di Anna Lucia Calò

Information Society, Personal Data e Cookie o identificativi di altro tipo

Il rapporto tra Cookie Law e General Data Protection Regulation in attesa del Regolamento e-Privacy

La crescita della Information Society è contraddistinta dall’emergere di nuovi servizi di comunicazione elettronica, e i beni di primaria importanza, nella moderna società dell’informazione, sono i dati personali, ovverosia, qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).
Identificabile è la persona fisica che, può essere individuata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un “identificativo online” o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Le persone fisiche – come evidenziato nel considerando 30 del GDPR – possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookie) o a identificativi di altro tipo.
Questi identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere impiegate per realizzare profili delle persone fisiche e identificarle.

I c.d. cookie, nati come dispositivi semplificativi e agevolativi della navigazione online, sono usati per differenti e molteplici finalità e, nel linguaggio normativo, sovente, sono definiti “marcatori”.
“I cookie – come spiega il Garante per la Protezione dei Dati Personali, nel provvedimento
n. 229 dell´8 maggio 2014 – sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando”.

L’impiego dei cookie è regolamentato dalla Direttiva europea n.58/2002 – nota come Cookie Law o Direttiva e-Privacy – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Comprendere i motivi soggiacenti il varo di questa direttiva – contenente specifiche e precise guidelines nell’ambito del trattamento dei dati personali con i c.d. mezzi elettronici – non è difficile, e comunque, emergono, distintamente, solo anatomizzando il considerando 5, in cui il legislatore europeo, pone in evidenza che: “nelle reti pubbliche di comunicazione, l’introduzione di nuove tecnologie digitali avanzate pongono esigenze specifiche con riguardo alla tutela dei dati personali e della vita privata degli utenti.”
Non solo, nel medesimo considerando, è specificato molto chiaramente che: “l’accesso alle reti digitali mobili è ormai a disposizione e alla portata di un vasto pubblico. Queste reti digitali hanno grandi capacità e possibilità di trattare i dati personali.”
E, in ultimo, indica che: “il positivo sviluppo transfrontaliero di questi servizi dipende in parte dalla fiducia che essi riscuoteranno presso gli utenti in relazione alla loro capacità di tutelare la loro vita privata”. I servizi di comunicazione elettronica, accessibili al pubblico attraverso Internet, schiudono nuove opportunità agli utenti ma, implicano anche nuovi rischi per i loro dati personali e la loro vita privata, come puntualizzato nel successivo considerando 6 della direttiva n.58/02.

A distanza di anni dall’adozione della Cookie Law, nel 2016 è entrato in vigore un General Data Protection Regulation (n.679/16), notoriamente celebre con l’acronimo GDPR, che ha rinnovato e riformulato, totalmente, la normativa in materia di data protection. Quindi, allo stato attuale, come si pone, la direttiva e-privacy rispetto al GDPR?

Dunque, per il momento, è la Direttiva e-Privacy 2002/58/CE – modificata nel 2009 dalla Direttiva 136/CE – a regolamentare e disciplinare l’uso dei cookie e il consenso al loro utilizzo, e questo sia prima del GDPR sia dopo la sua piena attuazione – 25/5/18 – e fino al momento in cui non sarà adottato il nuovo Regolamento e-Privacy che, sostituirà l’attuale direttiva che, non è stata assolutamente abrogata o modificata dal GDPR.
Non a caso, l’art. 95 del GDPR (Rapporto con la direttiva 2002/58/CE) precisa che, il GDPR non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.
La Cookie Law, precisa ed integra il GDPR, al fine di tutelare la vita privata e la riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche, dato che, le strumentazioni terminali degli utenti di reti di comunicazione elettronica e ogni informazione memorizzata in tali apparecchiature, fanno parte della sfera privata dell’utente.

Gli obblighi della normativa europea in materia cookie sono stati recepiti in Italia, con il d.lgs.69/12, che ha riformulato l’art. 122 (Informazioni raccolte nei riguardi dell’contraente o dell’utente) del d.lgs. 196/2003, e, l’unica modifica apportata all’art.122, con il d.lgs.101/18, consiste nella soppressione del riferimento “all’articolo 13, comma 3 del d.lgs.196/03″.
Per la corretta regolamentazione di tali dispositivi, è necessario distinguerli sulla base delle finalità perseguite da chi li utilizza e, in tale direzione si è mosso il legislatore italiano, che, ha ricondotto l’obbligo di acquisire, il consenso preventivo e informato degli utenti on-line, all’installazione di cookie utilizzati per finalità diverse da quelle “meramente tecniche”.

Al riguardo – come indica il Garante nel provv.
n. 229/14 – si individuano due macro-categorie: cookie tecnici e cookie di profilazione. In breve, per l’installazione dei cookie tecnici, non è richiesto il consenso degli utenti ma è necessario fornire l’informativa ex art. 13 del GDPR, mentre, i c.d. cookie di profilazione, possono essere installati sul terminale dell’utente, esclusivamente se questo abbia manifestato il proprio consenso, dopo essere stato informato con le c.d. modalità semplificate, indicate dal Garante nel medesimo provvedimento, relativo, infatti, all’individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie.

Nello specifico, l’art.122, comma 1, del d.lgs.196/03, dispone che, l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate (cookie di profilazione) sono consentiti – unicamente – a condizione che il contraente o l’utente abbia espresso il proprio consenso* dopo essere stato informato con modalità semplificate e, ai fini dell’espressione del consenso ex art.122, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
Gli obblighi di informativa e consenso per l´uso dei cookie, incombono sul titolare del sito web che installa i cookie di profilazione, mentre, per i c.d. cookie di terze parti – installati tramite il sito – gli obblighi di informativa e consenso, gravano sulle terze parti, ma il titolare del sito – intermediario tecnico tra le terze parti e gli utenti – è tenuto a inserire nell´informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse, come indica e specifica il Garante nel provvedimento n. 229 dell´8 maggio 2014.

Ciò – continua l’art.122, comma 1 del d.lgs.196/03 – non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio (cookie tecnici).
A questo riguardo, è opportuno precisare che, le disposizioni dettate in tema di informativa e consenso per i cookie tecnici, valgono anche per i c.d. cookie analytics, solo nelle ipotesi in cui, questi ultimi sono impiegati a “fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito” (cfr. prov.n.229/14 del Garante).
Salvo quanto previsto dal comma 1 dell’art.122, con riferimento ai cookie tecnici e di profilazione, è – comunque – vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

L’art. 122 del d.lgs. 196/2003, trova applicazione per tutti i siti web che installano cookie sui terminali degli utenti, utilizzando per il trattamento, strumenti siti sul territorio dello Stato, a prescindere dalla presenza di una sede nel territorio.
Le violazioni delle disposizioni di cui all’art.122, sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del GDPR, come previsto dall’art. 166 – Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori – del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679.

Come noto, l’applicazione della Direttiva UE n.58/02 – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche – negli Stati UE non è unitaria, tuttavia, la Cookie Law o Direttiva e-Privacy, come anticipato, è destinata ad essere sostituita dal Regolamento e-Privacy, attualmente ancora in fase di esame, che, a differenza della direttiva, non necessiterà di un provvedimento di recepimento interno da parte di ogni singolo Stato UE, ma esattamente come la direttiva che andrà a sostituire, opererà di concerto con il GDPR, e, rientra nel novero delle misure dirette alla realizzazione del “Digital Single Market”, poiché mira ad assicurare la funzionalità e la sicurezza dei servizi digitali, quindi, una migliore protezione della sfera privata e anche nuove opportunità economiche.

*Per chi volesse esaminare in modo approfondito la tematica relativa alla dichiarazione di consenso con riferimento ai cookie, mi riporto al testo della Sentenza della Corte – Grande Sezione – del 1° ottobre 2019 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV contro Planet49 GmbH.
Rinvio pregiudiziale – Direttiva 95/46/CE – Direttiva 2002/58/CE – Regolamento (UE) 2016/679 – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Cookie – Nozione di consenso dell’interessato – Dichiarazione di consenso mediante una casella di spunta preselezionata. Causa C-673/17) reperibile al seguente url: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62017CJ0673.