) gli ad network (che intermediano annunci, dati e spazi web) probabili titolari; (iii) gli inserzionisti (che, oltre a fornire l'annuncio, tracciano l'esito delle campagne, possono raccogliere e combinare dati) probabili titolari autonomi. D'altra parte, le recenti linee guida EDPB relative ai ruoli privacy (7/2020) non hanno approfondito adeguatamente la questione, lasciando il parere WP29 tuttora quale riferimento principale.

Secondo alcuni autori (Lodder – Kaspersen, 140), l'utilizzo di cookie senza il dovuto consenso potrebbe configurare ipotesi penali di accesso abusivo a sistema informatico, come previsto in Italia dall'art. 615-ter c.p. Resta salva l'usuale ipotesi di trattamento illecito di dati personali, sanzionata dall'art. 167 del Codice privacy.

L'informativa semplificata e accessibile

Precisato quanto sopra circa la distinzione tra informativa breve (quella presente nel banner) e quella estesa generale, l'autorità offre alcune indicazioni per la semplificazione informativa nel contesto in esame, alla luce dei requisiti innovativi del GDPR rispetto a quanto in vigore ai tempi del precedente provvedimento del 2014, come gli artt. 12 e 13 GDPR – in particolare quanto ai tempi di conservazione sia dei cookie o marcatori sui dispositivi, sia delle informazioni acquisite tramite gli stessi. A tale proposito, si badi a distinguere quanto tempo (non certo indefinibile, si deve minimizzare l'uso dei dati) il file potrà restare sul dispositivo utente dall'archiviazione fino alla sua cancellazione o anonimizzazione (ben potendo essere letto più volte nel frattempo) – l'uso dei dati estratti dovrà essere conforme, restando sempre assoggettabile alla revoca del consenso specifico. Si consideri inoltre che, nella pratica comune, si fa riferimento ai cookie “persistenti” i quali, nonostante la loro denominazione, posseggono generalmente un termine di scadenza prefissato. Al contrario, i cookie “di sessione” vengono automaticamente rimossi alla chiusura del browser.

Già nell'atto del 2014 l'autorità suggeriva di improntare il momento informativo alla semplificazione, oggi intesa su più piani ovvero: (i) più canali e modalità di comunicazione (video, pop-up, interazioni vocali, chatbot, ecc.) (ii) più momenti e strati di comunicazione (vedi le informazioni minime nella prima informativa breve e quelle complete in quella generale successiva).

Il tutto nell'alveo dell'accountability a carico del titolare, quanto a completezza, chiarezza espositiva, efficacia e fruibilità.

Il precedente provvedimento del 2014 dettava ulteriori prescrizioni sull'informativa estesa non ribadite nel nuovo testo ma utili da richiamare qui: (i) deve descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie (seppure ora il Garante paia ammettere il raggruppamento dei cookie per categorie omogenee); (ii) deve essere inserito il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare publisher ha stipulato accordi per l'installazione di cookie tramite il proprio sito (se vi sia un intermediario con i terzi, come un ad network, sarà questo a dover essere linkato); (iii) deve essere richiamata la possibilità per l'utente (v. anche l'art. 122.2 del Codice privacy) di manifestare le proprie scelte anche attraverso le impostazioni del browser, indicando la procedura da eseguire per configurarle – se le tecnologie utilizzate dal titolare siano compatibili con la versione del browser utilizzata dall'utente, si potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse.

Il Garante aggiunge un importante punto di attenzione, quello dell'accessibilità informativa e di scelta a tutti gli utenti, senza discriminazione – specie da parte di coloro che richiedono tecnologie assistive o configurazioni particolari a causa di disabilità. L'autorità richiama l'applicazione della c.d. “legge Stanca”, l. n. 4/2004 (applicabile alla P.A. e altri soggetti erogatori descritti all'art. 3 della stessa norma); si badi che il d.l. n. 76/2020 ha incluso tra gli erogatori (a partire dal 5 novembre 2022) i privati che offrono servizi al pubblico attraverso siti web o applicazioni mobili, a fronte di determinati requisiti dimensionali (fatturato medio negli ultimi tre anni di attività superiore a 500 milioni di euro). Dal 28 giugno 2025 i requisiti di accessibilità dei prodotti e dei servizi potranno divenire applicabili a tutti gli altri soggetti privati, in forza della Direttiva (UE) 2019/882. Rilevanti linee guida e circolari sull'accessibilità sono pubblicate da AGID sul proprio sito web (https://www.agid.gov.it/it/design-servizi/accessibilita/linee-guida-accessibilita-privati).

Il trasferimento di dati personali extra-UE/SEE nell'uso dei cookie e dei marcatori

Le linee guida GPDP mantengono un eloquente riserbo riguardo a una delle problematiche intrinseche all'uso di tali strumenti, vale a dire – considerando lo stato attuale del mercato – la possibile condivisione o l'accesso ai dati personali da parte di soggetti terzi, situati in Paesi non classificati come adeguati (secondo i parametri del GDPR). Tale questione assume particolare rilevanza in riferimento agli Stati Uniti, specialmente alla luce delle varie “sentenze Schrems” emanate dalla CGUE. Analogamente, risulta in crescita l'impiego di cookie da parte di fornitori basati in nazioni come la Cina o l'India, le quali non sono considerate attualmente “adeguate” secondo i criteri del GDPR.

Il tema è però stato affrontato dal Garante in una sorta di successivo provvedimento-monito del GPDP del 9 giugno 2022 [doc. web n. 9782890], replicato similmente in quello successivo GPDP del 21 luglio 2022 [doc. web n. 9808698]. Ivi il Garante ammoniva l'operato di un sito web italiano che impiegava cookie analytics di ampia diffusione, forniti da Google LLC come “Universal analytics” o “GA3”, con sede negli USA. Nella sua disamina l'autorità offriva elementi per ricostruire linee di analisi che tutti i titolari possono svolgere in accountability se sfruttano i medesimi strumenti. Il dato di partenza può dirsi riassunto nella Raccomandazione 1/2020 dell'EDPB, per cui l'esportatore dei dati personali (cioè il publisher) dovrebbe valutare la possibilità o meno, per le autorità pubbliche del paese terzo, di tentare di accedere ai dati, anche attraverso i fornitori di telecomunicazioni o i canali di comunicazione – cosa assodata per gli Stati Uniti proprio con la sentenza CGUE, C-311/18, 16 luglio 2020, ECLI:EU:C:2020:559 , detta “Schrems II”. Per impedire tale accesso, il titolare dovrebbe implementare misure supplementari di natura contrattuale, organizzativa ma soprattutto tecnica: nel nostro caso, si parla di meccanismi di cifratura dei dati, sia durante il trasferimento fra sistemi (“in transito”) che di memorizzazione nei sistemi (“a riposo”). Google LLC quale esportatore dei dati (sub-responsabile del trattamento effettuato dalla responsabile Google Ireland ltd. con sede irlandese) deteneva le chiavi di cifratura per tutte queste fasi (servono i dati in chiaro per le funzioni di analytics), quindi non poteva dirsi rispettata la previsione. Le altre misure possibili – organizzative e contrattuali – non venivano valutate di analogo peso e incidenza.

Il Garante ha analizzato, ulteriormente, il dettaglio dei dati comunicati tramite cookie al provider americano: vari identificatori online unici che consentono sia l'identificazione del browser che del dispositivo che del gestore stesso del sito, l'indirizzo IP del dispositivo utilizzato dall'utente, le informazioni relative al browser e altri strumenti adottati dall'utente. Collegando tale analisi alle prescrizioni del Garante sulla minimizzazione nelle sue linee guida del 2022 (la citata “mascheratura” dell'ottetto, messa a disposizione direttamente da Google tramite opzione per i publisher di “IP-Anonymization”), l'autorità evidenziava che se anche ciò fosse avvenuto, l'utente che avesse effettuato previamente il login a un proprio account Google sarebbe comunque risultato re-identificabile in virtù dell'associazione dell'indirizzo IP alle altre (copiose) informazioni in possesso del provider (come ribadito parimenti nel provv. GPDP del 7 luglio 2022 [doc. web n. 9806053]). Ciò configurerebbe – in mancanza di idonee ulteriori misure – un trattamento di dati personali, con conseguente trasferimento/accesso illecito dei dati da parte del provider USA.

Analoghe problematiche relative alla re-identificazione dell'utente e al trasferimento dei suoi dati emergono anche nell'ultima versione nota come Google Analytics 4 (“GA4”), come già accennato da altre autorità di controllo europee. Sul tema si erano rese disponibili solo le FAQ della Datatilsynet danese, (disponibili al seguente link: https://www.datatilsynet.dk/english/google-analytics): sebbene GA4 paia comportare una riduzione della capacità identificativa dei dati e del loro trattamento, questi non sono completamente esclusi.

Tali considerazioni hanno dato luogo, tra l’altro, alla discutibile opera di alcuni “attivisti di massa” che, pur a fronte di scopi di sensibilizzazione, dopo il citato provvedimento del Garante hanno inondato vari titolari, pubblici e privati, di richieste di esercizio dei propri diritti, massificate tramite automatismi - spesso mandate in copia all’autorità Garante, lamentando il trasferimento non adeguato dei dati e citando il provvedimento dell’autorità. Un modus operandi dal dubbio effetto (si pensi all’ingolfamento di reclami/segnalazioni presso l’autorità) e dalle modalità non sempre cristalline quanto a liceità e fondatezza, oltre che di dubbio effetto (cfr. Scorza, in Laino).

Nonostante questo, è evidente come i titolari italiani dovranno prestare attenzione, in sede di accountability, al tema del trasferimento extra-UE/SEE dei dati personali, sebbene non menzionato nelle recenti linee guida tematiche del Garante. Per citare un esempio, mentre scriviamo uno strumento assimilato ai cookie come il pixel di Facebook/Meta (codice Javascript di tracciamento che permette il monitoraggio onnipervasivo di un utente, oltre che il login) è stato dichiarato illecito dall'autorità di controllo austriaca (DSB) con provv. n. 2022-0.726.643 del 6 marzo 2023. Contra legem per motivi attinenti al trasferimento extra-UE/SEE dei dati personali, non rispettoso delle garanzie necessarie – si badi che però il provvedimento è attinente a fatti e assetti del 2020 (tempo in cui Facebook non aveva ancora adottato le clausole contrattuali standard come base di trasferimento), è dunque da contestualizzare (v.  quanto al DPF). 

Quanto supra è mutato il 10 luglio 2023, data dell'entrata in vigore del Data Privacy Framework (“DPF” – Decisione di adeguatezza C(2023) 4745 della Commissione Europea ) tra Stati Uniti e Unione Europea (a sostituzione del precedente Privacy Shield) e che ha introdotto nuove dinamiche nel campo dei trasferimenti di dati personali. Questo accordo, frutto della nuova valutazione della Commissione Europera del quadro di tutele garantito dagli USA per i dati europei, richiede una rilettura approfondita e dettagliata alla luce delle disposizioni degli articoli 44-45 del GDPR, per cui rimandiamo al relativo commento.

Nell'ambito di questa nuova cornice normativa, il DPF parrebbe aver risolto le problematiche giuridiche viste sopra in ambito di trasferimento dei dati extra-UE, verso operatori statunitensi. Nondimeno indugiano perduranti fattori critici da considerare: (i) la natura volontaria del DPF per gli operatori USA impone di verificare costantemente che questi siano effettivamente iscritti nelle liste online ufficiali (https://www.dataprivacyframework.gov/s/participant-search) per l'intera durata del trattamento dei dati; (ii) l'iscrizione al DPF richiede che i fornitori specifichino i dati e i trattamenti che rientrano sotto la sua egida, un aspetto che necessita di verifica caso per caso; (iii) anche se un fornitore aderisce al DPF, potrebbe avvalersi di sub-fornitori, di contitolari oppure effettuare comunicazioni a terzi in Paesi non ritenuti adeguati, richiedendo un plus di verifica; (iv) i fornitori statunitensi possono auto-certificare la propria aderenza al DPF – eventuali sviluppi successivi potrebbero però invalidare tale dichiarazione, con conseguente rimozione dalla lista online, rendendo necessario un monitoraggio continuativo; (v) sono state annunciate impugnazioni del DPF in varie sedi, tra cui l'organizzazione NOYB guidata da Max Schrems – di conseguenza, occorre valutarne la stabilità e la validità nel tempo; (vi) il DPF non è retroattivo, lasciando possibili illeciti pregressi tuttora accertabili; (vii) alla luce delle incertezze applicative e degli scenari imprevedibili così delineati, è prudente valutare i trasferimenti di dati altresì “al netto” del DPF, secondo le modalità precedentemente descritte e altre basi di trasferimento (clausole contrattuali standard, ecc.).

In conclusione, è imperativo continuare a esercitare un'attenzione scrupolosa e meticolosa nella selezione e qualificazione dei fornitori di cookie e marcatori. Questo processo deve essere condotto con diligenza fin dal censimento iniziale e mantenuto con rigore per tutta la durata del rapporto contrattuale. L'impiego di soluzioni automatizzate e di piattaforme di gestione dei cookie (CMP) potrebbe indurre a una sottovalutazione di questi elementi cruciali. È inoltre degno di nota che frequentemente i fornitori di queste soluzioni non offrano garanzie esplicite in merito a questi aspetti cruciali. Questo rende ancor più essenziale, per gli utilizzatori di tali tecnologie, l'effettuazione di un'analisi meticolosa e un monitoraggio costante.

L'(eterno) ritorno della proposta di Regolamento ePrivacy

È dai tempi del GDPR che le istituzioni europee stanno discutendo il testo di riforma della Direttiva ePrivacy che dovrebbe mutare in Regolamento ePrivacy (proposta COM(2017) 10 final – “ relativa al rispetto della vita privata e alla protezione dei dati personali in formato elettronico comunicazioni e di abrogazione della Direttiva 2002/58/CE ”), armonizzandosi con il GDPR e ricomponendo l'attuale frammentazione tra Stati. Il testo, molto controverso e oggetto di accesa diatriba tra i vari stakeholder, pare non riuscire ad arrivare a una versione finale sufficientemente condivisa. È difficile dire se vi riuscirà mai.

Nell'ultima versione nota (del febbraio 2021), le previsioni del testo sono le seguenti, per quanto di maggiore interesse quanto all'evoluzione rispetto al testo della Direttiva del 2002 sugli strumenti di tracciamento:

a) nonostante le polemiche sulla sua adeguatezza nel contesto digitale, l'uso dei cookie e simili viene sempre rimesso alla base giuridica del consenso – tanto che uno degli argomenti più “bloccanti” l'approvazione politica del testo pare essere l'introduzione della base del legittimo interesse; oltretutto del consenso reso viene imposto ai titolari di inviare promemoria agli utenti (almeno una volta l'anno) sulla possibilità di revocarlo, e lo stesso intervallo vale per poter ri-chiedere il consenso a chi l'ha negato (questa disposizione ha comunque trovato asilo nel testo del Digital Markets Act, su cui vedi infra, per i gatekeeper);

b) d'altro canto si equipara l'uso di impostazioni tecniche appropriate (del browser o altro software) a un consenso, per ovviare alla c.d. consent fatigue (stanchezza dell'utente nel prestare i consensi tramite cookie banner); il software dovrebbe essere configurabile con vari privacy setting possibili, con la difficoltà tuttavia di dover istruire l'utente sui rischi connessi alle varie opzioni;

c) i cookie wall vengono ammessi, qualora offrano alternative senza l'utilizzo di cookie non tecnici (come dovrebbe accadere con i pay wall);

d) si conferma la tutela, oltre che degli interessati, anche delle persone giuridiche, organizzazioni, ecc., le cui informazioni (dati non personali) siano oggetto di trattamento;

e) vi rientrano in oggetto altresì le comunicazioni M2M (cioè tra macchine), tipiche dei dispositivi IoT;

f) sono definiti e inclusi nella tutela i metadati delle comunicazioni elettroniche (cioè i dati trattati in una rete di comunicazione elettronica per trasmettere, distribuire o scambiare il contenuto delle comunicazioni elettroniche, compresi i dati usati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo generati nel contesto della fornitura di servizi di comunicazione elettronica nonché la data, l'ora, la durata e il tipo di comunicazione), a sostituzione della precedente definizione di “dati di traffico”, di grandissima importanza in ambito marcatori;

g) si “importano” i principi di privacy by design e by default, per es. eventuali tracciamenti posti in essere da terzi su un sito web possono essere bloccati by default;

h) vengono adottati i criteri di applicazione extra-territoriale del GDPR, ovvero sui trattamenti dei contenuti delle comunicazioni elettroniche e dei relativi metadati degli utenti finali che si trovano nell'Unione;

i) si adottano sanzioni ricalcate su quelle del GDPR (fino al 4% del fatturato o 20 milioni di euro).

Dovendo trarre un bilancio della situazione attuale, autorevoli commentatori (Spindler – Förster, 33) mettono in evidenza che – nonostante la possibile maggior adesione alle best practice e alle linee guida – la situazione rimarrebbe insoddisfacente. Evidenziano la persistenza di fattori negativi associati all'uso dei cookie banner, come il fenomeno della citata consent fatigue, intrinsecamente legato a questo strumento.

In questo contesto, si profila l'esigenza di una riforma normativa che apra la strada a nuovi metodi di gestione del consenso, quali i sistemi accentrati e fiduciari di condivisione e gestione delle informazioni personali (PIMS – Personal Information Management Systems). Questa evoluzione è auspicabile circa la revisione della proposta di Regolamento ePrivacy e potrebbe aiutare nel dissipare diversi ostacoli interpretativi della normativa attuale; in particolare, quanto alla incerta possibilità di poter delegare a terzi l'esercizio del proprio consenso o della sua revoca (delega ammissibile, invece, per l'esercizio solo dei diritti tipizzati all'art. 80 GDPR) – per approfondire, v. Spindler – Förster, 31. Il consenso risente di un inquadramento civilistico che, generalmente, non gli attribuisce un valore negoziale, bensì una qualifica di atto autorizzativo (v. ex multis la ricostruzione degli orientamenti sul punto in Caggia, 210-211, oltre al commento dell'art. 7 GDPR nel presente volume).

Le normative “parallele”: l'applicazione del Digital Services Act e del Digital Markets Act

La linea guida del Garante (o di altra autorità) sul tema marcatori dovrà coordinarsi con la recente entrata in vigore di due regolamenti europei, ovvero i coevi Digital Services Act (reg. (UE) 2022/2065 – “DSA”) e Digital Markets Act (reg. (UE) 2022/1925 – “DMA”). Gli Acts si integrano nelle riflessioni di cui supra, posto che si intersecano in maniera complessa con discipline come quella del GDPR, di cui non è sempre facile sancire il carattere o meno di lex specialis (v. Bolognini – Pelino – Scialdone, 9 ss.).

In particolare, l'articolo 26.3 e l'articolo 28.2 del DSA (testo diretto a una rinnovata regolazione delle piattaforme che offrono contenuti di terzi al pubblico) stabiliscono importanti restrizioni. Queste includono (Bolognini – Pelino – Scialdone, 11-12) il divieto di utilizzare dati di natura particolare (ex art. 9 GDPR) per finalità di profilazione oppure di offerta di pubblicità profilata mirata ai minori. Tale profilazione si basa spesso sull'uso di cookie o altri marcatori similari, risultando vietata anche a fronte di un consenso. Così come (art. 25) vanno evitati i già citati dark pattern nelle interfacce utente (come possono essere considerate quelle di CMP e banner cookie), in modo tale da non ingannare o manipolare gli utenti o da materialmente falsare o compromettere altrimenti la loro capacità di prendere decisioni libere e informate. Come non può escludersi che i cookie e marcatori rilevino per la valutazione dei rischi sistemici, dovuta dalle piattaforme molto grandi (art. 34), inclusi eventuali effetti negativi circa l'esercizio dei diritti fondamentali (pensiamo ai riflessi sui cookie/pay wall) o altre gravi conseguenze negative per la persona.

Norma destinata a rendere i mercati digitali maggiormente equi e contendibili, a tutela dei consumatori, il DMA è invece una regolazione che prevede come un gatekeeper (impresa che fornisce servizi di piattaforma “di base”, come i social network, con certi requisiti dimensionali) debba sottoporre a audit indipendente le prassi di profilazione attuate (pertanto anche tramite cookie e marcatori) ai sensi dell'art. 15. Ma – soprattutto – all'art. 5.2 prevede un aggravio di obblighi e divieti sul gatekeeper: a) non tratta, ai fini della fornitura di servizi pubblicitari online, i dati personali degli utenti finali che utilizzano servizi di terzi che si avvalgono di servizi di piattaforma di base; b) non combina dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi di piattaforma di base o da eventuali ulteriori servizi forniti dal gatekeeper o con dati personali provenienti da servizi di terzi; c) non utilizza in modo incrociato dati personali provenienti dal pertinente servizio di piattaforma di base in altri servizi forniti separatamente dal gatekeeper, compresi altri servizi di piattaforma di base, e viceversa; d) non fa accedere con registrazione gli utenti finali ad altri servizi del gatekeeper al fine di combinarne i dati personali – tutto ciò (a-d) è però derogabile se sia stata presentata all'utente finale la scelta specifica e quest'ultimo abbia espresso il proprio consenso valido ai sensi del GDPR.

Se l'utente finale ha negato o revocato il consenso prestato, il gatekeeper non può ripetere la sua richiesta di consenso, per la stessa finalità, più di una volta nell'arco di un anno. Però si lascia impregiudicata la possibilità per il gatekeeper di avvalersi di altre, limitate basi giuridiche del GDPR, in alternativa al consenso (obbligo legale, interesse vitale o pubblico) – cfr. Bolognini – Pelino – Scialdone, 316 ss.

Come si può facilmente immaginare, il rispetto di queste disposizioni applicate ai meccanismi di cookie e marcatori è una sfida da tenere in conto ugualmente da parte di soggetti che – pur non rientrando tra i destinatari diretti delle disposizioni del DSA e del DMA – si avvalgano dei relativi servizi, improntati a tali tecnologie.

Un caso recente lo comprova, anche prefigurando l'interplay e il coordinamento tra i vari ambiti normativi per le stesse condotte: la Commissione Europea (comunicazione del luglio 2024, con procedimento aperto nel marzo 2024 - https://ec.europa.eu/commission/presscorner/detail/it/ip_24_3582) ha infatti avviato accertamenti sotto la lente del DMA per il business model “pay-or-consent” sposato da Meta (per cui vedi sopra i profili privacy al punto 6.2 e i paralleli procedimenti a cura delle autorità privacy). Censurabile sarebbe la scelta “binaria” prevista, obbligando di fatto gli utenti ad acconsentire alla combinazione dei loro dati personali, così come non prevederebbe la possibilità di una versione meno personalizzata (con minore “quantità” di dati personali) ma equivalente del servizio social media (tutto ciò in violazione dell'art. 5.2 DMA).