Cookie & Company: istruzioni per l’uso
Osservazioni a margine delle Linee Guida in materia di Cookie e altri strumenti di tracciamento (I parte)
Il tema che ci accingiamo ad approfondire, in considerazione della recente applicabilità, dallo scorso 9 gennaio 2022, del contenuto delle Linee guida del Garante Privacy in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021, Registro dei provvedimenti n. 231 del 10 giugno 2021), è quello che riguarda il c.d. tracciamento tecnologico, sia dal punto di vista dell’applicabilità delle norme in materia di protezione dei dati personali, sia dal punto di vista della sicurezza delle informazioni.
Cosa dice il GDPR
Per comprendere il fenomeno dal punto di vista della protezione dei dati personali conviene muovere da quanto previsto dal considerando 30 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (nel seguito GDPR) in base al cui disposto: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali dati possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
In tale contesto sembra logico ritenere che anche ad alcuni degli identificativi sopra indicati possa attribuirsi la qualità di dato personale in conformità con l’art. 4 nr. 1) del GDPR, secondo cui è tale: “Qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘interessato’); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
In questo senso, anche la corte di Giustizia dell’Unione Europea (Grande Sezione), con sentenza nella causa C‑673/17, si è pronunciata specificando, con riferimento alle vigenti disposizioni di legge, ivi compreso il GDPR che: “(…) il consenso di cui a tali disposizioni non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”.
Identificatori ‘attivi’ e ‘passivi’
Dal punto di vista tecnologico, si distingue all’interno di queste tecniche di tracciamento tra i c.d. ‘identificatori attivi’, come appunto i cookie, e identificatori ‘passivi’, questi ultimi presupponendo la mera osservazione, che consentono di effettuare trattamenti analoghi a quelli sopra indicati.
Una differenza sostanziale tra le tecnologie indicate, che deve essere tenuta in considerazione è che: nel caso di strumenti attivi, l’utente che non intenda essere profilato, oltre a poter negare il proprio consenso, o esercitare i diritti di cui al GDPR, può tecnicamente rimuovere i cookie, poiché archiviati all’interno del proprio dispositivo, mentre con riguardo agli identificatori ‘passivi’, l’utente non dispone di strumenti tecnici azionabili, dato che la tecnica di lettura non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, ma la mera osservazione delle configurazioni che lo caratterizzano, rendendolo identificabile, e il cui esito determina un ‘profilo’ che resta nella disponibilità del titolare, cui l’interessato non ha, alcun accesso libero e diretto e del quale potrebbe, prima ancora, ignorare l’esistenza.
I cookie, definiti al punto 4.7. della norma ISO/IEC/IEEE 23026:2015(en) Systems and software engineering – Engineering and management of websites for systems, software, and services information, come: “Small file that is stored in and retrieved from user web storage to maintain state information, including identification of users and transaction coherency” possono essere principalmente classificati in due categorie principali: i cookie tecnici, utilizzati solo per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”; e i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei, in modo che sia possibile al titolare, modulare la fornitura del servizio in modo sempre più personalizzato oltre quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari in linea con le preferenze dell’utente.
Esempi e differenze
Tra le varie importanti funzioni che possono essere svolte dai cookie, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc., sembra importante considerare, dal punto di vista della sicurezza delle informazioni, anche il fatto che i cookie possono essere impiegati in procedure di autenticazione dell’utente. Possono, inoltre, essere utilizzati per conservare gli articoli in un carrello di acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico o anche per veicolare la pubblicità comportamentale (c.d. ‘behavioural advertising’) e misurare poi l’efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell’utente oggetto di precedente osservazione.
Tra gli strumenti ‘passivi’ è ricompreso il c.d. ‘fingerprinting’, ossia quell’insieme di tecniche che permettono, come specificato nel Parere 9/2014 del Gruppo Europeo dei garanti per la protezione dei dati personali (oggi EDPB) sull’applicazione della direttiva 2002/58/CE al device fingerprinting, non solo al gestore del sito web, ma anche a molti altri terzi di identificare il dispositivo utilizzato dall’utente tramite la raccolta di tutte o alcune delle informazioni relative alla specifica configurazione del dispositivo stesso adottata dall’interessato.
Sia i cookie, sia il digital fingerprinting e gli ulteriori strumenti di tracciamento sono ricompresi nell’ambito di applicazione delle Linee guida del Garante e del recente intervento lo scorso 19 gennaio 2022 dello European Data Protection Board.
Entra in campo la sicurezza
Chiarito ciò che precede, sembra opportuno considerare l’argomento delle interazioni tra sistemi client e server, anche dal punto di vista della sicurezza delle informazioni, e quindi della protezione della riservatezza, integrità e disponibilità, del patrimonio immateriale digitalizzato dell’utilizzatore degli strumenti elettronici oggetto delle attività descritte.
Quanto sopra, poiché è noto che anche queste tecnologie possano essere compromesse e utilizzate per finalità malevole.
