di Paolo Musacchio, Avvocato esperto in diritto delle nuove tecnologie e Data Protection Officer

Il Reg. UE 2016/679 (GDPR) ha aggiornato le regole europee in materia di protezione dei dati personali alle innegabili sfide del “digitale”, introducendo un nuovo modello di protezione dei dati personali che trova il suo architrave nei principi di accountability, privacy by design e by default, nonché nella trasparenza del trattamento e nella mitigazione dei rischi che lo stesso trattamento può produrre per le persone. Nel mare magnum di internet, il diritto alla protezione dei dati personali deve essere rafforzato anche mediante un impegno proattivo (anche preventivo) dei titolari del trattamento. Il contributo intende, dunque, analizzare la più recente normativa sui cookie per consentire, senza pretesa di esaustività, ai medesimi titolari, di avere a disposizione un framework di riferimento nello snodo dei vari passaggi utili a rendere compliant il proprio sito web.[En]: EU Reg. 2016/679 (GDPR) has updated the European rules, regarding the protection of personal data, to the undeniable challenges of “digital world”, introducing a new model of personal data protection, that finds its architrave in the principles of accountability, privacy by design and by default, as well as in the transparency of the treatment and in the mitigation of the risks that the same treatment can produce for people. In the mare magnum of the web, the right to the protection of personal data must also be strengthened through a proactive (even preventive) commitment by data controllers. The article, therefore, intends to analyze the most recent legislation on cookies to allow, without claiming to be exhaustive, the same owners, to have a framework at their disposal in the junction of the various steps useful to make their website compliant.

———————————————————————————–

Sommario 1. La normativa applicabile. 1.1 Excursus normativo. 1.2 Il principio di liceità del trattamento dei dati personali e il consenso dell’interessato. 1.3 Altri principi del trattamento. – 2. I cookie. 2.1 Cosa sono i cookie (e il fingerprinting). 2.2 Tipologia. Cookie tecnici. 2.3 Cookie statistici o analitici (analytics). 2.4 Cookie di profilazione. – 3. Per quali cookie è necessario il consenso dell’utente. L’identificabilità. – 4. Modalità di acquisizione del consenso. 4.1 L’applicazione del principio di privacy by default.4.2 Il banner. Contenuti, design, reiterazione della richiesta. 4.3 Caselle “preflaggate”, cookie wall, scrolling, contenuti riservati. 4.4 La conservazione del consenso. – 5. La privacypolicy del sito web. – 6. Conclusioni. – Appendice. Flow-chart

———————————————————————————–

1. La normativa applicabile.

1.1 Excursus normativo.

Il diritto alla privacy,originariamente inteso come diritto alla protezione della sfera privata del cittadino dalle interferenze dello Stato e poi, più in generale, dalle intrusioni altrui, si è progressivamente trasformato, con lo sviluppo tecnologico e l’avvento dell’informatica di massa, in un diritto di controllo e gestione della circolazione delle proprie informazioni[1].

Dal right to be alone teorizzato da Warren e Brandeis nel 1890[2], teso a proteggere la vita privata delle persone, si è passati, oggi, ad individuare, con il termine privacy, un ampio concetto comprendente il diritto alla riservatezza, il diritto all’identità personale e il diritto alla protezione dei dati personali. All’evoluzione concettuale di siffatto diritto, si è accompagnata, in Europa, un’evoluzione giuridica lenta e faticosa che ha portato all’approvazione, dapprima della Convenzione n. 108 (1981)[3], e successivamente della Direttiva 95/46/CE[4], e, nel 2018, all’entrata in vigore della General Data Protection Regulation (GDPR)[5].

Senonché, stavolta il legislatore ha optato per lo strumento del Regolamento, anziché della Direttiva, proprio per avere maggiore uniformità di applicazione in tutti gli Stati membri. È stata adeguata la disciplina al contesto sociale attuale, mediante «norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione» di tali dati (art. 1, par. 1, GDPR). Il par. 2 dell’art. 1 del GDPR chiarisce che si intende proteggere i diritti e le libertà fondamentali delle persone fisiche, mentre il Considerando n. 1 contiene un espresso riferimento all’art. 8 della Carta dei Diritti Fondamentali dell’Unione Europea e all’articolo 16 del Trattato sul Funzionamento dell’Unione Europea, disposizioni importantissime poiché affermano, per ogni persona, il diritto alla protezione dei dati di carattere personale che la riguardano. Inoltre, ribadisce che «la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale».

Il fine ultimo, perseguito dal legislatore europeo del 2016, è quello, dunque, di fortificare i diritti delle persone, conferendo loro un maggiore potere di controllo sui dati che le riguardano. Di conseguenza, la disciplina è innovativa e tende a configurare un modello di protezione dei dati personali che trova il suo architrave nei principi di accountability, privacy by design e by default, nonché nella trasparenza del trattamento e in un risk based approach[6]che lo stesso trattamento può produrre per le persone. Ciò, nelle intenzioni del legislatore, dovrebbe avvenire anche mediante un impegno proattivo (anche preventivo) dei titolari del trattamento[7]. In ultima analisi, il GDPR non abbandona l’approccio essenzialmente «riparatorio» della Direttiva 95/46, ma tenta di completarlo, affiancandovi una tutela preventiva fondata sulla strutturale e dinamica responsabilizzazione della filiera soggettiva coinvolta nel trattamento dei dati personali[8].

Con riferimento, in particolare, ai cookie, occorre preliminarmente precisare che tale termine è un “internazionalismo” che deriva dal magic cookie (biscotto magico), una vecchia tecnica utilizzata in UNIX, negli Anni ‘80, per implementare meccanismi di identificazione di un client presso un server attraverso un piccolo file di dati (tipicamente un token di identificazione), passato da un programma all’altro e rispedito senza modifiche[9]. Oggi, i cookie sono più conosciuti come stringhe di testo che i siti web posizionano e archiviano, mediante il browser, all’interno di un dispositivo dell’utente, con tutte le conseguenze del caso nella protezione dei dati personali. Se, come affermato in dottrina, i dati costituiscono la moneta con cui paghiamo il web[10], si può affermare che alcuni cookie costituiscono uno degli strumenti di pagamento.

Di talché, l’utilizzo dei cookie e degli altri strumenti di tracciamento è stato disciplinato dapprima dalla Direttiva e-Privacy[11]  del 2002, recepita in Italia negli articoli 122 e seguenti del Codice privacy[12]. Tale Direttiva aveva imposto ai titolari del trattamento di dati personali di chiedere agli interessati il consenso per il trattamento per finalità diverse da quelle tecniche. Poiché il Regolamento (UE) 2016/679 (GDPR), «non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione dell’Unione, per quanto riguarda le materie per cui sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE»[13], la Direttiva e-Privacy è lex specialis rispetto al GDPR, e resta valida.

Tuttavia, le novità che ha inteso apportare il legislatore europeo nel 2018, cui si è fatto cenno, hanno riguardato anche i cookie, imponendo delle modifiche alle prassi più diffuse. Ne è derivato che, nel 2019, l’Autorità Garante francese e quella britannica[14] si sono espresse sui cookie, sancendo, da un lato, che lo scorrimento verso il basso (scrolling) o il passaggio attraverso un sito web ovvero un’applicazione non possono più essere considerati una valida espressione di consenso per quanto riguarda l’installazione di cookie, e, dall’altro, che, poiché il consenso deve essere libero, specifico e inequivocabile, derivante, dunque, da una chiara azione positiva dell’utente, i “cookie wall” sono illegittimi, mentre si rende necessario mettere a disposizione dello stesso utente una elencazione esauriente e aggiornata di tutti i cookie del sito web.

Occorre ricordare che, nel Codice Privacy, l’utente è «qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata»[15].

Parimenti, il Garante italiano è recentemente intervenuto[16] sul tema, anche in ossequio alle intercorse Linee guida sul consenso (2020) del Data Protection Board europeo[17], dando ai titolari sei mesi di tempo per conformarsi. Ciò, in attesa del nuovo Regolamento UE sulle comunicazioni elettroniche[18] che avrà piena applicabilità, verosimilmente, nel 2025, e che conterrà disposizioni in materia di cookie, di direct marketing e di soft spam[19].

1.2 Il principio di liceità del trattamento dei dati personali e il consenso dell’interessato.

Il GDPR ha sancito il principio cardine della «liceità del trattamento» dei dati personali e, dunque, elencato, nell’art. 6, le basi giuridiche su cui può essere fondato il trattamento. Tali basi giuridiche, alternative tra loro, sono: il consenso dell’interessato, l’esecuzione di un contratto (o misure precontrattuali) di cui l’interessato è parte, l’adempimento di un obbligo legale del titolare del trattamento[20], la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, l’attuazione di un compito di interesse pubblico, il perseguimento del legittimo interesse del titolare del trattamento o di terzi, sempreché, su quest’ultima base giuridica, non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati, in particolare se l’interessato è un minore. Occorre aggiungere che la base giuridica del legittimo interesse, poiché sottesa ad una situazione giuridica definita, può essere utilizzata soltanto all’esito di una valutazione in ordine al bilanciamento degli interessi coinvolti a cura del titolare, chiamato, dalla normativa richiamata, a valutare autonomamente la sussistenza di un interesse suo, o di terzi, a condizione che non prevalgano i diritti degli interessati[21].

Con riferimento, in particolare, alla base giuridica del consenso, è opportuno rammentare, anzitutto, che, qualora il trattamento sia basato sul consenso, il titolare del trattamento, ai sensi dell’art. 7, par. 1, GDPR, deve essere in grado di dimostrare che l’interessato abbia prestato il proprio consenso al trattamento dei propri dati personali. Ciò implica la conservazione di un registro dei consensi da parte del titolare del trattamento.

Rileva anche il principio di «granularità» del consenso. Infatti, l’art. 7, par. 2, GDPR, stabilisce che laddove il consenso dell’interessato sia prestato «nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro»[22]. Deve, insomma, essere possibile esprimere un consenso separato a distinti trattamenti di dati personali.

Ancora, ai sensi del par. 3 dell’art. 7, GDPR, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento e con la stessa facilità con cui era stato accordato. Inoltre, il par. 4 della stessa norma stabilisce che, nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto. Ne deriva che la manifestazione di volontà dell’interessato deve dunque essere non soltanto essere libera, specifica, documentata e informata, ma anche inequivocabile. Si presume, infatti, che il consenso non sia stato liberamente espresso se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione (Considerando 43)[23].

1.3 Altri principi del trattamento.

Il principio di accountability, enunciato agli artt. 5 e 24, GDPR, si sostanzia nella responsabilizzazione del titolare del trattamento, affinché quest’ultimo “sia in grado” (to be able to) di “rendicontare” (to account) il rispetto dei principi della normativa rilevante in materia, imponendo, allo stesso, l’adozione di misure tecniche e organizzative adeguate per reservare i dati personali. Diretta derivazione dell’accountability è la protezione dei dati fin dalla progettazione (by design) e la protezione per impostazione predefinita (by default), principi enunciati nell’art. 25, GDPR. Affinché possa operare al meglio, infatti, la protezione dei dati deve essere integrata nell’intero ciclo di vita di una tecnologia, di un servizio o di un processo, sin dalla relativa progettazione[24]. D’altronde, la scelta di campo netta, del legislatore europeo, in merito al soggetto cui addebitare «l’intera responsabilità (intesa nel duplice senso di responsabilità giuridica e di connesso vincolo alla cura “amministrativa” e organizzativa) della gestione della composita filiera del trattamento dei dati personali», è caduta sul titolare del trattamento, definito, felicemente, in dottrina come «il protagonista ed anche il pivot della nuova architettura giuridica europea»[25].

Infine, è opportuno fare cenno ai principi di correttezza e trasparenza del trattamento, che si instaurano tra titolare e interessato (nel nostro caso l’utente del sito web). Per “correttezza” si intende rispetto di norme etiche, deontologiche non “codificate”, ovvero osservanza di accorgimenti per rendere equilibrate le singole posizioni adeguando il trattamento alle esigenze reciproche, oltre lo stretto dato normativo[26]. In sostanza, non devono essere svolte operazioni di trattamento segrete o i cui rischi non sono chiari all’interessato.

De jure condito, un trattamento “trasparente”, invece, garantisce la consapevolezza dell’interessato, il quale deve avere il controllo dei suoi dati, specialmente in relazione ai servizi di internet. Ciò significa anche agevolare la disclosure dei trattamenti[27] e l’esercizio dei diritti dell’interessato, quali il diritto di accesso, di rettifica, di cancellazione (oblìo), di portabilità dei dati, di revoca del consenso, ecc. Inoltre, la finalità del trattamento dei dati personali deve essere conosciuta dall’interessato al momento della raccolta dei dati[28], così come, nello stesso momento, l’interessato deve ricevere l’informativa ai sensi degli artt. 12, 13 e 14 del GDPR. Il più importante diritto riconosciuto all’interessato è, difatti, quello all’informazione in ordine alla raccolta dei dati personali che lo riguardano, compresi i rischi, i diritti e le garanzie. Il legislatore europeo dispone, apertis verbis, che l’informativa debba essere rilasciata in forma concisa, trasparente, intelligibile per l’interessato, facilmente accessibile, mediante un linguaggio chiaro e semplice, e secondo formule di garanzia per i soggetti di minore età[29].

2. I cookie.

2.1 Cosa sono i cookie (e il fingerprinting).

I cookie sono stringhe di testo che un sito web (cd. “prima parte”) visitato dall’utente ovvero altri siti o web server (cd. “terze parti”, ad es. Google) posizionano e archiviano all’interno di un dispositivo (smartphone, pc, tablet, dispositivi IoT, ecc.) nella disponibilità dell’utente (cd. identificatori “attivi”).

In base alla loro durata, i cookie possono essere “di sessione”, ossia salvati temporaneamente, soltanto durante la sessione di navigazione, e cancellati, alla chiusura del browser, dal dispositivo dell’utente, o “persistenti”, salvati sul dispositivo e non cancellati alla chiusura del browser.

Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa (c.d. identificatori “passivi”), consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei cookie[30]. Non essendo memorizzati nel dispositivo, l’utente non ha la possibilità di rimuovere gli strumenti di tracciamento ‘passivi’ e, pertanto, sfuggono al suo controllo. È il caso del device fingerprinting, un tipo di tracciamento online molto più invasivo dei comuni metodi di tracciamento basati sui cookie. L’impronta digitale (fingerprint) viene prodotta quando un’azienda che gestisce un sito web crea un profilo unico dell’utente, per poterlo “seguire” online, basato sull’hardware, il software, i componenti aggiuntivi, le estensioni, i temi e altre preferenze del computer[31] o di altri dispositivi quali console per videogiochi, smart tv, lettori di libri elettronici, web radio, smartwatch e sistemi per autoveicoli.

Come osservato in dottrina, il fingerprinting, metodo usato per anni dai gestori di servizi on line per aggirare la Direttiva e-Privacy,presenta gravi problemi connessi alla protezione dati[32], tanto che il WP 29, nel 2014, è intervenuto con un Parere ad hoc, in cui ha affermato che, per il loro utilizzo, è necessario il consenso dell’utente, proprio come per i cookie[33], al netto dei casi di esenzione previsti dall’art. 122 del Codice privacy.

2.2 Tipologia. Cookie ed altri identificatori tecnici.

Il Codice privacy, all’art. 122, c. 1, stabilisce che l’archiviazione tecnica o l’accesso alle informazioni già archiviate sono ammessi «se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio».

Si tratta dei cookie cd. tecnici, che devono essere indicati nell’informativa, ma per i quali non è richiesto il consenso dell’utente. Tali cookie garantiscono la normale navigazione e fruizione del sito web, il miglioramento dei servizi offerti, ricordano la scelta dell’utente nella chiusura del banner oppure permettono di gestire l’autenticazione di un utente nella sua area riservata. I cookie tecnici, costituiti generalmente da numeri generati a caso, possono essere utilizzati, infatti, anche per memorizzare di informazioni specifiche sugli utenti, al fine di rendere migliore la navigazione (si pensi all’e-commerce).

2.3 Cookie statistici o analitici (analytics).

In una seconda categoria di cookie possono essere annoverati quelli utilizzati dai gestori dei siti web (publisher) «tra l’altro, per valutare l’efficacia di un servizio della società dell’informazione fornito da un publisher, per la progettazione di un sito web o per contribuire a misurarne il “traffico”, cioè il numero di visitatori anche eventualmente ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche»[34]. Tali cookie sono spesso offerti dal servizio di analisi web Google Analytics (gat, _ga, _gid). Secondo le policies fornite da Google, la libreria JavaScript ga.js usa cookie per: determinare quale dominio misurare, distinguere gli utenti unici, limitare il tasso di richiesta, ricordare il numero e l’ora delle visite precedenti, ricordare le informazioni sulla sorgente di traffico, determinare l’inizio e la fine di una sessione, ricordare il valore delle variabili personalizzate a livello di visitatore[35].

Inoltre, vengono impostati da gtag.js e analytics.js i seguenti cookie:

I clienti di Google Analytics che hanno attivato analytics.js o gtag.js «possono decidere se utilizzare o meno i cookie per memorizzare un identificatore cliente casuale o pseudonimo. Se il cliente decide di impostarlo, le informazioni memorizzate nel cookie originale locale vengono ridotte a un numero identificativo casuale (ad es. 12345.67890)»[36].

Poiché i cookie analytics nascono come ausilio per progettare i siti web e per valutarne l’efficacia, il Garante ha più volte raccomandato che siano usati soltanto a fini statistici. Difatti, il rischio è che i cookie analitici di terze parti, combinati con informazioni raccolte da altri siti o dispositivi usati dallo stesso utente, possano consentire la sua identificazione. Ne deriva che, per l’individuazione della base giuridica del trattamento dei cookie analitici, è necessario distinguere tra cookie di prima parte, assimilabili a quelli tecnici, e cookie di terze parti, assimilabili ai cookie tecnici soltanto qualora i dati vengano «anonimizzati», intendendosi, per anonimizzazione, l’operazione che impedisce o non consente più l’identificazione dell’interessato[37]. L’anonimizzazione è, dunque, una de-identificazione irreversibile[38], a differenza della pseudonimizzazione, definita nell’art. 4, par. 5, GDPR, come un trattamento dei dati personali in modo tale che tali dati non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive. In altre parole, alcuni identificatori vengono sostituiti con degli pseudonimi (token), cioè dati realistici, ma non veritieri. Si tratta di un processo reversibile, che, dunque, rappresenta una efficace misura di sicurezza[39], in special modo per categorie «particolari» di dati[40], ma non fa venir meno gli obblighi del GDPR.

2.4 Cookie di profilazione.

Quando i cookie statistici (o analitici) non hanno una funzione tecnica stricto sensu, ma di marketing oppure di behavioral advertising, possono creare un profilo (cluster) relativo alle preferenze manifestate dall’utente nella navigazione, rientrando così nella categoria dei cookie «di profilazione». Come affermato dal Garante, mediante tali cookie, possono essere ricondotte a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete[41]. Si pensi ai cookie di Doubleclick, Facebook, Criteo, ecc.

In questa prospettiva, i cookie di profilazione possono classificare le abitudini di una persona nella consultazione del web e, di conseguenza, le sue abitudini come cittadino e come consumatore (di cosa si ciba, quali libri legge, quale musica ascolta, che lavoro svolge, quanto viaggia, quanta attività sportiva svolge, quali medicinali acquista, quali sono i suoi gusti sessuali, quali idee porta avanti, quale fede professa, ecc.).

Se, nel mondo digitale della «datasfera[42]», «noi siamo i nostri dati»[43], e «diventa sempre più arduo non lasciar tracce, o cancellare quelle che indicano quali sentieri abbiamo percorso»[44], è giusto che il legislatore regolamenti sia l’uso dei cookie sia dei cd. dei «transactional data», ossia le «informazioni generate dal fatto stesso che tra determinati soggetti si è prodotta una relazione contrattuale che consente al venditore o al fornitore di servizi di acquisire automaticamente una serie di informazioni sull’utente, e che riguardano la sua identificazione, i tempi e i luoghi di utilizzazione del servizio, le sue scelte (e quindi i suoi gusti), le modalità di pagamento preferite, e così via»[45].

3. Per quali cookie è necessario il consenso dell’utente. L’identificabilità.

L’utilizzo dei cookie tecnici, che, non richiede la raccolta del consenso degli interessati. Per tutti gli altri tipi di cookie, è necessaria una valutazione del caso concreto, che riguarda sia la loro origine e funzione sia la loro predisposizione ad essere anonimi o meno, cioè se consentono l’identificazione dell’utente.

Tale caratteristica è certamente propria dei cookie di profilazione, per i quali, infatti, il Garante, alla luce dell’art. 122 del Codice Privacy[46], ha affermato a chiare lettere la necessità di raccogliere il consenso dell’utente, considerato che non sono applicabili altre basi giuridiche, quali, ad esempio, il legittimo interesse (prassi molto diffusa sul web, come rilevato dall’Autorità nel corso delle sue verifiche[47]), che presuppone, invece, una stretta relazione tra titolare e soggetto interessato.

Con riferimento, invece, ai cookie statistici o analitici (analytics), nel 2014 il Garante privacy aveva ricompreso tale tipo di cookie nella categoria di quelli tecnici, dunque non era sempre necessario acquisire il consenso dell’interessato, ma l’entrata in vigore del GDPR ha imposto «un ripensamento critico delle condizioni identificate allora, nonché una più specifica definizione delle misure oggi idonee all’applicazione della richiamata esenzione»[48], al fine di individuare soluzioni di maggior tutela dell’interessato attraverso «misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie statistici (o analitici), qualora il loro utilizzo avvenga ad opera di “terze parti”».

In sostanza, ad avviso del Garante, i cookie statistici (o analitici) sono equiparati ai cookie di profilazione, dunque, possono essere installati sul dispositivo dell’utente soltanto dopo aver acquisito il suo consenso, salvo che alcune caratteristiche o condizioni degli stessi cookie possano farli rientrare nella categoria dei cookie tecnici. Tali condizioni sono le seguenti:

– i cookie vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;

– viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP[49]; deve, in altre parole, essere preclusa la possibilità di diretta e univoca individuazione dell’interessato (cd. single out) e, di regola, questo effetto si ottiene «mascherando opportune porzioni dell’indirizzo IP all’interno del cookie»[50];

– le terze parti si astengono dal combinare i cookie analitici, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi. È consentita, a terze parti, la produzione di statistiche con dati relativi a più domini, siti web o app riconducibili allo stesso publisher o gruppo imprenditoriale. Il titolare che effettui in proprio la mera elaborazione statistica dei dati relativi a più domini, siti web o app ad esso riconducibili, può utilizzare i dati in chiaro, nel rispetto del vincolo di finalità[51].

Con riferimento all’indirizzo IP, occorre precisare che esso oggi è pacificamente considerato un «identificativo online», anche perché tale tipo di dato è stato annoverato, con il GDPR, nell’ampio perimetro della definizione di «dato personale»[52], che si estende «all’insieme di informazioni relative ad una persona fisica, avendo riguardo per gli identificativi prodotti da dispositivi on line (indirizzo IP, cookies, ecc.) o di quei dati che, nonostante la pseudonimizzazione, possono essere oggetto di combinazione con ulteriori informazioni in modo da rendere possibile, direttamente o indirettamente, l’identificazione dell’interessato»[53]. Si tratta, come osservato in dottrina, della qualificazione del concetto di dato personale al tempo del “rischio digitale” insito nella società dei dati[54].

In tal senso, giova ricordare la sentenza della Corte di Giustizia Ue nella causa Breyer contro Bundesrepublik Deutschland[55], i cui siti internet registravano e conservavano gli IP dinamici al fine di contrastare attacchi informatici e avviare procedimenti penali, ove necessario. Solo il fornitore di accesso a Internet utilizzato da Breyer conteneva le informazioni aggiuntive necessarie per identificarlo. Secondo la Corte, «non si richiede che tutte le informazioni che consentono di identificare la persona interessata debbano essere in possesso di una sola persona» affinché un dato possa essere qualificato come dato personale. Qualora il fornitore «disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone», dunque, ciò costituisce «un mezzo che può essere ragionevolmente utilizzato per identificare la persona interessata».

A corollario di ciò, occorre segnalare che, nell’ambito del diritto del Consiglio d’Europa, una persona non è considerata «identificabile» se la sua identificazione richiede tempi, sforzi o risorse irragionevoli[56].

4. Modalità di acquisizione del consenso.

4.1 L’applicazione del principio di privacy by default.

Come accennato, il principio di privacy by design e by default[57] di cui all’art. 25, comma 2, GDPR, impone che la tutela dei dati personali sia anticipata ad un momento anteriore al trattamento dei dati e preveda un impegno attivo del titolare, in particolare quando si tratti di società di telecomunicazione, fin dalla progettazione dei prodotti e servizi il cui utilizzo incida sui dati degli utenti[58], e sino alla conclusione – fase, come noto, delicatissima – dello stesso trattamento. In tale prospettiva, il principio della protezione dei dati personali by default, appare principalmente una specificazione del principio generale di minimizzazione dei dati[59]. Di tal guisa, il titolare deve essere in grado di determinare puntualmente i caratteri del trattamento, operazione, questa, non sempre agevole nella società digitale, se non di difficile realizzazione pratica[60].

Con riferimento ai cookie, le applicazioni più consone del principio in analisi fanno sì che il titolare garantisca che, per impostazione predefinita (by default), al momento del primo accesso al sito web, nessun cookie, diverso da quelli tecnici, venga memorizzato nel dispositivo del visitatore, né siano utilizzate altre tecniche di tracciamento. In sostanza, l’uso di informazioni per l’accesso al sito deve essere limitato, in un primo momento, al minimo indispensabile, così da consentirne la fruizione. Successivamente, il visitatore potrà acconsentire ad un trattamento più profondo dei propri dati personali, o, quantitativamente, allargato ad un più ampio spettro. In tale contesto, il “minimo indispensabile” sembra essere limitato a ciò che sia utile per il funzionamento del sito web, ossia i soli cookie tecnici e, al più, quelli statistici (o analitici) di prima parte.

A tal proposito, occorre ricordare anche la regolamentazione dei plug-in, ossia quei software non originari di un particolare pacchetto applicativo, ma scritti per esservi inserita quale aggiunta per introdurre nuove funzionalità o migliorare il software originale. Il plug-in viene utilizzato in tutti quei casi in cui il software ospite è molto diffuso e quindi richiede flessibilità d’uso, come nelle applicazioni web (per es. Firefox)[61], allo scopo di aggiungere funzionalità al sito web.

Qualora su un sito siano presenti dei pulsanti che riportano icone di reti sociali quali Facebook, Twitter, Instagram, LinkedIn, ecc., quali, a titolo esemplificativo, i plug-in di WordPress Share Buttons, il titolare del trattamento è tenuto, se tali pulsanti comportano l’installazione di cookie di terze parti sul dispositivo dell’utente, alla raccolta del consenso[62], poiché tali pulsanti potrebbero rilevare se l’utente è loggato nei vari social network e dunque rilevarne il nickname. Non è così quando i pulsanti, invece, costituiscono dei semplici link che indirizzano verso i siti delle reti sociali. Nella sentenza Fashion ID GmbH & Co. KG[63], la Corte di Giustizia ha affermato che, poiché il gestore del sito, incorporando il plug-in, determina i mezzi del trattamento, deve essere considerato, insieme al fornitore del plug-in social, «contitolare» del trattamento rispetto alle operazioni di raccolta e trasmissione dei dati personali dei visitatori del sito tramite il plug-in[64].

4.2 Il banner. Contenuti, design, reiterazione della richiesta.

Il banner è un’immagine a comparsa immediata (pop-up) che appare al visitatore di un sito web. Nasce per scopi pubblicitari, tuttavia, laddove appare al primo accesso al sito web, è utilizzato per motivi informativi, contenendo, appunto, una policy con informazioni riguardanti i dati personali e, in certi casi, la richiesta del consenso dell’utente ad alcuni trattamenti, quali l’installazione di cookie non tecnici o comunque non anonimi.

Il banner informa l’utente circa il fatto che il sito web installa sul dispositivo cookie tecnici e cookie statistici (o analitici) o di profilazione, di prima o di terza parte, con relativo flag per acconsentire a ciò, nonché l’indicazione che l’utente può sempre manifestare la volontà di rinunciare ad essere profilato. Il banner contiene anche una brevissima informativa e un link ad una informativa estesa. Quest’ultima dovrebbe avere tutti i crismi dell’art. 13, GDPR, dunque riportare, oltre agli elementi richiesti da tale norma[65], compresi i diritti degli interessati, una tabella analitica contenente l’elenco dei cookie installati dal sito, le loro caratteristiche e finalità, i destinatari e i loro dati di contatto, i tempi di conservazione di ogni singolo cookie.

Secondo le Linee Guida del Garante privacy, l’informativa sui cookie deve essere: «resa con linguaggio semplice ed accessibile; fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari; anche in modalità multilayer e multichannel; se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale; se si trattano anche altri cookie e altri identificatori “non tecnici”, si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:

a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);

b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti degli interessati;

c) l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

In particolare, ai fini dell’acquisizione del consenso, il banner deve contenere:

d) il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;

e) un comando per accettare tutti i cookie o altre tecniche di tracciamento;

f) il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento. Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio»[66].

            Ancora, il Garante specifica che non può essere reiterata la richiesta del consenso in presenza di una precedente mancata prestazione dello stesso, tranne se mutano significativamente le condizioni del trattamento oppure se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo; se sono trascorsi almeno sei mesi dalla precedente presentazione del banner. Ciò, al fine di diminuire i casi di cookie consent fatigue[67], ossia di sovraccarico da richieste di consensi.

Con riferimento agli utenti autenticati, cioè quelli che hanno registrato un account sul sito web, è vietato l’incrocio dei dati relativi alla navigazione effettuata tramite uso di più dispositivi se non previo consenso (ovviamente informato) degli stessi utenti[68]. A tale categoria di utenti, per i trattamenti relativi a profilazione, marketing, ecc. si dovrebbe chiedere il consenso all’atto della registrazione dell’account.

Di talché, in un’ottica di correttezza e trasparenza, è rilevante anche il design del banner. I comandi “accetta” e “rifiuta”, ad esempio, devono avere le stesse dimensioni, enfasi, colori, e lo stesso carattere. Inoltre, l’utente non può essere costretto a visitare altre pagine del sito web per rifiutare il consenso, dunque, fino alla scelta, il banner deve essere visibile. By default, il publisher dovrebbe garantire all’utente la possibilità di prestare il consenso per determinati tipi di cookie, con l’inserimento di uno o più fornitori nelle “white-list” del proprio browser. Oltre agli aspetti richiamati, va precisato che le dimensioni del banner devono essere tali da costituire una «percettibile discontinuità nella fruizione dei contenuti», evitando il rischio che l’utente possa fare ricorso a comandi in modo inconsapevole (ad esempio, cliccando per sbaglio sulla “X” di chiusura). Ne deriva che, da un lato, le dimensioni del banner devono essere predisposte per i diversi dispositivi utilizzabili per navigare; dall’altro, la chiusura del banner mediante un click sulla “X” dovrà impedirne la riproposizione per un periodo di almeno sei mesi, anche al fine di ridurre l’invasività delle richieste[69]. La ripresentazione del banner, ad ogni nuovo accesso, agli utenti che l’abbiano già negato, non trova, secondo il Garante, ragione negli obblighi di legge, pertanto, la scelta dell’utente deve essere registrata e non più sollecitata.

Il Garante ha, tuttavia, specificato che la richiesta, all’utente, del consenso può essere reiterata qualora mutino significativamente le condizioni del trattamento, poiché il banner assolve, in tali casi, ad una finalità specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le terze parti. La richiesta è reiterabile, altresì, se è impossibile, per il publisher, sapere se un cookie sia stato già memorizzato nel dispositivo, si pensi ai casi di cancellazione, da parte dell’utente, di cookie legittimamente installati. Con riferimento, invece, ai consensi raccolti in precedenza, gli stessi restano validi se conformi al GDPR e se sono documentabili.

4.3 Caselle “preflaggate”, cookie wall, scrolling, contenuti riservati.

In generale, a tenore del GDPR, il consenso dovrebbe essere espresso «mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano»[70]. Qualora il consenso venga espresso mediante la selezione di un’apposita casella in un sito web, non dovrebbe configurare consenso «l’inattività o la preselezione di caselle», pertanto risulta non lecito il posizionamento, nel banner relativo al consenso, di caselle “preflaggate”, come, d’altronde, espressamente ribadito dalle Linee Guida del Board europeo, laddove affermano che «pre-ticked opt-in boxes is invalid under GDPR»[71]. Di notevole importanza sono stati, in tal senso, due recenti arresti giurisprudenziali della Corte di Giustizia dell’Unione europea. Secondo i giudici di Lussemburgo, poiché l’obiettivo della normativa europea è quello di tutelare l’utente da ingerenze nella sua vita privata e, in particolare, dal rischio di inconsapevoli introduzioni nell’apparecchiatura terminale, il consenso che l’utente di un sito web deve prestare ai fini dell’installazione di cookie sul suo dispositivo, non può ritenersi validamente espresso nell’ipotesi in cui compaia una casella di spunta preselezionata[72].

Ciò evidenziato, si aggiunga che, «ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio»[73]. Ne consegue, come ribadito dall’Autorità Garante[74], la non conformità del sito alla normativa de qua, qualora contenga un cookie wall che subordini l’accesso al sito, da parte dell’utente, all’espressione del consenso, salva l’ipotesi nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori. La chiusura del banner da parte dell’utente, senza aver operato una scelta, può, dunque, equivalere soltanto ad un suo rifiuto del consenso all’installazione dei cookie.

Ancora, il Garante ha evidenziato come il semplice spostamento in basso del cursore da parte dell’utente del sito (scroll down) non rappresenta una idonea manifestazione del consenso se non sussiste una vera consapevolezza dell’utente. In altre parole, allo stesso utente, deve risultare chiaro l’effetto della propria azione di scrolling, salvo che «venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento». 

Infine, non sono accettabili eventuali condotte discriminatorie dei publisher, quale, ad esempio, l’implementazione di contenuti riservati ai soli utenti che acconsentono alla profilazione.

4.4 La conservazione del consenso.

La manifestazione di volontà dell’interessato deve altresì essere documentata. Ai sensi del GDPR, infatti, «per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene»[75]. Ciò deve indurre i titolari del trattamento a implementare procedure che consentano di conservare la documentazione relativa alla raccolta del consenso, anche qualora l’implementazione e la gestione del sito web (e dunque, la lettura dei cookie) vengano affidate ad altri soggetti, opportunamente nominati responsabile del trattamento ai sensi dell’art. 28, GDPR[76]. Peraltro, con riferimento all’individuazione delle responsabilità del trattamento dei dati personali mediante cookie, in alcuni casi particolari, i titolari devono fare opportune valutazioni sulla possibilità (rectius: necessità) di procedere ad accordi di contitolarità ai sensi dell’art. 26 del GDPR[77].

5. La privacy policy del sito web.

Giova operare una distinzione tra la cookie policy e la privacy policy del sito web. Sebbene entrambe contribuiscano ad assolvere ai summentovati principi di correttezza e trasparenza del trattamento[78], tuttavia, mentre la cookie policy consente al publisher di rendere edotto l’utente su quali file vengono installati sul suo dispositivo e, ove necessario, raccogliere il suo consenso, la privacy policy del sito costituisce la realizzazione del più ampio obbligo informativo del titolare. Ai sensi dell’articolo 12, GDPR, infatti, il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni riguardanti il trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Ciò evidenziato, appare necessario che il titolare del trattamento dia attuazione all’art. 13, par. 1, del GDPR (e non più all’art. 13 del D.lgs. n. 196/2003, disposizione abrogata con il D.lgs. n. 101/2018), che, rendendo operativo il principio di trasparenza, impone di dare alcune informazioni all’interessato, quali l’identità e i dati di contatto del titolare e, ove applicabile, del suo rappresentante; i dati di contatto del responsabile della protezione dei dati, ove applicabile; le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale. In aggiunta a tali informazioni, il titolare, per garantire un trattamento corretto e trasparente, fornisce all’interessato anche il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo, nonché un’elencazione dei diritti riconosciuti dagli articoli 15-22 del Regolamento europeo[79].

Sulla scorta di quanto sin qui rappresentato, chiunque voglia pubblicare dei siti web è tenuto ad approntare, preventivamente, una privacy policy che contenga tutti gli elementi cui si è fatto cenno, nonché le cookie policy come configurate dal Garante nelle sue più recenti Linee Guida.

6. Conclusioni.

Si è cercato di esaminare un argomento tecnico, come quello dei cookie, dal punto di vista giuridico, senza pretesa di esaustività, allo scopo di fornire ai titolari un framework di riferimento nei vari passaggi utili a rendere compliant il proprio sito web. Il Regolamento e-Privacy, che, come anticipato, avrà piena operatività tra qualche anno, ad oggi[80] proibisce «l’uso delle capacità di trattamento e conservazione dell’apparecchiatura terminale e la raccolta di informazioni dall’apparecchiatura terminale degli utenti finali, comprese informazioni relative ai programmi e i componenti, da parte di una parte diversa dall’utente finale» eccetto per i seguenti motivi: se necessario al solo fine di effettuare la trasmissione di una comunicazione elettronica su una rete di comunicazione elettronica; se l’utente finale ha prestato il suo consenso; se necessario per erogare un servizio della società dell’informazione richiesto dall’utente finale; se necessario per misurare il pubblico del web, purché tale misurazione sia effettuata dal fornitore del servizio della società dell’informazione richiesto dall’utente finale».

Senonché, in attesa degli sviluppi nella disciplina de qua, che dovrà anche occuparsi dei problemi ancora aperti, quali il fingerprinting, il facebook pixel, nonché della necessità di arrivare ad una codifica universalmente accettata tale da consentire una distinzione oggettiva dei vari tipi di cookie, il combinato disposto del GDPR e delle Linee Guida del Garante non lasciano grandi “vuoti”. Appare chiaro come, nel bilanciamento degli interessi in gioco, sia il consenso degli utenti, e, più in generale, i diritti degli interessati, ad avere un peso maggiore di qualsivoglia interesse economico sotteso al trattamento dei dati relativi alle abitudini delle persone che navigano, poiché, come osservato in dottrina, i dati personali costituiscono al tempo stesso la risorsa sulla quale si basa l’economia digitale e l’oggetto del diritto alla protezione dei dati personali[81], riconosciuto dall’art. 8 della Carta dei diritti fondamentali dell’Ue, laddove afferma che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano e che tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base a un fondamento legittimo previsto dalla legge.

Non si può tacere, infine, che l’apparato sanzionatorio del GDPR, per la violazione delle norme inerenti i principi di base del trattamento, comprese le condizioni relative al consenso, prevede sanzioni amministrative pecuniarie fino a venti milioni di Euro, o per le imprese, fino al quattro percento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore[82]. In questo quadro normativo, per attuare i principi del GDPR e per evitare di incorrere in sanzioni, è necessario che i publisher si affidino agli informatici di fiducia e ai consulenti privacy o ai propri Responsabili Protezione Dati (Data Protection Officer, DPO), ove nominati. Tale figura professionale, ai sensi dell’art. 37 del GDPR, è obbligatoria per i soggetti pubblici e, in alcuni casi, anche per i soggetti privati, essendo preposta, inter alia, a sorvegliare l’osservanza della normativa da parte del titolare del trattamento e ad informarlo sui relativi obblighi. È stato giustamente affermato che in futuro, tale figura, «nata in laboratorio», potrà essere «volano dell’attuazione di un diritto alla privacy vissuto, concreto, reale, vicino alle persone, all’amministrazione e ai mercati»[83]. Molto dipenderà dalle capacità dei DPO ma, anche, dalla volontà dei titolari del trattamento di dar loro ascolto.

Più in generale, se «la percezione delle regole sulla protezione dei dati personali come un appesantimento burocratico»[84] ha, finora, potuto condizionare la loro applicazione, è importante anche affermare che, a fronte dei costi da sostenere per l’adeguamento alla normativa, i titolari avranno, come contropartita, oltre a un sicuro “ritorno” in termini di “immagine” presso il pubblico dei siti web aziendali o istituzionali, anche una “fotografia” fedele dei trattamenti dei dati in essere, nonché una più chiara definizione dei processi, e, dunque, delle responsabilità, anche di terze parti.

Appendice

Flow-chart

Questo diagramma è soltanto uno strumento indicativo che può fungere da ausilio per i titolari o i creatori di siti web al fine di stabilire se, in presenza di cookie, sia necessaria o meno la raccolta del consenso dell’utente, che andrà comunque verificata caso per caso.

 

*I cookie sono anonimi quando alcune caratteristiche o condizioni degli stessi cookie possano farli rientrare nella categoria dei cookie tecnici (v. Supra, par. 3). Tali condizioni sono le seguenti:

– i cookie vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;

– viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;

– le terze parti si astengono dal combinare i cookie analitici, così minimizzati, con altre elaborazioni o dal trasmetterli ad ulteriori terzi.

[1] S. RODOTÀ, Tecnologie e diritti, Il Mulino, collana Saggi, Bologna, 1995, p. 122

[2] S.D. WARREN, L.D. BRANDEIS, The right to privacy, in Harvard law review, n. 5, 1890, p. 193 ss.

[3] CONSIGLIO D’EUROPA, Convenzione n. 108/1981 per la protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale, al fine di regolamentare i flussi transnazionali dei dati e assecondare l’esigenza di tutela dei diritti degli individui dai pericoli e dagli abusi nell’ambito dei nuovi mezzi di comunicazione.

[4] Direttiva 95/46/CE 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, considerata la “direttiva madre” in ambito UE.

[5] REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito «GDPR»

[6] M. E. GONÇALVES, The risk-based approach under the new EU data protection regulation: a critical perspective, in Journal of Risk Research, 12 Jan 2019, https://doi.org/10.1080/13669877.2018.1517381, p. 139-152; G. CORAGGIO, G. ZAPPATERRA, The risk-based approach to privacy: Risk or protection for business?, in Journal of Data Protection & Privacy, vol. 1, n. 4, 2018, p. 339 ss.

[7] Per una disamina più approfondita dell’evoluzione della normativa, cfr. L. CALIFANO, Privacy: affermazione e pratica di un diritto fondamentale, Napoli, Editoriale scientifica, 2016; S. CALZOLAIO, Protezione dei dati personali, estratto da DIGESTO delle Discipline Pubblicistiche, diretto da R. SACCO, Wolters Kluwer Italia, Milano, 2017, p. 594 ss.; P. PERRI, G. ZICCARDI, Tecnologia e diritto. II Informatica giuridica, Giuffrè Francis Lefebvre, Milano, 2019; G. CONTI, La protezione dei dati personali per titolari e responsabili del trattamento, Maggioli Editore, 2019; R. D’ ORAZIO, G. FINOCCHIARO, O. POLLICINO, G. RESTA, Codice della privacy e data protection, Giuffrè, Milano, 2021; G. FINOCCHIARO, Introduzione al regolamento europeo sulla protezione dei dati, in Le Nuove Leggi Civili Commentate, n. 1, 2017, p. 1 ss.

[8] S. CALZOLAIO, Privacy by design. Principi, dinamiche, ambizioni del nuovo Reg. Ue 2016/679, in Federalismi, n. 24, 2017

[9] E. RAYMOND, Magic cookie, in The Jargon File, http://www.catb.org/~esr/jargon/html/M/magic-cookie.html

[10] D. TALIA, La società calcolabile e i big data. Algoritmi e persone nel mondo digitale, Rubbettino, Soveria Mannelli, 2018

[11] Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)

[12] D.lgs. n. 196/2003, come modificato dal D.lgs. n. 101/2018. Il comma 1 dell’art. 122 del Codice è stato modificato dall’art. 1, comma 5, lett. b), del D.lgs. 28 maggio 2012, n. 69

[13] GDPR, Art. 95

[14] COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS (CNIL), Linee guida su cookie e tecnologie simili, 4 luglio 2019, poi modificate con la Délibération n° 2020-091, 17 septembre 2020, in conseguenza ad una pronuncia del 19 giugno 2020 del Consiglio di Stato; INFORMATION COMMISSIONER’S OFFICE (ICO), Guida all’uso dei codici e dei cookie e tecnologie simili, 3 luglio 2019

[15] D.lgs. n. 196/2003, Art. 121, comma 1-bis, lett. g)

[16] GARANTE, Provvedimento 10 giugno 2021, n. 231, “Linee guida cookie e altri strumenti di tracciamento” (doc. web n. 9677876, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021), che aggiorna il precedente Provvedimento dell’8 maggio 2014, n. 229, avente ad oggetto “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”

[17] European Data Protection Board (EDPB), Guidelines 05/2020 on consent under Regulation 2016/679, 4 maggio 2020

[18] Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche) COM/2017/010 final – 2017/03 (COD)

[19] M. NATALI, G. VECCHI, Regolamento ePrivacy, obiettivo 2025: i temi sul tavolo, in Agenda Digitale, https://www.agendadigitale.eu/sicurezza/privacy/nuovo-regolamento-eprivacy-obiettivo-2025-i-temi-sul-tavolo/

[20] Ai sensi del GDPR, il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati

[21] L. CALIFANO, Spunti problematici sul trattamento dei dati personali raccolti tramite droni, in Cultura giuridica e diritto vivente, Vol. 7, 2020, p. 4

[22] V. anche GDPR, Cons. 32, laddove stabilisce che «qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso»

[23] N. BERNARDI (a cura di), Privacy – Protezione e trattamento dei dati, Wolters Kluwer, Milano, 2020, p. 89-119

[24] E. LUCCHINI GUASTALLA, Privacy e data protection: principi generali, in Privacy digitale, a cura di E. TOSI, Giuffré, 2019, p. 86

[25] S. CALZOLAIO, Privacy by design. Principi, dinamiche, ambizioni del nuovo Reg. Ue 2016/679, in Federalismi, n. 24, 2017

[26] N. BERNARDI (a cura di), Privacy – Protezione e trattamento dei dati, Wolters Kluwer, Milano, 2020, p. 80

[27] N. BERNARDI (a cura di), Ibidem

[28] FRA – AGENZIA DELL’UNIONE EUROPEA PER I DIRITTI FONDAMENTALI, CORTE EUROPEA DEI DIRITTI DELL’UOMO (CONSIGLIO D’EUROPA), GARANTE EUROPEO DELLA PROTEZIONE DEI DATI, Manuale del diritto europeo in materia di protezione dei dati, 2018

[29] F. LORÈ, P. MUSACCHIO, Cybersecurity e protezione dei dati personali ai tempi dell’accountability: verso un cambio di prospettiva?, in Amministrativ@mente – Rivista scientifica trimestrale di diritto amministrativo, 2021, n. 1

[30] GARANTE, Scheda di sintesi allegata alle “Linee guida cookie e altri strumenti di tracciamento” (doc. web n. 9677876), pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021

[31] In https://www.mozilla.org/it/firefox/features/block-fingerprinting/

[32] S. M. BUCCHERI, Privacy e web, in M. MAGLIO, M. POLINI, N. TILLI, Manuale di diritto alla protezione dei dati personali, 2017, Maggioli editore, Santarcangelo di Romagna, 2017, p. 680

[33] GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI (WP29), Parere 9/2014 sull’applicazione della direttiva 2002/58/CE al device fingerprinting, adottato il 25 novembre 2014

[34] GARANTE, Provvedimento 10 giugno 2021, n. 231, par. 7.2

[35] Google Analytics Cookie Usage on Websites, in

https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

[36] Guida di Analytics, Salvaguardia dei dati, Dati raccolti da Google Analytics in https://support.google.com/analytics/answer/6004245#zippy=%2Cdati-raccolti-da-google-analytics

[37] Cfr. GDPR, Cons. 26, laddove afferma che «per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. […]». La policy di Google chiarisce che «Quando un cliente di Analytics richiede l’anonimizzazione degli indirizzi IP, Analytics li anonimizza non appena è tecnicamente possibile. La funzionalità di anonimizzazione degli indirizzi IP di Analytics imposta l’ultimo ottetto degli indirizzi IPv4 dell’utente e gli ultimi 80 bit degli indirizzi IPv6 su zero in memoria subito dopo l’invio a Google Analytics. In questo caso, l’indirizzo IP completo non è mai scritto su disco». Inoltre, «Analytics fornisce la funzionalità anonymize_ip (gtag(‘config’, ‘<GA_MEASUREMENT_ID>’, { ‘anonymize_ip’: true }) nella libreria gtag.js) per permettere ai proprietari di siti web di richiedere l’anonimizzazione di tutti gli indirizzi IP dei loro utenti all’interno del prodotto. Questa funzionalità è stata progettata per aiutare i proprietari di siti a rispettare le norme sulla privacy o, in alcuni paesi, le raccomandazioni delle autorità locali competenti per la protezione dei dati personali, che possono impedire la memorizzazione delle informazioni relative agli indirizzi IP completi. Il mascheramento o l’anonimizzazione degli indirizzi IP avviene non appena i dati vengono ricevuti da Google Analytics, prima che venga eseguita qualsiasi archiviazione o elaborazione». Cfr. https://support.google.com/analytics/answer/2763052?hl=it&ref_topic=2919631

[38] Cfr. GRUPPO DI LAVORO ARTICOLO 29, Parere 05/2014 sulle tecniche di anonimizzazione, p. 7. De-identificare significa eliminare la correlazione tra i dati personali e una determinata persona fisica, rendendo impossibile la sua identificazione. Se l’anonimizzazione va a buon fine, i dati oggetto dell’operazione non sono più classificati come dati personali, e quindi non rientrano più nell’applicazione del GDPR, fermo restando che fino a tale momento, l’anonimizzazione è pur sempre un’operazione di trattamento di dati personali.

[39] Cfr. GDPR, Art. 32

[40] Dati, cioè, che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (Cfr. GDPR, Art. 9, par. 1)

[41] GARANTE, Provvedimento 10 giugno 2021, n. 231, par. 7.2

[42] V. ZENO-ZENCOVICH, La “datasfera”. Regole giuridiche per il mondo digitale (The ‘Datasphere’. Legal Rules for the Digital World), in L. SCAFFARDI (ed.), I “profili” del diritto. regole, rischi e opportunità nell’era digitale, Dossier VII – Diritto Pubblico Comparato ed Europeo, Giappichelli Editore, 2018, p. 99-109

[43] S. RODOTÀ, Il mondo nella rete, Laterza, Roma-Bari, 2014, p. 30

[44] S. RODOTÀ, Riservatezza, in Enciclopedia Italiana, VI Appendice, Istituto della Enciclopedia Italiana, Treccani, 2000

[45] S. RODOTÀ, Ibidem

[46] D.lgs. n. 196/2003, Art. 122, comma 1: l’archiviazione delle informazioni nel terminale di un contraente o di un utente o l’accesso a informazioni già archiviate «sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate»

[47] M. MARTORANA, Cookie, nuove linee guida del Garante Privacy: 6 mesi per adeguarsi, in Altalex, https://www.altalex.com/documents/news/2021/07/20/cookie-nuove-linee-guida-garante-privacy-6-mesi-per-adeguarsi

[48] GARANTE, Provv. 10 giugno 2021, n. 231

[49]  Per questo motivo, nelle policies di Google Analytics si legge che «i dati vengono raccolti in forma aggregata, senza inviare e memorizzare l’indirizzo IP completo dell’utente»

[50] GARANTE, Provv. 10 giugno 2021, n. 231, par. 7.2,laddove stabilisce che «Tenuto conto della rappresentazione degli indirizzi IP versione 4 (IPv4) a 32 bit, che sono usualmente rappresentati e utilizzati come sequenza di quattro numeri decimali compresi tra 0 e 255 separati da un punto, una delle misure implementabili al fine di beneficiare dell’esenzione consiste nel mascheramento almeno della quarta componente dell’indirizzo, opzione che introduce una incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%). Analoghe procedure dovrebbero essere adottate in riferimento agli indirizzi IP versione 6 (IPv6), che hanno una differente struttura e uno spazio di indirizzamento enormemente superiore (essendo costituiti da numeri binari rappresentati con 128 bit)».

[51] GARANTE, Scheda di sintesi…

[52] GDPR, Art. 4 e Cons. n. 30

[53] G. GIANNONE CODIGLIONE, Risk-Based Approach e trattamento dei dati personali, in La nuova disciplina europea sulla privacy, 2016, p. 55 ss.

[54] S. CALZOLAIO, Protezione dei dati personali, estratto da DIGESTO delle Discipline Pubblicistiche, diretto da R. SACCO, a cura di R. BIFULCO, A. CELOTTO, M. OLIVETTI, Wolters Kluwer Italia, Milano, 2017, p. 629

[55] CORTE DI GIUSTIZIA UE, C-582/14, Patrick Breyer c. Bundesrepublik Deutschland, 19 ottobre 2016, punto 43

[56] CONSIGLIO D’EUROPA, Relazione esplicativa della Convenzione n. 108 modernizzata, punti 17 e 18

[57] D. FARACE, Privacy by design e by default, in Privacy digitale, E. TOSI (a cura di), Giuffrè Francis Lefebvre, Milano, 2019, p. 486-501

[58] M. G. STANZIONE, Il Regolamento europeo sulla privacy: origini e ambito di applicazione, in Europa e Diritto Privato, fasc. 4, 2016, p. 1249

[59] S. CALZOLAIO, Privacy by design. Principi, dinamiche, ambizioni del nuovo Reg. Ue 2016/679, in Federalismi, n. 24, 2017

[60] A. MANTELERO, Responsabilità e rischio nel Reg. UE 2016/679, in Le Nuove Leggi Civili Commentate, n. 1, 2017, p. 144

[61] Definizione tratta da Treccani, in https://www.treccani.it/enciclopedia/plug-in_%28Lessico-del-XXI-Secolo%29/

[62] S. M. BUCCHERI, op. cit., p. 676; cfr. anche GRUPPO DI LAVORO ARTICOLO 29, Parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie, WP 194, Bruxelles, 7 giugno 2012

[63] Cfr. CORTE DI GIUSTIZIA UE (Seconda Sezione), Causa C-40/17 Fashion ID GmbH & Co. KG contro Verbraucherzentrale NRW eV, 29 luglio 2019, che ha ribadito la necessità che le informative per l’utente contengano esplicito riferimento all’uso dei plug-in

[64] P. GORKIČ, Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW e.V.: More Control, More Data Protection for Website Visitors? (C-40/17 Fashion ID), in European Data Protection Law Review, vol. 5, 2019, issue 4, p. 579 ss.

[65] V. Infra, par. 5

[66] GARANTE, Scheda di sintesi…

[67] W. LITTMAN, A legal perspective on how to win the war against cookie consent fatigue, 15 giugno 2020, in Crownpeak, https://www.crownpeak.com/blog/customer-experiences/a-legal-perspective-on-how-to-win-the-war-against-cookie-consent-fatigue

[68] GARANTE, Scheda di sintesi…

[69] M. MARTORANA, op. cit.

[70] GDPR, Cons. 32

[71] V. EUROPEAN DATA PROTECTION BOARD (EDPB), Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, n. 5, 4 maggio 2020, e CORTE DI GIUSTIZIA UE (Grande Sezione), C673/17, 1° ottobre 2019, in Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV contro Planet49 GmbH, in https://curia.europa.eu/juris/document/document.jsf;jsessionid=FCD96B33108BAAEC7A4DACB0CA0E73E5?text=&docid=218462&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=8238785

[72] Per una ricostruzione analitica dei requisiti del consenso, si vedano: CORTE DI GIUSTIZIA UE (Seconda Sezione), 11 novembre 2020, C-61/19, Orange Romania SA contro Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), in https://curia.europa.eu/juris/liste.jsf?language=it&td=ALL&num=C-61/19; CORTE DI GIUSTIZIA UE (Grande Sezione), 1° ottobre 2019, C-673/17, cit.

[73] GDPR, Cons. 42

[74] GARANTE, Provvedimento 10 giugno 2021, n. 231, par. 7.4

[75] GDPR, Cons. 42

[76] G. CONTI, La protezione dei dati personali per titolari e responsabili del trattamento, Maggioli Editore, 2019, p. 52

[77] CORTE DI GIUSTIZIA UE (Grande Sezione), Sentenza C‑210/16, Wirtschaftsakademie, 5 giugno 2018, in https://curia.europa.eu/juris/document/document.jsf;jsessionid=94B304F2EA7937BBD97E742738B9CD22?text=&docid=202543&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=3616812

[78] V. Supra, par. 1.3

[79] GDPR, Art. 13, par. 2

[80] Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche, Art. 8

[81] G. FINOCCHIARO, Intelligenza Artificiale e protezione dei dati personali, in Giurisprudenza Italiana, luglio 2019, p. 1670

[82] GDPR, Art. 83

[83] R. PANETTA, T. MAURO, F. SARTORE, Il data protection officer tra regole e prassi, Giuffrè Francis Lefebvre, Milano, 2021, Prefazione, p. VII

[84] F. MODAFFERI, Lezioni di diritto alla protezione dei dati personali, alla riservatezza e all’identità personale, Lulu.com, Roma, 2015, in cui cita G. BUTTARELLI, Banche dati e tutela della riservatezza, Giuffrè, Milano, 1997