Cookie & Company: istruzioni per l’uso (III parte)
Osservazioni a margine delle Linee Guida in materia di Cookie e altri strumenti di tracciamento.
A conclusione di questo sintetico approfondimento dedicato all’analisi di alcune delle principali questioni giuridiche correlate all'applicazione, alla tecnologia dei cookie e alle altre tecnologie di tracciamento, delle norme in materia di protezione dei dati personali e sicurezza delle informazioni, sembra opportuno esaminare più specificamente, da un punto di vista applicativo, il contenuto del Provv. del 10 giugno 2021 del Garante per la Protezione dei dati personali contenente le relative Linee Guida.
Per completezza, si deve osservare come il quadro giuridico di riferimento della disciplina di legge applicabile sia, a oggi, costituito, tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita dell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003 n. 196, quanto dal GDPR per ciò che concerne specificamente la nozione del consenso di cui agli artt. 4, punto 11 e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del W P 29 adottate il 10 aprile 2018, ratificata dal Comitato Europeo per la protezione dei dati personali (EDPB) il 25 maggio 2018 e sostituita, da ultimo, dalle Guidelines 05/2020 on consent under regulation 2016/679 adottate il 4 maggio 2020.
Poteri della persona rafforzati
Nel quadro descritto deve, in particolare, considerarsi come, con le previsioni del GDPR, il legislatore abbia inteso ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali, nello specifico integrando la definizione di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo cioè che la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che – come già appunto nel vigore della direttiva – libera, specifica ed informata, anche ‘inequivocabile’, esigendosi, per l’effetto che l’obiettivo della concreta ed efficace attuazione dei principi di protezione dei dati venga consegnato sin dalla progettazione e attraverso impostazioni predefinite (c.d. privacy by design e by default).
In questo senso, l’Autorità, nel provvedimento citato, ha chiarito, differenziando da una parte tra cookie ed altri identificatori tecnici, che, in virtù della funzione assolta da questi ultimi strumenti, limitatamente a questi, il Titolare del Trattamento, sarà assoggettato al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale (la c.d. web policy), rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato e, dall’altra che, i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente, in forza dell’attuale applicabilità di quanto previsto dal citato art. 122 del Codice privacy.
Consenso: atto positivo inequivocabile
Tale ultima norma, espressamente stabilisce che “l’archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate (…) ricevendo, ai fini dell'espressione del consenso a specifiche configurazioni di programmi informatici o di dispositivo che siano di facile e chiara utilizzabilità per il contraente o l’utente. (il c.d. ‘cookie banner’).
Con riferimento in particolare alle specifiche configurazioni appena menzionate, e in relazione alle tecniche di acquisizione e di conservazione della prova del consenso, il Gruppo dei Garanti Europei per la protezione dei dati personali (EDPB), alla luce di quanto previsto al considerando 32 del GDPR, in materia di consenso, ove si chiarisce che, il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano e che non dovrebbe configurare consenso, il silenzio, l’inattività o la preselezione di caselle – nel parere nr. 5/2020 del 04 maggio 2020, ha precisato che il semplice scrolling non è mai idoneo, di per sé, a esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso in nessuna circostanza.
A conclusione di questo sintetico approfondimento dedicato all’analisi di alcune delle principali questioni giuridiche correlate all'applicazione, alla tecnologia dei cookie e alle altre tecnologie di tracciamento, delle norme in materia di protezione dei dati personali e sicurezza delle informazioni, sembra opportuno esaminare più specificamente, da un punto di vista applicativo, il contenuto del Provv. del 10 giugno 2021 del Garante per la Protezione dei dati personali contenente le relative Linee Guida.
Per completezza, si deve osservare come il quadro giuridico di riferimento della disciplina di legge applicabile sia, a oggi, costituito, tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita dell’ordinamento nazionale all’art. 122 del d.lgs. 30 giugno 2003 n. 196, quanto dal GDPR per ciò che concerne specificamente la nozione del consenso di cui agli artt. 4, punto 11 e 7 e al considerando 32, come da ultimo interpretati dalle Linee Guida del W P 29 adottate il 10 aprile 2018, ratificata dal Comitato Europeo per la protezione dei dati personali (EDPB) il 25 maggio 2018 e sostituita, da ultimo, dalle Guidelines 05/2020 on consent under regulation 2016/679 adottate il 4 maggio 2020.
Poteri della persona rafforzati
Nel quadro descritto deve, in particolare, considerarsi come, con le previsioni del GDPR, il legislatore abbia inteso ampliare e rafforzare il potere dispositivo e di controllo della persona riguardo al trattamento delle sue informazioni personali, nello specifico integrando la definizione di consenso contenuta nella precedente direttiva 95/46/CE, chiarendo cioè che la manifestazione di volontà dell’interessato al trattamento dei suoi dati personali deve essere, oltre che – come già appunto nel vigore della direttiva – libera, specifica ed informata, anche ‘inequivocabile’, esigendosi, per l’effetto che l’obiettivo della concreta ed efficace attuazione dei principi di protezione dei dati venga consegnato sin dalla progettazione e attraverso impostazioni predefinite (c.d. privacy by design e by default).
In questo senso, l’Autorità, nel provvedimento citato, ha chiarito, differenziando da una parte tra cookie ed altri identificatori tecnici, che, in virtù della funzione assolta da questi ultimi strumenti, limitatamente a questi, il Titolare del Trattamento, sarà assoggettato al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale (la c.d. web policy), rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato e, dall’altra che, i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente, in forza dell’attuale applicabilità di quanto previsto dal citato art. 122 del Codice privacy.
Consenso: atto positivo inequivocabile
Tale ultima norma, espressamente stabilisce che “l’archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate (…) ricevendo, ai fini dell'espressione del consenso a specifiche configurazioni di programmi informatici o di dispositivo che siano di facile e chiara utilizzabilità per il contraente o l’utente. (il c.d. ‘cookie banner’).
Con riferimento in particolare alle specifiche configurazioni appena menzionate, e in relazione alle tecniche di acquisizione e di conservazione della prova del consenso, il Gruppo dei Garanti Europei per la protezione dei dati personali (EDPB), alla luce di quanto previsto al considerando 32 del GDPR, in materia di consenso, ove si chiarisce che, il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati che lo riguardano e che non dovrebbe configurare consenso, il silenzio, l’inattività o la preselezione di caselle – nel parere nr. 5/2020 del 04 maggio 2020, ha precisato che il semplice scrolling non è mai idoneo, di per sé, a esprimere compiutamente la manifestazione di volontà dell’interessato volta ad accettare di ricevere il posizionamento, all’interno del proprio terminale, di cookie diversi da quelli tecnici e, dunque, non equivale, in sé considerato, al consenso in nessuna circostanza.
Inoltre, sempre con riferimento alla natura consapevole e informata del consenso, il Garante ha precisato che sarà specifico onere del titolare del trattamento adottare ogni più opportuno accorgimento affinchè le informazioni obbligatorie contenute nel c.d. cookie banner di ogni sito siano fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari, in linea con quanto previsto dalla legge 9 gennaio 2004 e successive modificazioni e integrazioni.
Il trasferimento di dati personali all’esterno della UE
L’ultimo argomento che si ritiene necessario prendere in considerazione, a completamento dell’esame di alcune delle questioni giuridiche di maggiore rilevanza in materia di cookie e di altri strumenti di tracciamento è quello relativo alle norme in materia di trasferimento di dati personali all’esterno dell’Unione Europea. In particolare, lo scorso 16 febbraio 2022 l’Autorità Garante per la protezione dei dati personali francese (CNIL) con un provvedimento emanato in attuazione dei princìpi espressi nella sentenza della Corte di Giustizia dell’Unione Europea del 16/07/2020 che, come è noto aveva invalidato il precedente “meccanismo” di salvaguardia dei diritti dei cittadini dell’Unione, nel contesto di trasferimenti di dati personali verso gli Stati Uniti (c.d. Privacy Shield), in relazione all’impiego dello strumento Google Analytics, ha precisato che sebbene Google abbia adottato misure aggiuntive per regolare i trasferimenti di dati, queste non sono sufficienti per escludere l’accessibilità dei dati trasmessi da parte delle Agenzie Governative degli Stati Uniti.
Nel dettaglio, l’Autorità Francese ha specificato che non risulta chiaro, dalle risposte fornite da Google se l'anonimizzazione dei dati mediante mascheramento degli IP avvenga prima del trasferimento verso gli Stati Uniti o se, invece, una volta che il trasferimento sia avvenuto, in violazione, in quest’ultimo caso delle norme vigenti.
Per completezza, occorre però ricordare che, anche in forza delle recenti e drammatiche vicende belliche che si stanno verificando in Ucraina, gli Stati Uniti e l’Unione Europea hanno significativamente intensificato le trattative dirette a negoziare tra loro un quadro giuridico utilizzabile per i trasferimenti di dati personali adeguato alla salvaguardia delle libertà e dei diritti fondamentali dei cittadini europei.
Segnatamente, si può leggere nel comunicato stampa pubblicato a cura della Commissione Europea che lo scorso 25 marzo la Commissione ed il governo degli Stati Uniti hanno raggiunto un accordo di principio sul nuovo “Trans-Atlantic Data Privacy Framework” in forza del quale gli Stati Uniti si impegnano a rafforzare la tutela della privacy e delle libertà civili che regolano le attività delle loro agenzie di intelligence e a stabilire nuovi strumenti legali di ricorso a una Autorità indipendente e vincolante.