Cookie di profilazione: cosa sono, a cosa servono e perché bisogna informarsi

La peculiarità della situazione emergenziale che stiamo vivendo ha contribuito ad un aumento esponenziale dell’utilizzo di internet. Piccoli e grandi, esperti e non, ricorrono quotidianamente al world wide web – tramite smartphone, pc e altri dispositivi – per lavoro, per informarsi, fare acquisti, tenersi in contatto con amici e parenti, o più semplicemente per svago.

Social network, piattaforme di vendita online ed altri siti web assumono un ruolo sempre più centrale tanto nella vita dei singoli individui quanto nelle società odierne. Non solo perché forniscono un comodo accesso a servizi di vario contenuto, ma anche per la loro capacità di contribuire alla formazione del pensiero e della volontà dell’utente, indirizzandolo verso scelte più o meno consapevoli, più o meno ponderate: l’acquisto di un prodotto o di un servizio ritenuto essere “in linea con gli interessi dell’utente”, piuttosto che la decisione su se e come votare in vista delle prossime elezioni etc.

Lo scandalo di Cambridge Analytica, a cui faceva seguito l’Opinion 3/2018 on online manipulation and personal data del Garante Europeo della protezione dei dati, denunciava apertamente come ad essere in gioco sono l’integrità stessa della democrazia e l’autodeterminazione del cittadino, il quale rischia di essere trattato come un mero consumatore o utente, invece che come persona titolare di diritti inviolabili.

La recente iniziativa del Garante

Ebbene, è in tale contesto che vanno lette le recenti iniziative di varie autorità nazionali per la protezione dei dati – tra le quali si segnala la redazione da parte del Garante delle Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento, in corso di pubblicazione in Gazzetta Ufficiale  e che saranno oggetto di consultazione pubblica, dunque non ancora definitive – tese sia a fare chiarezza sul corretto utilizzo dei cookie da parte dei gestori di siti web, che a sanzionare comportamenti scorretti in tale ambito.

Determinate tipologie di cookie, infatti, consentono ai gestori di siti web che ne fanno uso, di analizzare dati personali e dati di traffico relativi all’utente, sulla base dei quali poi ricondurlo  all’interno di una più o meno ampia categoria di appartenenza, quindi di proporre allo stesso inserzioni pubblicitarie – nel senso ampio del termine – il cui contenuto è realizzato ad hoc per quella categoria.

Previa individuazione del quadro normativo di riferimento applicabile all’utilizzo dei cookie, di seguito si evidenziano le principali novità introdotte dal Garante tramite le sopra citate Linee guida relativamente a un aspetto che interessa particolarmente l’utente in quanto lo vede parte imprescindibilmente attiva: il consenso all’utilizzo dei c.d. cookie di profilazione. Questione, peraltro, pure affrontata molto di recente dal Comitato europeo per la protezione dei dati che, nelle Linee guida 05/2020 sul consenso ai sensi del Regolamento 2016/679 adottate il 4 maggio 2020 sottolinea la necessità di fornire chiarimenti soprattutto in merito alle diffuse pratiche di acquisire – o si potrebbe dire, “estorcere” – il consenso dell’utente all’utilizzo di cookie mediante meccanismi c.d. di “cookie wall” e “scrolling”.

Cosa sono i cookie quadro normativo di riferimento

Appurato che non hanno nulla a che fare con i biscotti, contrariamente a quanto sembra suggerire la traduzione del termine dall’inglese all’italiano, si definiscono generalmente cookie file di testo che i siti web visitati dall’utente (c.d. “prima parte”) ovvero siti o web server diversi (c.d. “terze parti”) posizionano ed archiviano – direttamente, nel caso delle “prime parti” e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

Prima di individuare le diverse funzioni che possono svolgere i cookie, ed in quali casi il consenso dell’utente rappresenta una condizione di liceità per il loro utilizzo, pare opportuno soffermarsi sul contenuto dell’art. 5. par. 3 della Direttiva 2002/58/CE (“Direttiva ePrivacy”), secondo cui:

“Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE [oggi occorre fare riferimento al Regolamento 2016/679 che ha abrogato detta direttiva], tra l’altro sugli scopi del trattamento.”

La norma prosegue:

“Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio.”.

La Direttiva ePrivacy, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, si pone in un rapporto di specialità rispetto al Regolamento 2016/679 e dunque l’art. 122, comma 1, del decreto legislativo n. 196/2003 (“Codice privacy”), che ha recepito sostanzialmente la norma sopra richiamata, continua a trovare applicazione anche dopo il 25 maggio 2018, data a decorrere dalla quale si applica il Regolamento. Quest’ultimo, a sua volta, al ricorrerne dei presupposti, troverà applicazione alle fattispecie non disciplinate dalla Direttiva ePrivacy. E così troveranno applicazione, tra le altre, le norme del Regolamento che disciplinano il consenso.

Fatte queste doverose premesse, si passa di seguito ad individuare, in base alla funzione che possono svolgere, tre macrocategorie di cookie.

1. Cookie tecnici: utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’utente a erogare tale servizio. Sono dunque quei cookie disciplinati al secondo periodo della norma sopra citata.
2. Cookie analitici, equiparabili ai cookie tecnici al ricorrere di determinate condizioni.
3. Cookie di profilazione: utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Cookie di profilazione e consenso

Ebbene, mentre per l’utilizzo dei cookie tecnici e, al ricorrere di determinate condizioni, dei cookie analitici, non occorre acquisire il consenso dell’utente, per l’utilizzo dei cookie di profilazione sì. Ciò – che è desumibile dalla lettura delle norme sopra citate – è stato da ultimo ribadito e precisato dal Garante nelle già menzionate Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento.

Affinché possano utilizzarsi lecitamente cookie di profilazione, il consenso dovrà rispettare i requisiti di validità prescritti dal Regolamento e pertanto dovrà essere espresso dall’utente:

• liberamente;
• specificamente;
• previa idonea informazione circa il trattamento dei dati (e nel caso di specie circa l’utilizzo dei cookie) svolto a seguito del consenso;
• inequivocabilmente, dunque mediante una dichiarazione o azione positiva inequivocabile e consapevole dell’interessato;
• prima di iniziare il trattamento per il quale è necessario il consenso, dunque prima di posizionare i cookie di profilazione sul dispositivo dell’utente e, una volta espresso, dovrà essere revocabile dall’utente in qualsiasi momento e con la medesima facilità con cui è stato accordato.

Pratiche scorrette

Il Garante ribadisce quanto già affermato dal Comitato europeo per la protezione dei dati, e cioè che non possono portare a una manifestazione lecita di consenso le pratiche c.d. di:

• “cookie wall”, vale a dire quel meccanismo nel quale l’utente venga obbligato ad esprimere il proprio consenso alla ricezione di cookie di profilazione, pena l’impossibilità di accedere al sito;
• “scrolling”, o “scroll down”, ossia l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente la c.d. informativa breve.

È facile intuire come in tali casi difficilmente possano rispettarsi tutti i requisiti sopra elencati.

Allo stesso modo, e per le medesime motivazioni, non dovrebbe ritenersi validamente espresso il consenso mediante comportamenti dell’utente quali il prosieguo della navigazione e il click su un qualsiasi punto della pagina web visitata. Né tantomeno deve ritenersi valido il consenso acquisito mediante casella preselezionata.

Il Garante, inoltre:

• si esprime in senso negativo sulla problematica di reiterazione della richiesta di consenso mediante la presentazione di apposito banner ad ogni nuovo accesso dell’utente al medesimo sito internet;
• chiarisce che “l’azione positiva nella disponibilità dell’utente al momento del primo accesso al sito dovrà comunque essere esclusivamente volta alla manifestazione del consenso (cd. opt-in) e non potrà mai riferirsi invece all’espressione di un diniego (cd. opt-out)”;
• ammette il ricorso a forme che consentano di accettare e/o revocare in un’unica azione le scelte relative ai consensi fatte dall’utente in precedenza.

Conclusioni

In una fase in cui si assiste al proliferare di banner quantomeno “bizzarri” per la raccolta del consenso all’utilizzo di cookie – è comparso addirittura l’utilizzo del “consenso [preselezionato] al legittimo interesse” (!?!?) quale base giuridica di nuova invenzione ritenuta (erroneamente) idonea all’installazione di cookie di profilazione – si auspica che l’iniziativa del Garante possa incentivare i gestori dei siti web a predisporre meccanismi trasparenti e virtuosi di raccolta e utilizzo di dati degli utenti, e per contro scoraggiare l’adozione o la prosecuzione di pratiche non corrette, per non dire in alcuni casi “moleste”, e purtroppo troppo spesso non curanti dei diritti degli individui con riguardo al trattamento dei loro dati personali.

Ma, a prescindere da ciò, la miglior risposta può e deve arrivare dagli utenti stessi. Informarsi, assumere scelte in maniera consapevole e preferire l’utilizzo di siti internet che assicurano un lecito trattamento dei dati raccolti, sono tutte azioni oggi necessarie. Senza dimenticare, peraltro, che generalmente è comunque possibile rimuovere i cookie, anche di terze parti, dal proprio dispositivo oltre che bloccarne il posizionamento.

Concludo riportando un passaggio tratto dal libro “Permanent record” di E. Snowden: “A website that tells you that because you liked this book you might also like books by […] isn’t offering an educated guess as much as a mechanism of subtle coercion.”

Articolo di Giovanni Ferorelli, avvocato, consulente in materia di protezione dei dati personali