g-docweb-display Portlet

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione, sulle tematiche inerenti alla profilazione on line del consumatore

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione, sulle tematiche inerenti alla profilazione on line del consumatore

Commissione parlamentare di inchiesta sulla tutela dei consumatori e degli utenti

(17 maggio 2022)

- IL VIDEO DELL'AUDIZIONE

Ringrazio la Commissione per l’attenzione riservata al tema della protezione dati, così determinante per la tutela dei consumatori in un contesto socio-economico inevitabilmente, sempre più proiettato nella dimensione virtuale che ha tuttavia, come ormai noto, implicazioni drammaticamente concrete sulla vita delle persone.

E ringrazio, in particolare, per il confronto, oggi reso possibile, su di un tema, quale quello della  tutela della privacy on line, che costituisce uno dei punti qualificanti della disciplina europea. Essa sottende, infatti, l’esigenza di impedire che i dati sul comportamento in rete siano sfruttati, attraverso il microtargeting, a fini commerciali e (consapevolezza più recente) persino sul piano politico-elettorale, come dimostra il caso Cambridge Analytica cui si rifà il draft di regolamento UE sul targeting politico. Attraverso l’indebita raccolta dei dati sulla navigazione, infatti, si può realizzare quel pedinamento digitale che alimenta il capitalismo appunto definito “estrattivo” delle piattaforme e, soprattutto, il potere di condizionamento delle scelte (non solo commerciali, abbiamo visto) degli utenti della rete, esercitato suggerendo contenuti, prodotti, servizi, con il rischio di anticiparne ed orientarne le scelte.

Uno degli strumenti con i quali si realizza tale forma di controllo e, allo stesso tempo, di nudging è rappresentato proprio dai cookies, in particolare dai cookies di profilazione, di natura non strettamente tecnica (varie essendo le loro possibili configurazioni). Se, infatti, possono assolvere a funzioni essenzialmente tecniche, consentendo, tra l’altro, alle pagine web di caricarsi più velocemente, essi possono anche veicolare pubblicità comportamentale restituendo informazioni sull’efficacia del messaggio promozionale, o conformando tipologia e modalità dei servizi resi ai comportamenti realizzati dall’utente.

Rispetto a tale contesto, sin dal 2022 la direttiva UE n. 58 ha sancito in capo agli Stati membri l’obbligo di garantire all’utente la possibilità di rifiutare l’installazione dei cookies, fatte salve le esigenze tecniche e quelle derivanti strettamente da adempimenti di oneri contrattuali.. La direttiva 2009/136 ha ulteriormente rafforzato le garanzie in materia, trasposte nel testo (da allora invariato) dell’art. 122 del Codice, che conformemente alla direttiva sceglie, per la manifestazione di volontà dell’utente, il più garantista paradigma dell’opt-in. Esso, infatti, esige la previa espressione (sia pur con modalità semplificate) del consenso informato per l’attivazione dei cookies non tecnici.

Con il provvedimento n. 229, dell’8 maggio 2014 (seguito poi dai chiarimenti del 2015), il Garante ha ritenuto opportuno fornire indicazioni utili ad “individuare le modalità semplificate per rendere l’informativa online agli utenti sull’archiviazione dei c.d. cookie sui loro terminali da parte dei siti Internet visitati”, come pure “sulle modalità con le quali procedere all’acquisizione del consenso degli stessi, laddove richiesto dalla legge”. In particolare, il Garante ha chiarito la necessità di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche, senza che la mancata accettazione precluda l’accesso ai contenuti del sito, introducendo importanti misure di semplificazione. In quella sede si chiariva anche come il “luogo” di espressione della manifestazione di volontà dell’utente fosse il banner, la cui comparsa nella home page del sito consentiva anche una prima informazione sulle finalità del trattamento, così da consentire l’assunzione di una determinazione consapevole sul tipo di navigazione successiva.

Si delineava, in tal modo, per i provider l’obbligo di creare un “bivio” con due alternative: una navigazione “profilata” liberamente accettata dall’utente in cui, tramite l’impiego dei cookies, si potessero veicolare messaggi pubblicitari mirati sulle singole abitudini d’uso dei servizi della società dell’informazione e una navigazione “non profilata”, con invio di messaggi pubblicitari non mirati e più contestuali- basati ciò sul contenuto generale del sito e non sull’osservazione dello storico dei comportamenti dell’utente- senza penalizzazioni nell’accesso alle risorse per la sola scelta effettuata.

Quella soluzione di recente è stata poi rivista, integrata e attualizzata, considerando sia il tempo trascorso sia, soprattutto, l’avvento del Regolamento 2016/679/UE, che oltre ad inscrivere le principali garanzie nella stessa configurazione ed impostazione di sistemi e dispositivi (privacy by design e by default), rafforza il potere dispositivo e in senso lato le garanzie di autodeterminazione in cui si esprime il diritto alla protezione dei dati. Con il Regolamento, in particolare, al novero dei requisiti prescritti per una valida manifestazione di volontà si aggiunge, alle già note libertà, specificità e previa informazione, anche l’inequivocabilità. Tale requisito era stato, del resto, valorizzato dalla giurisprudenza in particolare con la sentenza CGUE dell’1 ottobre 2019 – rinvio pregiudiziale nella causa C-673/17- resa nel caso “Planet 49”. In quella sede, infatti, la Corte aveva valorizzato le implicazioni della natura necessariamente esplicita del consenso, come tale frutto di un’attiva e specifica manifestazione di volontà dell’utente, da escludersi nel caso di casella pre-spuntata.

Anche il Comitato europeo per la protezione dei dati, con le Linee Guida 5/2020 sul consenso, aveva fornito indicazioni importanti circa il rapporto tra non condizionalità del consenso e ambiente on-line. In quella sede, in particolare, si era precisato che, al fine di garantire la libertà di autodeterminazione individuale, l’accesso ai servizi e alle funzionalità non dovesse essere subordinato al rilascio del consenso dell’utente alla memorizzazione delle informazioni o all’accesso ad informazioni già memorizzate nel suo terminale. È stato ritenuto non conforme al Regolamento, in particolare, l’utilizzo del cookie wall, ossia di quelle barriere digitali che consentono la fruizione del sito da parte dell’utente, solo a condizione dell’accettazione dei cookies, che, nella maggior parte dei casi, come in quello di specie, sono cookies di profilazione.

Nello stesso 2020, il 1^ottobre, anche l’Autorità garante francese (Commission Nationale de l’Informatique et des Libertés, anche “CNIL”) ha pubblicato una versione aggiornata delle Linee guida sui cookies e tecnologie similari, congiuntamente alle raccomandazioni finali sulle modalità pratiche per ottenere il consenso degli utenti alla memorizzazione o all’utilizzo di cookie non essenziali e tecnologie simili sui propri dispositivi. Tra i contenuti essenziali delle linee guida si annoverano, in particolare: la possibilità di rifiutare i cookie con la stessa facilità con cui si presta il consenso; maggiore flessibilità per le condizioni di esenzione dal consenso rispetto ai cookies analitici; valutazione caso per caso dell’ammissibilità del cookie wall.

Il rafforzamento delle garanzie introdotte dal Regolamento, come pure l’evoluzione della realtà tecnologica considerata (in particolare: il crescente uso di tracciatori particolarmente invasivi, la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati) hanno dunque suggerito un aggiornamento, con deliberazione n. 231 del 10 giugno 2021, delle precedenti Linee guida del 2014, pur nell’invarianza del loro impianto sostanziale. Il ricorso, anche in tal caso, a uno strumento di soft law, con la previsione peraltro di un termine ampio per l’adeguamento (scaduto solo a gennaio scorso), è parso particolarmente opportuno a fronte della particolare complessità del contesto di riferimento e dell’esigenza di valorizzare il principio di responsabilizzazione guidando, tuttavia, i provider nell’adempimento degli obblighi loro imposti. Inoltre, si è valorizzato il principio partecipativo sottoponendo lo schema di deliberazione a consultazione pubblica nel corso della quale sono pervenuti circa 50 contributi da parte di soggetti appartenenti al mondo dell’imprenditoria, delle telecomunicazioni elettroniche, ma anche dell’accademia, da movimenti di tutela del consumatore come da privati cittadini.

Nel documento, anzitutto, si precisa, con riguardo all’informativa, che essa dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. Si è chiarito anche che l’informativa può essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Per quanto invece concerne le garanzie di autodeterminazione dell’utente, si è sottolineato come il meccanismo di acquisizione del consenso on line debba innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, non siano posizionati all’interno del dispositivo dell’utente cookies o strumenti analoghi, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookies di terze parti) o passiva (ad esempio, il fingerprinting).

Sono state inoltre fornite alcune indicazioni relative allo scrolling (ovvero l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente la c.d. informativa breve) e alla reiterazione delle richieste di consenso agli utenti. Con specifico riferimento allo scrolling, le Linee guida ne sottolineano l’inidoneità alla raccolta di un idoneo consenso, salvo il caso in cui si inserisca in un processo articolato nell’ambito del quale l’interessato generi un evento - registrabile e documentabile presso il server del sito - qualificabile come azione positiva idonea a manifestare inequivocabilmente il consenso al trattamento. E si è chiarito che l’installazione di cookies o di altri strumenti di tracciamento necessita ineludibilmente del consenso, inadeguato essendo a tal fine il presupposto di liceità del legittimo interesse, conformemente a quanto dispone il draft di regolamento e-privacy.

Peraltro, il Garante ha ribadito l’illiceità del cookie wall, salva l’ipotesi in cui il sito offra all’utente la possibilità di accedere, senza prestare il consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, in sostanziale analogia con quanto previsto dal draft di regolamento e-privacy.

In termini di semplificazione, si è chiarito come la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non abbia fondamento normativo e determini quella “consent-fatigue” da cui rischia di derivare una percezione scorretta delle garanzie privacy. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, salvo mutino significativamente le condizioni del trattamento; non si riesca ad accertare l’eventuale già avvenuta memorizzazione nel dispositivo di determinati cookies; siano trascorsi almeno sei mesi. Resta, in ogni caso, fermo il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Le Linee guida auspicano, inoltre, una codifica universalmente accettata dei cookies, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli di carattere analitico o di profilazione. In assenza di tale previa codificazione, il Garante ha invitato i publisher a indicare, nell’informativa, i parametri di codifica dei tracciatori rispettivamente adottati così da rafforzare le garanzie di trasparenza.

Essendo il 9 gennaio scaduto il termine per l’adeguamento alle Linee guida, ne sarà progressivamente verificata la compiutezza, nella consapevolezza di quanto rilevante sia, per la sostenibilità della data economy, l’osservanza degli obblighi gravanti sui provider in punto di tutela dell’autodeterminazione degli utenti. La tutela della privacy comportamentale ruota infatti tutt’attorno al più forte presidio dell’autodeterminazione: il consenso informato, che per essere tale deve, tuttavia, essere anzitutto consapevole.

Ecco perché, oltre all’attivivtà di enforcement, il Garante promuove da tempo un’ampia azione di educazione digitale, quale necessario presupposto di scelte libere e, appunto, consapevoli, tanto difficili quanto indispensabili al tempo della “zero-price economy”, in cui servizi apparentemente gratuiti sono invece pagati al caro prezzo dei nostri dati e, quindi, della nostra libertà.