Il presente articolo è volto ad esaminare il valore del dato e in particolare la funzione di una tecnologia di tracciamento, quale il cookie analizzandone normativa e requisiti.
***
Al fine della presente disamina, riteniamo necessario ripercorre, in dettaglio, le FONTI NORMATIVE e gli ULTIMI APPRODI in materia:
Sul dato personale:
- In materia di regolamentazione del dato personale:
- Regolamento (UE) n.679/2016, considerando (C-) 24 GDPR (General Data Protection Regulation), , per quanto riguarda l’applicabilità del regolamento ai titolari del trattamento, prevede che: “È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. […]”
- L’art. 1 GDPR, nell’individuazione delle finalità di applicazione del regolamento, questo si pone nel mezzo come presidio per la protezione delle persone fisiche e per promuovere la loro circolazione nell’ottica dello sviluppo del mercato (1)
- Per il valore del dato personale si è espresso:
- Consiglio di Stato con sentenza numero 2631 del 2021 delineando che “con riguardo alla gravità della violazione, si tiene conto, nella fattispecie in esame, della particolare natura del profilo di scorrettezza, caratterizzato da rilevanti carenze informative sul trattamento dei dati degli utenti, che costituiscono patrimonio di rilevante valore economico per gli stessi.”
- Direttiva (UE) 2019/770, art. 3, paragrafo 1 prevede che “La presente direttiva si applica a qualsiasi contratto in cui l’operatore economico fornisce, o si impegna a fornire, contenuto digitale o un servizio digitale al consumatore e il consumatore corrisponde un prezzo o si impegna a corrispondere un prezzo. La presente direttiva si applica altresì nel caso in cui l’operatore economico fornisce o si impegna a fornire contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali all’operatore economico, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dall’operatore economico ai fini della fornitura del contenuto digitale o del servizio digitale a norma della presente direttiva o per consentire l’assolvimento degli obblighi di legge cui è soggetto l’operatore economico e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.”
- Per la definizione di dato personale:
- L’art. 4 GDPR, prevede che il «dato personale» sia: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.”;
- Il C-26 GDPR in materia di identificazione della persona, delinea che “I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente”
- In materia di trattamento dei dati personali e responsabilità del titolare del trattamento:
- L’art. 5 GDPR prescrive le modalità con cui i dati devono essere trattati (2).
- L’art. 6, co.1 GDPR requisitiin materia di liceità del trattamento dei dati personali (3).
- L’art. 24, co.1 GDPR in materia di responsabilità del titolare del trattamento prevede che “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
- Per le categorie speciali di dati:
- L’art. 9, co.1. GDPR in materia di trattamento di dati personali di particolari categorie: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”; e devono essere trattati “da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.
- L’art. 10 GDPR per il dato “giudiziale”: “Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica”.
- In materia di consenso:
- L’art. 4, co.1. GDPR disciplina il consenso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
- L’art. 7, co. 1 e 2 GDPR per le condizioni del consenso prevede che: “1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. 2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante”.
- L’art. 8, co.1 GDPR per il consenso dei minori: “1. Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.”
- Per le finalità del trattamento:
- L’art. 6, co.1. GDPR per i casi in cui il consenso è imprescindibile per l’esercizio dell’attività. (4)
- Linee guida elaborate dal Gruppo Art.29 in materia di consenso (WP 259) prevedono che “Explicit consent is required in certain situations where serious data protection risk emerge, hence, where a high level of individual control over personal data is deemed appropriate. Under the GDPR, explicit consent plays a role in Article 9 on the processing of special categories of data, the provisions on data transfers to third countries or international organisations in the absence of adequate safeguards in Article 49, and in Article 22 on automated individual decision-making, including profiling.” In base a ciò, si rileva che il consenso deve essere esplicito nei casi esclusi dall’articolo 6, co.1. GDPR, quindi nel caso in cui il trattamento di dati personali abbia fini commerciali o di profilazione, pertanto dove i dati interessati siano sensibili.
- Per la conservazione dei dati personali:
- L’art. 5, co.1, lett. e GDPR: “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);”
- L’art. 89, co.1 GDPR in materia di garanzia e deroghe della conservazione dei dati personali: “Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo.”
- Per il diritto all’oblio:
- L’art. 17 GDPR stabilisce che l’interessato dovrebbe avere il diritto di chiedere la cancellazione dei suoi dati al verificarsi di determinati requisiti come la revoca del consenso o l’opposizione al trattamento dei dati.
- C-65 GDPR “[…] In particolare, l’interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia revocato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. […] Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria.
Sui cookies:
- Per la connotazione dei cookie:
- C-30 GDPR: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
- In materia di archiviazione delle informazioni:
- L’art. 122 codice della privacy, D.lgs. 196/2003 prevede che: “1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. […] 2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente. 2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente”.
- Per l’informativa sull’utilizzo dei cookies:
- L’art. 12 GDPR riguardo alle informazioni che il titolare del trattamento dei dati dovrà fornire all’interessato, anche alla luce del principio di trasparenza. (5)
- L’art. 13 GDPR in materia di informazioni da fornire all’interessato del trattamento secondo i principi di trattamento corretto e trasparente. (6)
- In materia di consenso e modalità di raccolta, si vedano le seguenti previsioni:
- Provvedimento dell’EDPB (European Data Protection Board) n.5/ 2020
- Provvedimento del Garante Privacy “Linee guida cookie e altri strumenti di tracciamento” n.231/ 2021
- Corte di Giustizia, grande sezione, con sentenza n.673/ 2019 in materia di consenso all’installazione di cookie, prevede che “devono essere interpretati nel senso che il consenso di cui a tali disposizioni non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”.
***
Il Regolamento (UE) n.679/2016 che esamineremo nel presente articolo si pone nel mezzo tra la tutela dei dati personali e la loro circolazione nell’ottica dello sviluppo del mercato unico. A tale fine si rimanda all’art. 1, co.1: “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.”
In quest’ottica, l’attività di commercializzazione dei dati personali, da parte delle aziende, che operano una transizione digitale, non è vietata.
Il dato personale è, pertanto, qualsiasi informazione riguardante una persona fisica identificata o identificabile. In quest’ottica, i dati tutelati dal Regolamento riguardano gli esseri umani dotati di capacità giuridica e non le persone giuridiche come società o enti.
Con riferimento all’identificabilità di una persona si considerano tutti i mezzi, nella disponibilità del titolare del trattamento o di un terzo, per identificare la persona fisica in modo diretto o indiretto.
Per questo motivo, le informazioni anonime non sono soggette al Regolamento perché non sono in grado di identificare una persona.
Specifichiamo a titolo informativo, quali siano le categorie di dati particolarmente importanti:
–i dati che permettono l’identificazione diretta ovvero i dati anagrafici (nome e cognome, data di nascita e luogo di residenza).
-i dati che permettono l’identificazione indiretta, per esempio, l’indirizzo ip, marcatori temporanei (cookies) e il codice fiscale.
-i dati “sensibili” sono rappresentati di una categoria speciale di dati che in quanto tali, necessitano di maggiore tutela. Tra questi troviamo i dati che rivelano l’origine etnica di un individuo, il suo orientamento politico piuttosto che quello sessuale, i dati genetici e quelli relativi alla salute, come previsto all’art. 9.1. GDPR.
-i dati “giudiziali” riguardano eventuali condanne penali e reati come previsto all’art. 10 GDPR.
I dati “sensibili” possono essere trattati da un professionista o da un’altra persona soggetta all’obbligo di segretezza mentre i dati “giudiziali” devono essere trattati solo sotto il controllo di un’autorità pubblica oppure se autorizzato dal diritto dell’Unione o degli Stati membri si devono prevedere appropriate garanzie per i diritti e le libertà degli interessati.
In ragione delle categorie di dati trattati, il Regolamento predispone la necessità di redigere un Registro Trattamenti, nei casi in cui:
–l’impresa abbia più di 250 dipendenti, oppure
–se i dipendenti sono inferiori rispetto al numero prestabilito, quando:
a. il trattamento può presentare dei rischi per i diritti e le libertà dell’interessato
b. quando il trattamento non è occasionale
c. quando il trattamento riguarda dati sensibili o giudiziali
Inoltre, il dato personale è soggetto a trattamento ogniqualvolta sia sottoposto ad un’operazione o ad un insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati.
Il trattamento deve essere:
- Lecito, corretto e trasparente:
- Lecito: con o senza consenso espresso;
- Corretto e trasparente: per le modalità (raccolta, utilizzo, consultazione) e le misure di trattamento dei dati personali. Le informazioni e le comunicazioni devono essere facilmente accessibili e comprensibili per le persone fisiche i cui dati sono trattati.
I dati personali devono essere trattati in modo da garantire un’adeguata sicurezza e riservatezza.
Pertanto, è importante garantire sia l’aspetto della privacy by design che by default:
- Privacy by design: necessità di garantire protezione sin dalla progettazione del trattamento dei dati personali;
- Privacy by default: impostazione predefinita, secondo la quale, le imprese devono trattare i dati solamente strettamente necessari alle finalità individuate e per un arco temporale limitato al rispetto delle finalità.
Anche il principio di accountability, introdotto con l’art. 24 GDPR, risulta interessante in quest’ottica. L’accountability corrisponde infatti, al concetto di responsabilizzazione nei confronti dei titolari del trattamento dei dati personali, in quanto questi ultimi devono essere in grado di dare conto delle tecniche utilizzate per il trattamento.
Il trattamento dei dati personali da parte del titolare deve rispettare adeguate misure di sicurezza in relazione ai rischi cui si può incorrere.
Il d. lgs. 51/ 2018 attuazione della direttiva (UE) 20167 680, all’articolo 29 prevede quali siano alcune delle misure di sicurezza che devono essere attuate, tra le quali, per esempio:
–Il divieto da parte delle persone non autorizzate all’accesso delle attrezzature utilizzate per il trattamento;
–Garantire che le persone autorizzate abbiano accesso agli strumenti solo entro i limiti per cui l’autorizzazione è stata concessa;
–Garantire la possibilità di verificare chi sia stata la persona ad aver effettuato il trattamento.
Per tanto il titolare del trattamento dovrà applicare anche ulteriori tecniche atte a garantire la sicurezza nella conservazione dei dati.
Ad esempio, nel caso in cui i dati trattati siano conservati in uno strumento elettronico, sarà necessario dotare il sistema di una protezione mediante password. Quest’ultima dovrà rispettare determinati criteri di sicurezza come avere una certa lunghezza e avere caratteri speciali.
In merito alle finalità del trattamento, le basi giuridiche sono le seguenti:
- Per finalità necessarie all’esecuzione di un contratto o per l’adempimento di un obbligo legale, il consenso è vincolante poiché in difetto non sarebbe possibile adempiere agli obblighi assunti nei confronti dell’interessato.
- Per finalità commerciali dirette, di profilazione o commerciali indirette a soggetti terzi, il consenso è facoltativo e non pregiudica i rapporti con la società stessa.
Affinché vi sia un trattamento lecito, corretto e trasparente, ci deve essere il consenso dell’interessato al trattamento dei dati.
Il consenso corrisponde ad una manifestazione di volontà specifica, informata ed inequivocabile dell’interessato al trattamento. Questo deve essere liberamente prestato e il titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia acconsentito.
Alla luce di quanto sopra, il consenso sarà vincolante per poter concludere un contratto oppure per l’adempimento di un obbligo legale, mentre non sarà vincolante e quindi non necessario per i dati non indispensabili, ed in particolare al fine di profilare l’utente oppure per comunicazioni commerciali.
Qualora nella rete fosse necessario acquisire il consenso da parte di un soggetto minore, è giusto ricordare che questi merita di una specifica protezione in quanto non consapevole dei rischi cui potrebbe andare in contro.
Per questo motivo per il consenso dei minori, il limite di età, affinché il trattamento dei dati personali sia lecito, è di 16 anni.
Qualora il soggetto interessato abbia meno di 16 anni allora il consenso è lecito solo nella misura in cui questo è stato prestato o autorizzato dal titolare della responsabilità genitoriale.
Oltre a quanto sopra spiegato, riteniamo necessario soffermarci, seppur in maniera limitata sul tema della conservazione dei dati digitali.
Infatti, i dati, oggetto del trattamento, devono essere conservati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per cui è stato dato il consenso. Qualora, fosse necessario conservare i dati per un periodo di tempo più lungo si deve valutare la conformità alla luce di quanto previsto dall’art.89, paragrafo 1 GDPR.
Tra i diritti che l’interessato del trattamento dei dati può esercitare, si trova il c.d. diritto all’oblio o diritto di cancellazione come previsto dall’art. 17 GDPR.
Questo diritto si configura come un diritto alla cancellazione in forma rafforzata dei propri dati personali.
Il diritto all’oblio corrisponde, come sopra osservato, al diritto, da parte dell’interessato, di vedere cancellati i propri dati e che questi non vengano più sottoposti a trattamento,
nei casi in cui:
–Non più necessari per le finalità per le quali sono stati raccolti o trattati;
–Il consenso sia stato revocato;
-L’interessato si sia opposto al trattamento;
-Il trattamento non risulta essere conforme al GDPR.
Tuttavia, permangono dei casi in cui la conservazione dei dati personali rimane lecita, ad esempio per adempiere ad un obbligo legale oppure per un compito di interesse pubblico, come previsto dal C-65 e dall’art.17 GDPR.
Ai fini della presente disamina, riteniamo interessante definire e comprendere il funzionamento dei cookies, che in quanto tali integrano l’utilizzo di dati personali.
I cookies come definiti al C-30 GDPR, sono dei marcatori temporanei; pertanto, sono in grado di memorizzare le ricerche fatte dagli utenti durante le varie sessioni di navigazione, permettendo loro di navigare in maniera personalizzata ed efficiente.
Dal punto di vista tecnico, invece, ovvero dei piccoli file contenti stringhe di testo come il nome del sito e dati criptati. Sono utili al gestore del servizio o a terze parti perché vengono trasmessi sui dispositivi di navigazione degli utenti permettendo di memorizzare una serie di dati utili.
I cookies possono essere:
- Di sessione, hanno una durata nel tempo limitata in quanto durano fino a quando non si chiude la pagina web e sono per esempio i dati di login oppure il carrello in un e-commerce; diversamente dai
- Cookies permanenti che restano memorizzati come file nel computer anche dopo la chiusura della pagina web.
Ritentiamo, quindi, interessante analizzare le differenti tipologie di cookies.
Innanzitutto, i cookies possono essere:
–Di prima parte: appartengono, infatti, al titolare dell’applicazione e sono accessibili esclusivamente a lui (p.e. i cookie di salvataggio del carrello e-commerce)
–Di terza parte: appartengono a fornitori esterni e sui quali il titolare del trattamento non ha un controllo diretto. (p.e. cookie di Google Analytics)
Inoltre, questi piccoli file di testo possono essere:
–Tecnici: necessari al funzionamento del sito, raccolgono informazioni anonime e aggregate. Date le caratteristiche appena elencate, non sarà necessario il consenso preventivo dell’utente, basterà semplicemente informarlo mediante un cookie policy.
Sono cookies tecnici:
i. Quelli strettamente necessari al funzionamento dell’applicazione
ii. Quelli di sessione
iii. Quelli necessari a compiere analisi statistiche
–Di profilazione: in grado di creare uno specifico profilo dell’utente sulla base dei suoi interessi e preferenze. Data la grande invasività di questo strumento è necessario un preventivo consenso dell’utente mediante l’utilizzo di un cookie banner.
Se per il trattamento dei dati personali è necessario informare l’utente sull’uso di questi e sulla loro eventuale conservazione, anche per i cookies si rivede questa necessità, perché come detto in precedenza integrano i dati degli utenti.
Pertanto, chiunque faccia ricorso all’utilizzo di questo strumento avrà l’obbligo di informare l’utente sull’utilizzo e sul tipo di finalità cui verranno sottoposti i dati, come previsto dall’art. 122 codice e-privacy.
L’informativa in merito all’utilizzo dei cookies da parte del titolare del trattamento dei dati:
- deve rispettare i requisiti sanciti agli articoli 12 e 13 GDPR
- dovrà avere un linguaggio semplice ed accessibile
- dovrà essere multilayer, ovvero dislocata su più livelli all’interno della stessa pagina web.
Ad ogni modo però, ci sembra necessario ricordare che l’informativa è diversa in base alla tipologia dei cookies utilizzati.
Infatti, nel caso di cookies tecnici, necessari al funzionamento della stessa pagina web, l’informativa dovrà essere nella homepage della pagina oppure inclusa nell’informativa generale del sito web.
Diversa è, invece, la situazione nel caso di cookies di profilazione o, comunque non tecnici, che in quanto tali rappresentano un elevato potenziale di invasività nella sfera del privato, perciò richiedono il ricorso, da parte del titolare del trattamento, all’utilizzo del banner.
In materia di consenso per le tecnologie di tracciamento, si è espresso l’EDPB (European Data Protection Board) con provvedimento n.5/ 2020e il Garante Italiano, con provvedimento n.231/ 2020 dove chiaramente emerge che il consenso per essere valido deve essere:
- informato
- specifico
- precedente al trattamento dei dati dell’utente
- revocabile
- e non incluso nelle condizioni di prestazione del servizio.
Sia il Garante Europeo che il Granate Italiano per la protezione dei dati personali hanno analizzato alcune delle modalità di raccolta del consenso, tra le quali:
Scrolling: ovvero lo scorrimento in una pagina web,
–risulta essere inadatto alla raccolta di un consenso idoneo
–A meno che, non sia data la possibilità all’utente di generare un’azione positiva idonea a rappresentare una manifestazione di volontà di prestare un consenso al trattamento dei dati.
Cookie wall: tecnica che impedisce la visualizzazione del sito eccetto che il consenso al trattamento dei dati,
–Tendenzialmente illecito
–Salvi i casi in cui venga data la possibilità all’utente di accedere ai servizi della pagina, senza prestare il consenso all’installazione e all’utilizzo dei cookies.
Nella stessa materia si è espressa anche la Corte di Giustizia, grande sezione, con sentenza n.673/ 2019 in materia di consenso all’installazione di cookie, dove ciò che si ribadisce è che il consenso debba essere “attivo”; pertanto, nel caso di una casella di spunta preselezionata non si integra un consenso attivo.
Alla luce di quanto analizzato nella presente disamina, è chiaro quanto il dato personale stia assumendo valore e per questo motivo gli utenti, i cui dati vengono trattati, necessitano di essere accuratamente informati.
Infatti, molto spesso, accade che i fornitori di servizi online non chiedano al consumatore la corresponsione di un prezzo bensì di fornire i dati personali, come previsto dall’art.3, paragrafo 1 della direttiva (UE) 2019/770.
In quest’ottica è chiaro che i dati personali, per le aziende, siano il nuovo oro nero e che in quanto tale, il dato, è in grado di contribuire all’arricchimento delle aziende.
DATA MONETIZATION
Riteniamo rilevante porre in evidenzia il tema della commercializzazione dei dati personali che non si pone in contrasto con il Regolamento.
Con il fenomeno della monetizzazione dei dati personali, ci si introduce alla c.d. data monetization ovvero quella tecnica che permette alle aziende di sfruttare i dati al fine di trarne il maggior benefico economico, chiaramente non sempre con comportamenti corretti nei confronti dell’utente, si veda per esempio alla discriminazione di prezzo attuata mediante le piattaforme online.
Alla luce di ciò, il dato personale risulta avere un valore economico.
Seppure sia difficile qualificare economicamente il dato, si veda l’European Assosciation for Digital Transition, nel marzo 2021, stima che Facebook, piattaforma che attualmente conserva il maggior numero di dati personali degli utenti, ha fatto un profitto pari a 196, 72€ per utente a chiusura dell’anno 2020.
In materia si è espresso anche in Consiglio di Stato con sentenza n.2631 del 2021, che ribadisce che i dati personali sono per gli operatori di servizi online un “patrimonio di rilavante valore economico”.
Tuttavia, si fa presente che qualora non venissero rispettati i vincoli promossi dal Regolamento, come previsto dallo stesso all’art. 83, l’autorità competente, tra i poteri correttivi, può infliggere una sanzione amministrativa pecuniaria che può colpire fino al 2% o al 4% del fatturato annuo delle imprese. (7)
In conclusione, possiamo affermare che un utilizzo, a fini tecnici dei dati del consumatore, non comporta alcuna criticità in quanto aiuta lo stesso consumatore ad accedere con facilità alla pagina web. Diversamente, invece, quando i dati personali vengono utilizzati per fini di profilazione o commerciali comportano sicuramente un vantaggio esclusivamente al fornitore di servizi.
Francesca Sancineti
Note:
1 Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.”
2 I dati personali sono: (C39)
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
g). Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)”
3 Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.”
4 Come da nota nr. 3.
5 Il titolare del trattamento adotta misure appropriate per fornire all’interessato […] in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato. […]
a) Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.
b) Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale. […]
c) Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico.
d) Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate.”
e) In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
f) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
g) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
h) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
i) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
l) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
m) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale […]
n). In aggiunta alle informazioni di cui al paragrafo 1, […] il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
o) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
p) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
q) […] l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
r) il diritto di proporre reclamo a un’autorità di controllo; […]
s) l’esistenza di un processo decisionale automatizzato, […].”
7 Art. 83 GDPR: “1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. […]
a) Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.
b). In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: […]
c). In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: […]
d) In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. […].”
Bibliografia:
- Silvia Martinelli, Carlo R. Chauvenent, Legal Tech, Contract Re-Design & Big Data per professionisti e imprese, Vicenza, Wolters Kluwer Italia, 2022, pp.
- GDPR (General Data Protection Regulation), Regolamento (UE) n.679/2016
- Codice della privacy, D.lgs. 196/2003
- Decreto legislativo 51/ 2018 attuazione della direttiva (UE) 20167 680
- Provvedimento dell’EDPB (European Data Protection Board) n.5/ 2020
- Provvedimento del Garante Privacy “Linee guida cookie e altri strumenti di tracciamento” n.231/ 2021
- Direttiva (UE) 2019/770
- https://digitalforeurope.eu/the-shadow-value-of-personal-data-what-value-does-something-apparently-free-have-for-the-consumer