Il presente articolo è volto ad esaminare il valore del dato e in particolare la funzione di una tecnologia di tracciamento, quale il cookie analizzandone normativa e requisiti.
***
Al fine della presente disamina, riteniamo necessario ripercorre, in dettaglio, le FONTI NORMATIVE e gli ULTIMI APPRODI in materia:
Sul dato personale:
Sui cookies:
***
Il Regolamento (UE) n.679/2016 che esamineremo nel presente articolo si pone nel mezzo tra la tutela dei dati personali e la loro circolazione nell’ottica dello sviluppo del mercato unico. A tale fine si rimanda all’art. 1, co.1: “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.”
In quest’ottica, l’attività di commercializzazione dei dati personali, da parte delle aziende, che operano una transizione digitale, non è vietata.
Il dato personale è, pertanto, qualsiasi informazione riguardante una persona fisica identificata o identificabile. In quest’ottica, i dati tutelati dal Regolamento riguardano gli esseri umani dotati di capacità giuridica e non le persone giuridiche come società o enti.
Con riferimento all’identificabilità di una persona si considerano tutti i mezzi, nella disponibilità del titolare del trattamento o di un terzo, per identificare la persona fisica in modo diretto o indiretto.
Per questo motivo, le informazioni anonime non sono soggette al Regolamento perché non sono in grado di identificare una persona.
Specifichiamo a titolo informativo, quali siano le categorie di dati particolarmente importanti:
–i dati che permettono l’identificazione diretta ovvero i dati anagrafici (nome e cognome, data di nascita e luogo di residenza).
-i dati che permettono l’identificazione indiretta, per esempio, l’indirizzo ip, marcatori temporanei (cookies) e il codice fiscale.
-i dati “sensibili” sono rappresentati di una categoria speciale di dati che in quanto tali, necessitano di maggiore tutela. Tra questi troviamo i dati che rivelano l’origine etnica di un individuo, il suo orientamento politico piuttosto che quello sessuale, i dati genetici e quelli relativi alla salute, come previsto all’art. 9.1. GDPR.
-i dati “giudiziali” riguardano eventuali condanne penali e reati come previsto all’art. 10 GDPR.
I dati “sensibili” possono essere trattati da un professionista o da un’altra persona soggetta all’obbligo di segretezza mentre i dati “giudiziali” devono essere trattati solo sotto il controllo di un’autorità pubblica oppure se autorizzato dal diritto dell’Unione o degli Stati membri si devono prevedere appropriate garanzie per i diritti e le libertà degli interessati.
In ragione delle categorie di dati trattati, il Regolamento predispone la necessità di redigere un Registro Trattamenti, nei casi in cui:
–l’impresa abbia più di 250 dipendenti, oppure
–se i dipendenti sono inferiori rispetto al numero prestabilito, quando:
a. il trattamento può presentare dei rischi per i diritti e le libertà dell’interessato
b. quando il trattamento non è occasionale
c. quando il trattamento riguarda dati sensibili o giudiziali
Inoltre, il dato personale è soggetto a trattamento ogniqualvolta sia sottoposto ad un’operazione o ad un insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati.
Il trattamento deve essere:
I dati personali devono essere trattati in modo da garantire un’adeguata sicurezza e riservatezza.
Pertanto, è importante garantire sia l’aspetto della privacy by design che by default:
Anche il principio di accountability, introdotto con l’art. 24 GDPR, risulta interessante in quest’ottica. L’accountability corrisponde infatti, al concetto di responsabilizzazione nei confronti dei titolari del trattamento dei dati personali, in quanto questi ultimi devono essere in grado di dare conto delle tecniche utilizzate per il trattamento.
Il trattamento dei dati personali da parte del titolare deve rispettare adeguate misure di sicurezza in relazione ai rischi cui si può incorrere.
Il d. lgs. 51/ 2018 attuazione della direttiva (UE) 20167 680, all’articolo 29 prevede quali siano alcune delle misure di sicurezza che devono essere attuate, tra le quali, per esempio:
–Il divieto da parte delle persone non autorizzate all’accesso delle attrezzature utilizzate per il trattamento;
–Garantire che le persone autorizzate abbiano accesso agli strumenti solo entro i limiti per cui l’autorizzazione è stata concessa;
–Garantire la possibilità di verificare chi sia stata la persona ad aver effettuato il trattamento.
Per tanto il titolare del trattamento dovrà applicare anche ulteriori tecniche atte a garantire la sicurezza nella conservazione dei dati.
Ad esempio, nel caso in cui i dati trattati siano conservati in uno strumento elettronico, sarà necessario dotare il sistema di una protezione mediante password. Quest’ultima dovrà rispettare determinati criteri di sicurezza come avere una certa lunghezza e avere caratteri speciali.
In merito alle finalità del trattamento, le basi giuridiche sono le seguenti:
Affinché vi sia un trattamento lecito, corretto e trasparente, ci deve essere il consenso dell’interessato al trattamento dei dati.
Il consenso corrisponde ad una manifestazione di volontà specifica, informata ed inequivocabile dell’interessato al trattamento. Questo deve essere liberamente prestato e il titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia acconsentito.
Alla luce di quanto sopra, il consenso sarà vincolante per poter concludere un contratto oppure per l’adempimento di un obbligo legale, mentre non sarà vincolante e quindi non necessario per i dati non indispensabili, ed in particolare al fine di profilare l’utente oppure per comunicazioni commerciali.
Qualora nella rete fosse necessario acquisire il consenso da parte di un soggetto minore, è giusto ricordare che questi merita di una specifica protezione in quanto non consapevole dei rischi cui potrebbe andare in contro.
Per questo motivo per il consenso dei minori, il limite di età, affinché il trattamento dei dati personali sia lecito, è di 16 anni.
Qualora il soggetto interessato abbia meno di 16 anni allora il consenso è lecito solo nella misura in cui questo è stato prestato o autorizzato dal titolare della responsabilità genitoriale.
Oltre a quanto sopra spiegato, riteniamo necessario soffermarci, seppur in maniera limitata sul tema della conservazione dei dati digitali.
Infatti, i dati, oggetto del trattamento, devono essere conservati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per cui è stato dato il consenso. Qualora, fosse necessario conservare i dati per un periodo di tempo più lungo si deve valutare la conformità alla luce di quanto previsto dall’art.89, paragrafo 1 GDPR.
Tra i diritti che l’interessato del trattamento dei dati può esercitare, si trova il c.d. diritto all’oblio o diritto di cancellazione come previsto dall’art. 17 GDPR.
Questo diritto si configura come un diritto alla cancellazione in forma rafforzata dei propri dati personali.
Il diritto all’oblio corrisponde, come sopra osservato, al diritto, da parte dell’interessato, di vedere cancellati i propri dati e che questi non vengano più sottoposti a trattamento,
nei casi in cui:
–Non più necessari per le finalità per le quali sono stati raccolti o trattati;
–Il consenso sia stato revocato;
-L’interessato si sia opposto al trattamento;
-Il trattamento non risulta essere conforme al GDPR.
Tuttavia, permangono dei casi in cui la conservazione dei dati personali rimane lecita, ad esempio per adempiere ad un obbligo legale oppure per un compito di interesse pubblico, come previsto dal C-65 e dall’art.17 GDPR.
Ai fini della presente disamina, riteniamo interessante definire e comprendere il funzionamento dei cookies, che in quanto tali integrano l’utilizzo di dati personali.
I cookies come definiti al C-30 GDPR, sono dei marcatori temporanei; pertanto, sono in grado di memorizzare le ricerche fatte dagli utenti durante le varie sessioni di navigazione, permettendo loro di navigare in maniera personalizzata ed efficiente.
Dal punto di vista tecnico, invece, ovvero dei piccoli file contenti stringhe di testo come il nome del sito e dati criptati. Sono utili al gestore del servizio o a terze parti perché vengono trasmessi sui dispositivi di navigazione degli utenti permettendo di memorizzare una serie di dati utili.
I cookies possono essere:
Ritentiamo, quindi, interessante analizzare le differenti tipologie di cookies.
Innanzitutto, i cookies possono essere:
–Di prima parte: appartengono, infatti, al titolare dell’applicazione e sono accessibili esclusivamente a lui (p.e. i cookie di salvataggio del carrello e-commerce)
–Di terza parte: appartengono a fornitori esterni e sui quali il titolare del trattamento non ha un controllo diretto. (p.e. cookie di Google Analytics)
Inoltre, questi piccoli file di testo possono essere:
–Tecnici: necessari al funzionamento del sito, raccolgono informazioni anonime e aggregate. Date le caratteristiche appena elencate, non sarà necessario il consenso preventivo dell’utente, basterà semplicemente informarlo mediante un cookie policy.
Sono cookies tecnici:
i. Quelli strettamente necessari al funzionamento dell’applicazione
ii. Quelli di sessione
iii. Quelli necessari a compiere analisi statistiche
–Di profilazione: in grado di creare uno specifico profilo dell’utente sulla base dei suoi interessi e preferenze. Data la grande invasività di questo strumento è necessario un preventivo consenso dell’utente mediante l’utilizzo di un cookie banner.
Se per il trattamento dei dati personali è necessario informare l’utente sull’uso di questi e sulla loro eventuale conservazione, anche per i cookies si rivede questa necessità, perché come detto in precedenza integrano i dati degli utenti.
Pertanto, chiunque faccia ricorso all’utilizzo di questo strumento avrà l’obbligo di informare l’utente sull’utilizzo e sul tipo di finalità cui verranno sottoposti i dati, come previsto dall’art. 122 codice e-privacy.
L’informativa in merito all’utilizzo dei cookies da parte del titolare del trattamento dei dati:
Ad ogni modo però, ci sembra necessario ricordare che l’informativa è diversa in base alla tipologia dei cookies utilizzati.
Infatti, nel caso di cookies tecnici, necessari al funzionamento della stessa pagina web, l’informativa dovrà essere nella homepage della pagina oppure inclusa nell’informativa generale del sito web.
Diversa è, invece, la situazione nel caso di cookies di profilazione o, comunque non tecnici, che in quanto tali rappresentano un elevato potenziale di invasività nella sfera del privato, perciò richiedono il ricorso, da parte del titolare del trattamento, all’utilizzo del banner.
In materia di consenso per le tecnologie di tracciamento, si è espresso l’EDPB (European Data Protection Board) con provvedimento n.5/ 2020e il Garante Italiano, con provvedimento n.231/ 2020 dove chiaramente emerge che il consenso per essere valido deve essere:
Sia il Garante Europeo che il Granate Italiano per la protezione dei dati personali hanno analizzato alcune delle modalità di raccolta del consenso, tra le quali:
Scrolling: ovvero lo scorrimento in una pagina web,
–risulta essere inadatto alla raccolta di un consenso idoneo
–A meno che, non sia data la possibilità all’utente di generare un’azione positiva idonea a rappresentare una manifestazione di volontà di prestare un consenso al trattamento dei dati.
Cookie wall: tecnica che impedisce la visualizzazione del sito eccetto che il consenso al trattamento dei dati,
–Tendenzialmente illecito
–Salvi i casi in cui venga data la possibilità all’utente di accedere ai servizi della pagina, senza prestare il consenso all’installazione e all’utilizzo dei cookies.
Nella stessa materia si è espressa anche la Corte di Giustizia, grande sezione, con sentenza n.673/ 2019 in materia di consenso all’installazione di cookie, dove ciò che si ribadisce è che il consenso debba essere “attivo”; pertanto, nel caso di una casella di spunta preselezionata non si integra un consenso attivo.
Alla luce di quanto analizzato nella presente disamina, è chiaro quanto il dato personale stia assumendo valore e per questo motivo gli utenti, i cui dati vengono trattati, necessitano di essere accuratamente informati.
Infatti, molto spesso, accade che i fornitori di servizi online non chiedano al consumatore la corresponsione di un prezzo bensì di fornire i dati personali, come previsto dall’art.3, paragrafo 1 della direttiva (UE) 2019/770.
In quest’ottica è chiaro che i dati personali, per le aziende, siano il nuovo oro nero e che in quanto tale, il dato, è in grado di contribuire all’arricchimento delle aziende.
DATA MONETIZATION
Riteniamo rilevante porre in evidenzia il tema della commercializzazione dei dati personali che non si pone in contrasto con il Regolamento.
Con il fenomeno della monetizzazione dei dati personali, ci si introduce alla c.d. data monetization ovvero quella tecnica che permette alle aziende di sfruttare i dati al fine di trarne il maggior benefico economico, chiaramente non sempre con comportamenti corretti nei confronti dell’utente, si veda per esempio alla discriminazione di prezzo attuata mediante le piattaforme online.
Alla luce di ciò, il dato personale risulta avere un valore economico.
Seppure sia difficile qualificare economicamente il dato, si veda l’European Assosciation for Digital Transition, nel marzo 2021, stima che Facebook, piattaforma che attualmente conserva il maggior numero di dati personali degli utenti, ha fatto un profitto pari a 196, 72€ per utente a chiusura dell’anno 2020.
In materia si è espresso anche in Consiglio di Stato con sentenza n.2631 del 2021, che ribadisce che i dati personali sono per gli operatori di servizi online un “patrimonio di rilavante valore economico”.
Tuttavia, si fa presente che qualora non venissero rispettati i vincoli promossi dal Regolamento, come previsto dallo stesso all’art. 83, l’autorità competente, tra i poteri correttivi, può infliggere una sanzione amministrativa pecuniaria che può colpire fino al 2% o al 4% del fatturato annuo delle imprese. (7)
In conclusione, possiamo affermare che un utilizzo, a fini tecnici dei dati del consumatore, non comporta alcuna criticità in quanto aiuta lo stesso consumatore ad accedere con facilità alla pagina web. Diversamente, invece, quando i dati personali vengono utilizzati per fini di profilazione o commerciali comportano sicuramente un vantaggio esclusivamente al fornitore di servizi.
Francesca Sancineti
Note:
1 Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.”
2 I dati personali sono: (C39)
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
g). Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)”
3 Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.”
4 Come da nota nr. 3.
5 Il titolare del trattamento adotta misure appropriate per fornire all’interessato […] in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato. […]
a) Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.
b) Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale. […]
c) Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico.
d) Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate.”
e) In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
f) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
g) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
h) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
i) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
l) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
m) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale […]
n). In aggiunta alle informazioni di cui al paragrafo 1, […] il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
o) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
p) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
q) […] l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
r) il diritto di proporre reclamo a un’autorità di controllo; […]
s) l’esistenza di un processo decisionale automatizzato, […].”
7 Art. 83 GDPR: “1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. […]
a) Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.
b). In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: […]
c). In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: […]
d) In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. […].”
Bibliografia: