Direttiva ePrivacy

A un anno circa di distanza dall'attuazione in Italia della Cookie Law, cioè la regolamentazione dei file utilizzati dai server web per memorizzare preferenze, dati e informazioni relative alla navigazione di un utente su di un sito, molte cose sono cambiate. Innanzitutto è stato finalmente approvato il Regolamento Generale in materia di protezione dei dati personali (GDPR), che entrerà in vigore il 25 maggio del 2018.

All’interno del nuovo quadro normativo si è posta l’esigenza di una riforma anche della direttiva ePrivacy (95/46/EC), iniziativa chiave per rafforzare la fiducia dei cittadini nei servizi digitali in vista della realizzazione del Mercato Unico Digitale. La direttiva, infatti, pur muovendosi all’interno del quadro generale posto dal GDPR, si sovrappone a esso con regolamentazioni per specifici settori, quali il trattamento dei dati all’interno dei servizi digitali e delle comunicazioni in Internet.

La Commissione europea ha lanciato una consultazione pubblica nella quale pone questioni importanti, emerse durante l’attuazione della Cookie Law, come il problema del consenso cumulativo dei cookie, che di fatto nega agli utenti una vera e propria scelta (o li accetti tutti, compreso quelli di profilazione, oppure lasci il sito).

In questo quadro si inserisce l’attività di lobbying delle aziende tecnologiche e delle associazioni di settore (ETNO, ECTA, GSMA, CCIA, IAB e DIGITAL EUROPE), le quali chiedono di non riformare la ePrivacy, ma solo di abrogarla. Sostengono, infatti, che la regolamentazione prevista dal GDPR è più che sufficiente per una tutela dei diritti in rete. Nel momento in cui si avvia la sperimentazione della rete 5G europea, le telco e i fornitori di servizi online (Google, Facebook, Apple, Microsoft, ecc…), assicurano che la semplificazione della normativa andrà a beneficio dei consumatori, incoraggiando nel contempo l’innovazione e portando a crescita e a nuove opportunità.

Le aziende tecnologiche e di telecomunicazioni hanno avversato per anni la riforma della normativa Data Protection, ma adesso la abbracciano ritenendo che una normativa di settore, come la e-Privacy, non sarebbe più attuale. In realtà sbarazzarsi di questa direttiva renderà più facile estendere e consolidare il modello commerciale del monitoraggio degli utenti

Dall’altro lato le associazioni per i diritti civili, invece, insistono per una riforma della direttiva ed una armonizzazione delle regole di settore. L’intenzione è di trasformare anche la direttiva e-Privacy in un Regolamento, così da evitare differenze attuative tra i vari Stati.
Si evidenzia che oggi la maggior parte delle conversazioni si realizza tramite Internet, a mezzo di sistemi di messaggistica, e quindi diventa indispensabile l’estensione delle protezioni per la comunicazioni telefoniche anche alle comunicazioni digitali.

Infatti, mentre le telefonate non possono essere ascoltate se non in presenza di un mandato di un giudice, molte delle comunicazioni online (es. le mail) vengono regolarmente scansionate dai fornitori di servizi online a fini pubblicitari. EDRi chiede che la nuova e-Privacy debba tutelare la segretezza delle comunicazioni, la libertà di espressione, i dati personali e l’inviolabilità delle proprietà dell’individuo, oltre a rendere illecita l’installazione di software sui dispositivi degli utenti in assenza di consenso.

L'incidenza sui cookie

Una modifica della direttiva e-Privacy, in un senso o nell’altro, inciderà particolarmente sui cookie, visto che sono ad oggi uno degli strumenti di tracciamento più utilizzati.
Un primo aspetto positivo è che la nuova regolamentazione si applicherà in maniera uniforme tra tutti gli Stati, da cui un’ovvia semplificazione per i gestori di siti web, che non dovranno più avere a che fare con le diverse regolamentazioni dei Garanti nazionali. Di contro l’armonizzazione delle regole comporterà indubitabilmente una maggiore severità di implementazione per alcuni paesi.

Nel GDPR i cookie sono menzionati nel Considerando 30:

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

I cookie sono dati pseudonimi, cioè dati personali dove gli elementi identificativi sono stati sostituiti da altri elementi (quali stringhe di testo e numeri). I dati pseudonimi, a differenza di quelli anonimizzati, sono comunque ritenuti dati personali anche se soggetti ad una tutela ridotta, perché comunque incrociandoli con altre informazioni è possibile giungere all'identificazione della persona, o meglio all’identificazione univoca del dispositivo utilizzato per l’accesso e la navigazione online.

Questo è quanto si ricava dal Considerando 26, il quale aggiunge che il GDPR non si applica al trattamento di informazioni anonime per finalità statistiche e di ricerca, con ciò riprendendo le esenzioni previste per i cookie di analytics.

Essendo dati personali i cookie sono soggetti a consenso. Il consenso, in base al Considerando 32,

dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Il consenso, quindi, deve essere inequivocabile, libero, specifico e informato. Il GDPR non prevede che il consenso debba essere esplicito (tranne nei casi di trattamento di dati sensibili), può anche essere implicito purché dal comportamento dell’interessato non emerga alcun dubbio che abbia voluto conferire il consenso.
Il consenso per i cookie dovrà, quindi, essere impostato come opt-in, cioè occorre un comportamento, anche implicito ma inequivoco, dell’utente del sito che acconsenta all'utilizzo dei suoi dati. Poiché l’inerzia non costituisce consenso, è evidente che il consenso dovrà essere, appunto, preventivo, cioè richiesto, e conferito, prima dell’invio dei cookie al terminale dell’utente.

L’uso di “impostazioni tecniche per servizi della società dell'informazione”, cioè le impostazioni del browser di navigazione per fornire o rifiutare il consenso per i cookie, è ritenuto valido solo in circostanze specifiche, e cioè se, prima dell’invio dei cookie, l’utente è stato informato correttamente delle finalità degli stessi, e se i cookie sono tutti di tipo HTTP. Il CNIL francese chiarisce, infatti, che le impostazioni dei browser non consentono, allo stato, di gestire diversi tipi di tecnologie, come i flash cookie o tecniche di finger-printing. Inoltre, i browser sono generalmente impostati per accettare o rifiutare tutti i cookie, per cui un rifiuto determinerebbe l’impossibilità di accedere ad alcuni dei servizi forniti dal sito, e il consenso non sarebbe più considerabile come libero.

La libertà del consenso è elemento essenziale, e prevede che l’utente non debba subire conseguenze negative a seguito del mancato consenso, cioè non deve essere soggetto al ricatto di dover subire pubblicità commerciale volendo comunque usufruire dei servizi dei sito.
Lo stesso Garante italiano, con provvedimento del 31 gennaio 2008 ha chiarito che non può definirsi libero il consenso a ulteriori trattamenti dei dati personali che l'interessato debba prestare quale condizione per conseguire una prestazione richiesta.
Infatti l’articolo 7 del Regolamento chiarisce che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”.

Sempre il Considerando 32 prevede che,

Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.

Ciò vuol dire che il consenso deve essere specifico per ogni finalità. Se i cookie perseguono diverse finalità occorre un consenso per ognuna di esse.
Infine, sempre l’articolo 7 prevede che l’interessato ha diritto di revocare il proprio consenso in qualsiasi momento, “con la stessa facilità con cui è accordato”. Ovviamente la revoca del consenso non determina l'illiceità dei dati trattati precedentemente alla revoca, ma comporta che qualsiasi trattamento ulteriore diventi illecito.

Le regole future

La prossima regolamentazione dei cookie non differirà molto dall’attuale. Sarà armonizzata tra i paesi dell’Unione, prevederà un consenso preventivo (opt-in), che dovrà essere nel contempo anche granulare, potendo distinguere tra i vari cookie (e quindi i vari trattamenti), e comporterà la necessità di consentire la revoca del consenso con le stesse modalità con le quali il consenso è stato fornito.

Rimarranno le esenzioni dal consenso in casi specifici, così come è attualmente, con probabile estensione a tutta l’Europa per l’esenzione relativa ai cookie di Analytics, purché correttamente anonimizzati, così come suggerito dal Gruppo Articolo 29.

C’è da aggiungere che vi sono ulteriori ipotesi nelle quali non occorre raccogliere il consenso per i cookie. Ad esempio, l’attuazione di un contratto oppure specifici obblighi legali del gestore del sito sono motivi validi per l’utilizzo di cookie anche in assenza di consenso. Quindi, in caso di rilevamento di dati per motivi di sicurezza del sito o per la tutela da possibili frodi, il loro utilizzo è giustificato anche in assenza di consenso. A tali ipotesi si aggiungono gli interessi legittimi del controller (cioè il titolare del trattamento), che potrebbero giustificare l’utilizzo di cookie.

Nel GDPR, infatti, è prevista la possibilità di trattare dati sulla base dei legittimi interessi del controller, a meno che tali interessi non siano in contrasto con i diritti e le libertà fondamentali dell'interessato, in particolare se esso è un minore. Anche il legittimo interesse delle terze parti alle quali il controller fornisce i dati può autorizzare l'uso dei dati.
Il problema si sposta sulla genericità della definizione di legittimi interessi, che nella sua vaghezza può autorizzare molti trattamenti. Ad esempio, per una azienda di advertising l’invio di pubblicità comportamentale è legittimo interesse?
L’articolo 6 del GDPR stabilisce le condizioni per l’attuazione di un trattamento in base ai legittimi interessi, ponendo l’accento sul rapporto sussistente tra interessato e titolare del trattamento. In ogni caso è pacifico che anche in presenza di un trattamento basato sui legittimi interessi deve sempre essere possibile per l’utente richiedere la cessazione del trattamento (opt-out).

Tutte le perplessità

Permangono anche tutte le perplessità che già hanno colpito la prima implementazione della Cookie Law. I legislatori europei e i regolatori nazionali giustificano la Cookie Law asserendo che va a colmare un vuoto informativo importante. Fin dalla nascita del web le aziende tecnologiche hanno tracciato le abitudini degli utenti, controllando ogni suo comportamento. Con le più recenti tecnologie siamo arrivati a forme di sorveglianza di massa indiscriminata e permanente, con grave detrimento dei diritti fondamentali dei cittadini.

Negli anni la fiducia dei cittadini nei servizi online è in diminuzione, in particolare sono pochi i cittadini che si fidano della gestione dei loro dati da parte delle aziende (indagine TRUSTe Privacy index 2013, studio Microsoft).

Internet allo stato attuale è come un centro commerciale nel quale il titolare del centro non fa altro che vendere i suoi clienti agli inserzionisti, i produttori delle merci sugli scaffali, laddove il centro commerciale controlla passo passo cosa fa e cosa compra ogni singolo cliente. I profitti di Google, ma anche di Facebook e di altre aziende tecnologiche, vengono in gran parte proprio dallo sfruttamento di questo tipo di controllo. Questo è il prezzo che paghiamo per come è oggi Internet.

Quindi, è essenziale che le istituzioni stabiliscano delle regole che impongono dei limiti a tali attività di monitoraggio e sfruttamento dei dati dei cittadini. È anche vero, però, che la Cookie Law non pare abbia raggiunto lo scopo che si era prefissata, quello di rendere più consapevoli i cittadini delle attività di profilazione da parte delle aziende, così convincendoli a fare maggiore attenzione ai dati che condividono online, e quindi acquisendo una maggiore fiducia nei servizi online (eh, se no questo Mercato Digitale Unico non decolla!).

Sotto il profilo informativo la norma sicuramente ha portato i cittadini ad avere maggiore attenzione al problema dei cookie, ma più che altro perché sono bombardati quotidianamente da banner di tutti i tipi, forme e dimensioni. Ormai i banner dei cookie sono divenuti la nuova forma di spam del web.

Per capire l’inutilità dell’attuale regolamentazione basta immaginare una sessione di navigazione su smartphone, con passaggi da social network a siti esterni, per i quali l’utente dovrebbe, in teoria, cliccare sul banner e leggere tutta l’informativa privacy e cookie (su uno smartphone!) per una adeguata e completa informazione. E poi, sulla base delle informazioni lette, dovrebbe fornire il proprio consenso. Ma, quanti siti permettono un effettivo consenso? La quasi totalità dei siti chiede il consenso per tutti i cookie cumulativamente, molti siti legano tale consenso al click su un link nella pagina o più semplicemente allo scroll della pagina (che può avvenire anche inavvertitamente), così che il consenso non è mai realmente libero e consapevole. E praticamente nessun sito inserisce controlli per la revoca del consenso.

Inoltre, per come è attuata, la Cookie Law finisce per essere un pesante onere burocratico per i gestori di piccoli blog. Questi, se vogliono inserire plugin sociali nei loro siti (elemento ormai indispensabile per poter essere visibili sul web), rischiano pesanti multe in caso di mancato blocco preventivo dei cookie e non corretta gestione degli stessi. Non dimentichiamo, infatti, che anche il solo controllo dei cookie che veicola il sito comporta conoscenze tecniche non banali, e realizzare un sistema di controllo e gestione dei cookie granulare, con possibilità di revoca del consenso già dato, è sicuramente una questione tecnica per la quale occorrono capacità di programmazione avanzate.

Per cui anche l'utilizzo di social plugin, comporta l’attuazione di rigide regole di controllo e gestione dei cookie, anche se in realtà il controllo effettivo, e lo sfruttamento, dei cookie legati al social plugin dipende esclusivamente dall’azienda a cui fanno capo i plugin (es. Facebook). Il gestore di un sito risponde delle sue scelte, e quindi deve gestire (informativa, blocco preventivo e richiesta di consenso) i cookie anche di terze parti (es. un social network). Ma in realtà il gestore del sito non sa nulla di cosa fanno quei cookie e di quali dati trattano, quindi la sua richiesta di consenso non è realmente “informata”. Il gestore del sito si limita a rimandare alle policy dell’azienda titolare dei plugin e dei cookie.

Chi è iscritto ad un social network, e naviga in Internet loggato nel social network, di fatto ha già dato il consenso al tracciamento della sua navigazione tra i vari siti, anche al di fuori del social network, per cui l’ulteriore richiesta di consenso del gestore di un piccolo sito che usa i social plugin è ridondante, oltre che non sufficientemente “informata”. In tal senso il CNIL francese ritiene che il consenso già ottenuto da un sito può considerarsi valido e applicabile ad altri siti (navigazione cross domain) che utilizzano lo stesso cookie, così semplificando enormemente la gestione per i piccoli siti.

Ma, se l’utente non è iscritto al social network, oppure non naviga loggato, egli non dovrebbe essere tracciato dai social plugin. Ed è questa l’ipotesi che occorre regolamentare strettamente. Il problema è che i social network tendono a tracciare la navigazione delle persone indipendentemente da qualsiasi consenso, realizzando addirittura dei profili shadow (ombra) per utenti non iscritti al loro social. Il CNIL francese ha sollevato la questione ritenendo, come del resto anche il Garante belga, che il tracciamento dei non-utenti sia una violazione delle leggi europee. Il CNIL sostiene addirittura che il tracciamento della navigazione attraverso vari siti degli utenti iscritti, a mezzo dei plugin social, è comunque in violazione delle leggi in quanto il cookie è impostato dal plugin prima di qualsiasi consenso (è per questo motivo, infatti, che occorre il blocco preventivo dei cookie).

Nel caso del tracciamento dei non-utenti, un consenso chiesto dal gestore di un piccolo blog, per conto del social network (quindi quale processor), probabilmente non può ritenersi comunque valido a giustificare quel tipo di trattamento, ed è qui che la Cookie Law fallisce nel tutelare gli utenti del web (clicca qui per sapere chi realmente ti sta tracciando). Basta controllare pagina dei plugin del browser Firefox per verificare che le estensioni più utilizzate sono quelle che bloccano gli annunci, che l’attivazione del Do Not Track è in aumento, e gli utenti, per una tutela più efficace si rivolgono a programmi di terze parti quali Privacy Badger e Ghostery o Disconnect, piuttosto che basarsi sui banner e le regole di gestione dei cookie imposte dalla Cookie Law.
Per non dimenticare, poi, altri tipi di tecnologie che oggi vengono utilizzate, al posto dei cookie, per tracciare gli utenti, che non sono coperte dalla norma al riguardo.

In tale quadro si sono inserite numerose piccole aziende che hanno realizzato, a pagamento ovviamente, delle soluzioni (talvolta insufficienti, dando così un errato senso di sicurezza di conformità alla legge) per la gestione dei cookie. Ad una analisi accurata moltissimi siti web non sono conformi alla legge europea, se questa fosse applicata alla lettera.

Con l'avvento delle nuove tecnologie che consentono a tutti i cittadini una partecipazione attiva e quindi l'attuazione costituzionale della sovranità popolare, risulta paradossale imporre oneri defatiganti in caso di apertura di siti e blog online. La Cookie Law, per come è congegnata, invece, sembra proprio invogliare le persone, per non dover rischiare multe o pagare esperti di programmazione, ad usufruire di account su piattaforme specializzate (Blogger, Facebook), così ottenendo paradossalmente che i cittadini si trasferiscano all’interno degli ecosistemi tecnologici delle grandi aziende americane (tra l’altro chiusi, cioè che non dialogano tra di loro con conseguente effetto lock-in, cioè il cliente una volta entrato avrà difficoltà enormi a lasciare quella piattaforma), col risultato di fornire, più o meno spontaneamente, tutti i propri dati alle aziende tecnologiche. Insomma, per tutelare la tua privacy ti spedisco tra le fauci dei maggiori raccoglitori di dati del web.
Forse, qualcosa non ha funzionato.

Quello che occorre adesso è un ripensamento delle regole, in modo che la qualità dell’informazione su queste problematiche sia maggiore e nel contempo siano ridotte le richieste di consenso per invogliare i cittadini ad usare le nuove tecnologie.