Da alcuni giorni su molti siti web italiani è ricomparso il popup, questa volta più vistoso degli anni precedenti, per esprimere il consenso o l’opposizione all’uso dei cookie, come stabilito dal Garante privacy.
I cookie sono stringhe di testo di piccole dimensioni che i siti visitati inviano sul dispositivo dell’utente per memorizzare alcune informazioni sull’esperienza di navigazione con l’obiettivo di offrire in seguito pubblicità personalizzata. Ecco perché spesso vi ritrovate tra i contenuti pubblicitari l’immagine delle scarpe che pochi secondi prima avete cercato su un sito di eCommerce.
Come mai, improvvisamente, è tornata la moda del popup per il consenso dei cookie? Curiosamente, è nata, perché è stato aggiunto il widget ad hoc in alcuni Content Management System di successo, come WordPress.
Non è detto che stiano sbagliando tutti: un selettore può significare consenso ma potrebbe anche significare opposizione (che un istituto giuridico differente).
Per esempio, se si dà il consenso ai tutti i cookie per il sito del corriere.it i dati andranno a oltre 200 partner. Ma di quali dati parliamo? Ecco il testo del popup sul sito del Corriere della Sera:
“In questo sito noi e i nostri partner facciamo uso di tecnologie quali i cookie per raccogliere ed elaborare dati personali dai dispostitivi (ad esempio l’indirizzo IP), al fine di garantire le funzionalità tecniche, mostrarti pubblicità basata sui tuoi gusti e preferenze, misurarne la performance e per analizzare le informazioni sulle nostre audience. Con il tuo consenso noi e i nostri partner potremo fare uso di tracciamenti precisi dei tuoi dispositivi e della rilevazione della posizione geografica per affinare i servizi e i contenuti, anche pubblicitari, che ti offriamo. Se invece vuoi negare il consenso a uno o più trattamenti o a uno o più partner, puoi modificare le tue preferenze facendo click sul pulsante “Preferenze”. La tua scelta si applica limitatamente a questo sito. Ti informiamo che alcuni trattamenti di dati personali possono non richiedere il tuo consenso perché condotti sulla base di un legittimo interesse del titolare, tuttavia tu puoi opporti alla loro esecuzione agendo sulle tue preferenze. Se vuoi saperne di più, leggi la nostra informativa sui cookie“.
Cookie non soggetti a consenso
Il legittimo interesse è una base giuridica del trattamento di dati personali, alternativa al consenso e ad altre condizioni di liceità. La prevede l’articolo 6 paragrafo 1 lettera f) del GDPR. Esisteva anche prima del GDPR, ci spiega Luca Bolognini, presidente dell’Istituto Italiano per la Privacy (IIP) e la valorizzazione dei dati, ma una volta doveva essere riconosciuto formalmente il legittimo interesse da parte dell’Autorità Garante: mentre dal GDPR in poi, il legittimo interesse se lo può “cucinare in casa” il titolare del trattamento dei dati personali.
Si deve proprio svolgere una valutazione di sussistenza del legittimo interesse (LIA, legitimate interest assessment), continua Bolognini, nella quale si consideri: la liceità dell’attività di trattamento prevista e dei suoi scopi, il fatto che rientri nella ragionevole aspettativa dell’interessato, il fatto che tale attività non comprima sproporzionatamente gli interessi, i diritti e le libertà delle persone. Se la valutazione ha esito positivo, il titolare può utilizzare il legittimo interesse come “pavimento” per farci camminare sopra un trattamento di dati personali, in alternativa al consenso per esempio. Del legittimo interesse deve essere data notizia nell’informativa.
Anche il legittimo interesse è opponibile
Attenzione, però, osserva l’avvocato Bolognini, il legittimo interesse è di regola opponibile: quindi l’interessato deve essere messo in condizione di opporsi (opting out) in ogni momento, ex art. 21.1 GDPR.
Inoltre, il legittimo interesse non è una sufficiente base giuridica se si trattano dati sensibili, cioè dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Per trattare questi tipi di dati, servono altre condizioni di liceità, come il consenso esplicito dell’interessato.
Cookie soggetti al consenso
Quello che non si può certamente fare, sottolinea Bolognini, è basare l’online tracking e la connessa profilazione comportamentale degli utenti sul legittimo interesse: infatti, per svolgere questo tipo di tracciamenti e profilazioni serve il consenso dell’utente interessato, perché si applica la disciplina speciale ePrivacy, e non solo il GDPR.
Da qui il popup dei cookie.
Cosa sono i cookie
I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dll’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, lutente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.
I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, profilazione per scopi pubblicitari, ecc.
I cookie si distinguono in due famiglie:
- Quelli installati dal proprietario o dal responsabile del sito, denominati cookie di prima parte;
- Quelli installati da responsabili estranei al sito, denominati cookie di terza parte.
La responsabilità e gestione dei cookie di prima parte è assunta in modo diretto dal Titolare. La responsabilità e gestione dei cookie di terza parte ricade invece sui rispettivi proprietari e gestori i quali devono offrire adeguati meccanismi di rifiuto nelle proprie informative privacy.
Se qualcuno, conclude Bolognini, basa sul legittimo interesse un analytics con dati disaggregati per fini di profilazione, fa il furbo.
