Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

Il Garante della Privacy chiarisce la recente normativa in materia di cookies: spunti e criticità

Scritto da Paolo Pugliese

Il 16 gennaio scorso il Garante per la protezione dei dati personali ha pubblicato sul proprio canale Youtube un video divulgativo riguardante le problematiche collegate all'utilizzo dei cookies, in quanto rappresentano potenzialmente una seria minaccia alla privacy degli utenti.
Durante il mese di maggio il Garante aveva emanato un provvedimento volto a disciplinare in maniera chiara questo fenomeno: se ignorati, questi file possono rimanere per un lungo periodo nella memoria del dispositivo, causando rallentamenti e potenziali offerte pubblicitarie non gradite.

L'obiettivo della campagna, si legge sul sito del Garante, è quello di sensibilizzare gli utenti di Internet sull'invasività che i cookie - in particolare quelli di profilazione - possono avere nell'ambito della sfera privata, ma anche illustrare, in modo chiaro e sintetico, le misure di garanzia introdotte dall'Autorità con il provvedimento generale [doc. web n 3118884] sull'uso dei cookie dello scorso maggio.

Risulta, quindi, rilevante effettuare un'analisi approfondita dei cookies, in modo da comprendere più efficacemente i rischi ad essi connessi e, più importante, sapere come difendersi da eventuali abusi.
I cookies sono file di piccole dimensioni (alcune volte file di testo, altre volte immagini) che vengono inviati da moltissimi siti internet ai browser degli utenti.
Lo scopo di questo procedimento è lasciare una piccola traccia sui dispositivi, in modo che, alla prossima connessione, il sito “ricordi” le scelte effettuate durante le precedenti sessioni: la funzione “salva la mia password”, per esempio, non sarebbe possibile senza raccogliere questi dati, fornendo così una grande comodità senza alcun apparente inconveniente.
Un'analisi di questo tipo, però, sarebbe del tutto incompleta: infatti, questo procedimento è foriero di grandi rischi, soprattutto dal punto di vista dell'anonimato durante la navigazione internet.
Questi file, infatti, vengono utilizzati anche da grandi colossi commerciali come Amazon o e-Bay per ricordare le ricerche effettuate in passato, così da rendere più facile per l'algoritmo che governa il portale offrire i migliori prodotti, scelti per noi utilizzando le preferenze precedentemente espresse e registrate dal sistema.
Risulta evidente, però, che ricordare ogni scelta che ogni utente ha effettuato si traduce nella pratica in un immenso database, nell'epoca in cui i dati online equivalgono ad un aspetto della nostra personalità.
Le problematiche riguardanti i cookies non possono essere ignorate da nessun utente che voglia fare un uso responsabile di internet: le pubblicità mirate visualizzate su Facebook sono effettuate tramite cookies, i risultati delle ricerche effettuate su Google sono indicizzate tramite gli stessi.
Dagli esempi effettuati risulta dunque evidente come un intervento correttivo da parte del legislatore fosse quantomai necessario.
Bisogna però distinguere tra i vari tipi di file che possono essere incontrati durante la navigazione, ovvero cookie “tecnici” e “di profilazione”.
I primi vengono utilizzati all'accesso su un determinato sito, per ricordare che l'utente si è appena collegato e per non dover immettere username e password ogni volta che si passi da una scheda all'altra del browser, cosa che renderebbe la navigazione su internet assai più complessa: proprio perché ritenuti meno invasivi, in mancanza di finalità commerciali, il Garante ha stabilito che non sia necessario il consenso degli utenti per il loro utilizzo, ferma restando la necessità, comune a tutti i file di questo tipo, di dare un’informativa circa la loro presenza.
Inoltre, per il loro carattere di temporaneità (vengono automaticamente cancellati una volta usciti dal browser) i cookies di questo primo tipo sono sottratti all'obbligo di notifica al Garante.

I cookies di profilazione, invece, rappresentano un pericolo molto maggiore per la sicurezza e la riservatezza: registrando le preferenze commerciali, di ricerca e di gusti di milioni di persone nel mondo si crea un database onnicomprensivo di ciò che viene gradito o meno dai consumatori.
Risulta evidente come il concetto stesso di riservatezza sul web passi da una regolamentazione stringente di questa materia: se gli utenti non fossero adeguatamente tutelati, potrebbero andare incontro, per esempio, a numerose e-mail riguardanti offerte pubblicitarie mai esplicitamente richieste ma inviate sulla base delle precedenti sessioni di navigazione.
Amazon per esempio, gigante dell'e-commerce, sta progettando un sistema per ridurre ulteriormente i suoi tempi di consegna attraverso un nuovo utilizzo dei cookies: le merci verranno inviate nei magazzini vicini a persone che hanno già acquistato prodotti similari ai nostri, permettendo così una più veloce esecuzione degli ordini, partendo dal presupposto che se molte persone hanno acquistato qualcosa da un computer geolocalizzato vicino a noi, è possibile che quello stesso bene possa suscitare anche la nostra attenzione.
Sicuramente iniziative come queste sono rivoluzionarie, ma nei più cauti dei commentatori hanno trovato spazio aggettivi come “distopico” e “orwelliano”.
Si tratta della nuova frontiera della strategia commerciale, un mondo in cui è possibile che un computer decida per noi e meglio di noi cosa desideriamo.
Per queste motivazioni il Garante ha stabilito che per i cookies di tipo commerciale sia necessario il consenso esplicito degli utenti, in modo da lasciare all'autonomia privata la possibilità di avvalersi o meno di queste nuove tecnologie.
D'altro canto, seppur questa statuizione rappresenti un grande passo in avanti nella disciplina della privacy su internet, essa risulta via via meno incisiva man mano che cresce l'importanza della controparte con cui l'utente si trova ad avere a che fare: per fare un esempio, Google avvisa i propri utenti che sta raccogliendo informazioni circa le loro preferenze online, ma non c'è modo di utilizzare i suoi servizi senza accettare che tali informazioni vengano raccolte. Lo stessa considerazione può essere effettuata per tutte le grandi Internet Companies come Microsoft, Facebook o e-Bay.
Si pensi a cosa potrebbe succedere, poi, in caso di attacchi hacker: i dati di migliaia di persone sarebbero a rischio.
Basti pensare che in quasi tutti i maggiori browser che vengono utilizzati per l'accesso a Internet è impostata di default l'opzione del consenso alla raccolta dati a fini commerciali, mentre la legge è esplicita nel sostenere che dovrebbe essere l'utente, se interessato, ad acconsentire all'utilizzo di questi file, secondo la politica dell'opt-in.
La disciplina è ulteriormente complicata dalla circostanza che molto spesso non sono solo i gestori dei siti ad offrire (più o meno esplicitamente) questi file, ma spesso ciò viene fatto anche da terze parti, esterne al rapporto bilaterale tra utente e portale online.
Questo tertium genus rappresenta sicuramente uno dei punti di maggiore criticità della disciplina: spesso, infatti, nemmeno i gestori dei siti conoscono con precisione tutte le terze parti che forniscono file di questo tipo sul proprio portale, con l'evidente rischio di profilare, a fini commerciali, gli utenti senza che essi sappiano a chi rivolgersi se i loro diritti sono stati lesi.
Inoltre, sottolinea acutamente il Garante come i cookies di terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.
Risulta evidente come ci si avvicini ad una probatio diabolica: chi risponderà degli eventuali illeciti commessi attraverso questo sistema, quando nemmeno il gestore dei contenuti conosce con precisione chi sta raccogliendo questi dati?
Bisogna sottolineare come spesso, inoltre, la terza parte sia di fatto quella con il maggior peso contrattuale, essendo i cookies largamente utilizzati soprattutto da grandi aziende.
Dunque, per semplificare e velocizzare la richiesta del consenso, il Garante ha stabilito che se un sito internet sfrutta questo tipo di dati deve innanzitutto renderlo esplicito ai suoi utenti tramite una breve riga di testo e con un banner a scomparsa, contenente il link alla politica completa circa le modalità di profilazione.
Questo doppio livello di notifica dovrebbe da un lato rendere più facile riconoscere quali portali facciano uso di file per registrare le preferenze e quali no, mentre dovrebbe dare la possibilità agli utenti più esperti di conoscere nel minimo dettaglio quali siano le modalità della raccolta di informazioni.
Le pene previste per l'inosservanza di questa disciplina sono particolarmente severe: infatti, la mancata notifica al Garante è punita con sanzione amministrativa da ventimila a centoventimila euro, mentre la pena per l'installazione di file a fini di profilazione commerciale senza consenso preventivo va dai diecimila ai centoventimila euro.
Risulta evidente come nel mondo di internet non è possibile ignorare questi piccoli file, che da soli rendono completamente diversa la nostra esperienza di navigazione: come detto, in gioco ci sono interessi economici enormi di grandi imprese nonché lo stesso concetto di privacy online degli utenti, quantomai a rischio.
Verificando che pochissimi portali web riportano banner e informative del tutto in linea con le disposizioni del Garante pur essendo passati dieci mesi dall'introduzione di queste norme, risulta importante sottolineare come sempre maggiori sforzi sono necessari per assicurare l'applicazione di queste importanti modifiche normative.