Profilazione on line: le linee guida del Garante della privacy

Lo scorso 6 maggio sono state pubblicate in Gazzetta Ufficiale n. 103 le “Linee guida in materia di trattamento dei dati personali per profilazione on line” con cui il Garante della protezione dei dati personali (“Garante privacy”) ha indicato le principali misure da adottare in relazione al trattamento dei dati personali per finalità di profilazione.

La finalità delle linee guida è sostanzialmente duplice: da un lato, quella di garantire maggiore protezione alla sfera privata di tutti gli utenti, sia ai cd. utenti autenticati (ovvero, coloro che usufruiscono dei servizi offerti dal sito web attraverso una preventiva autenticazione al sito) sia ai meri visitatori del sito web (cd. utenti non autenticati: ossia, coloro che utilizzano i servizi del sito web in assenza di una previa autenticazione); dall’altro, quella di indicare i principali interventi che il titolare è tenuto ad attuare laddove all’interno del proprio sito web dovesse compiere attività di trattamento dei dati personali dei propri utenti e/o visitatori per finalità di profilazione.

L’ambito di operatività delle misure indicate dal Garante privacy nelle linee guida è dunque esteso a qualsiasi attività di profilazione per finalità promozionali, a prescindere dalla modalità con cui viene effettuata, la quale profilazione può essere effettuata, come precisato dallo stesso Garante, mediante:

  • Trattamento in forma automatizzata dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica;
  • Incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell’utente (ad esempio, posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc);
  • Utilizzo dei cookie di profilazione;
  • Utilizzo di identificatori diversi dai cookies quali, a mero titolo esemplificativo, credenziali di autenticazione ed il fingerprinting (che costituisce profili dell’utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo) necessari per ricondurre agli utenti, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte.

Le principali misure indicate dal Garante per il lecito trattamento dei dati personali dell’utente e/o visitatore del sito web per finalità di profilazione on line possono dunque essere sintetizzate nei seguenti termini:

1. Informativa ex art. 13 D.Lgs. 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”): l’informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva, ben visibile e facilmente accessibile agli utenti attraverso un linkpresente nelle pagine del sito web.

Considerato che l’informativa costituisce il presupposto per consentire agli utenti di avere piena cognizione delle modalità e delle finalità del trattamento dei loro dati personali e, conseguentemente, di esprimere o meno il preventivo consenso all’uso dei propri dati per fini di profilazione, il Garante ritiene “preferibile” che l’informativa sia strutturata su più livelli:

  • un primo livello immediatamente accessibile da ogni pagina del sito web, ove indicate tutte le informazioni di maggiore rilevanza (le tipologie di dati personali trattati, la qualifica e gli estremi identificativi del titolare del trattamento, le modalità e finalità di profilazione del trattamento dei dati personali);
  • un secondo livello accessibile – tramite apposito link presente nel primo livello – con gli ulteriori dettagli sulle modalità del trattamento e sui servizi offerti all’interno del sito web.

2. Consenso dell’utente ex artt. 23, 24 e 122 Codice privacy: il Garante precisa che “qualunque attività di trattamento dei dati personali dell’utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio potrà essere effettuata esclusivamente con il consenso informato dell’utente”. Laddove dunque l’attività di trattamento dei dati personali fosse attinente all’esecuzione di obblighi derivanti dal contratto di fornitura di un servizio non sarà necessaria la preventiva acquisizione del consenso. Resta chiaramente inteso che, non essendo riconducibile e necessaria alla fornitura del servizio, l’invio di messaggi pubblicitari necessita del preventivo ed informato consenso dell’utente.

La necessità del preventivo ed informato consenso da parte dell’utente sussiste in relazione a tutti i trattamenti con finalità di profilazione salvo che tale attività non sia direttamente riconducibili e necessaria alla fornitura del servizio come: i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, nonché l’archiviazione dei dati degli utenti, la fornitura del servizio di invio e ricezione di comunicazione a mezzo posta elettronica.

3. Diritto di revoca e rettifica e/o integrazione delle preferenze dell’utente, in ogni momento, mediante la predisposizione di un apposito link.

4. Conservazione dei dati personali degli utenti per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o trattati (art. 11 lett. e) del Codice privacy).

5. Tutele per ogni utente (autenticato e non): gli obblighi di cui ai precedenti §§ dovranno essere attuati non solo nei confronti degli utenti autenticati – tramite la creazione di un account al sito web – ma anche dei meri visitatori dei siti web che vi accedono in assenza di una preventiva autenticazione al sito.

Il monitoraggio del comportamento degli utenti (autenticati e non) nel tempo volta ad analizzare le caratteristiche delle loro azioni (frequentazione ripetuta di certi siti, interazioni, parole chiave, produzione di contenuti online) al fine di elaborare un profilo specifico degli utenti stessi, ovvero gruppi omogenei sulla base di comportamenti o caratteristiche specifiche,  allo scopo di inviare messaggi pubblicitari che corrispondano perfettamente agli interessi dedotti non è dunque vietato ma è possibile nei limiti ed in ossequio agli obblighi imposti dalla normativa in materia di privacy.

Kit di implementazione della “Cookie law”

Nel corso dell’incontro tenutosi a Roma lo scorso 5 maggio tra il Presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro, e le Associazioni di categoria dell’industria, dell’editoria digitale, dell’eCommerce, della pubblicità digitale è stato presentato il “kit di implementazione della Cookie Law” realizzato da DMA Italia, Fedoweb, IAB Italia, Netcomm e UPA sulla base delle misure stabilite dal Garante privacy nel provvedimento relativo all’“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” che diventerà obbligatorio dal prossimo 2 giugno.

Seppur tale kit sulla Cookie Law non rappresenta una linea guida ufficiale del Garante della privacy e, dunque, non sostituisce quanto sancito nei vari provvedimenti e pareri da esso emessi, costituisce certamente un utile strumento volto a fornire maggiori delucidazioni sulle caratteristiche e finalità dei cookies nonché a rilevare gli interventi necessari che i titolari e gestori dei siti web dovranno porre in essere entro il 2 giugno 2015 per adeguarsi alla normativa ed evitare le elevatissime sanzioni amministrative.

Sulla base di quanto sancito nel suddetto “vademecum”, il titolare o gestore del sito web deve:

  • individuare tutte le categorie di cookie di prima  parte e di terze parti: vale a dire, i cookies installati direttamente dal titolare del sito web (prima parte) ed i cookie installati dalle terze parti attraverso il sito del titolare;
  • classificare i cookie in base alle finalità di trattamento;
  • indentificare i link alle privacy policy ed ai moduli di consenso delle terze parti con le quali il titolare ha sottoscritto accordi per l’invio dei cookie, oppure, il link al sito www.youronlinechoices.com/it limitatamente ai servizi censiti da tale piattaforma consistenti, allo stato attuale, nei cookie di profilazione pubblicitaria;
  • predisporre e mostrare la privacy policy.

Cookie tecnici

Non è necessario il consenso potendo dunque essere immediatamente installati sul dispositivo dell’utente, fermo restando l’obbligo di fornire adeguata informativa circa il loro utilizzo.

Possono considerarsi cookie tecnici quelli relativi ad attività:

  • strettamente necessarie al funzionamento ed all’erogazione del servizio;
  • di salvataggio delle preferenze ed ottimizzazione (cookie flash player se non superano la durata della sessione, cookie di salvataggio del carrello o delle preferenze della lingua e/ della valuta);
  • di statistica laddove utilizzati direttamente dal titolare e/o gestore del sito web per raccogliere informazioni in forma aggregata

Tutti i cookie non tecnici necessitano di un preventivo consenso dell’utente.

Cookie di profilazione

Possono considerarsi di profilazione i cookie di:

  • profilazione pubblicitaria prima e terza parte;
  • retargeting;
  • social network;
  • statistica gestiti completamente dalle terze parti.

Questi cookie non possono essere installati sul dispositivo dell’utente sino a quanto questi non abbia espresso il proprio preventivo consenso.

Ne consegue dunque che i cookie di profilazione devono essere bloccati finchè quest’ultimo non manifesti il proprio consenso ad essere profilato. Soltanto dopo che l’utente avrà manifestato il proprio consenso i cookie di profilazione potranno essere utilizzati.

Tuttavia, nel vademecum viene specificato che “in alternativa rispetto al suddetto blocco preventivo il titolare del sito potrebbe anche rilasciare cookie di profilazione a condizione che ogni eventuale profilazione possa avvenire solo a seguito del consenso informato dell’utente”.

Cookie analytics

Con il provvedimento dell’8 maggio 2014 il Garante precisava che i cookie analytics possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici e non sarà dunque necessario il preventivo consenso dell’utente.

Il kit di implementazione precisa che sono esenti dall’obbligo del preventivo consenso:

  • i cookie di analytics installati direttamente sul server della prima parte o della propria server farm senza interazione da parte di terzi;
  • cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disgregati di analytics a livello di IP.

Primo accesso

Alla luce di quanto sopra esposto, al primo accesso dell’utente al sito web il titolare o gestore del sito:

  • deve mostrare il banner informativo che deve costituire una percettibile, seppur minima, discontinuità, nella fruizione dei contenuti del sito;
  • può immediatamente installare i cookie tecnici sul dispositivo dell’utente senza che sia necessaria alcun “intervento attivo” dell’utente;
  • deve bloccare i cookie di profilazione di prima e/o terze parti oppure, in alternativa, “rilasciare cookie di profilazione a condizione che ogni eventuale profilazione possa avvenire solo a seguito del consenso informato dell’utente”.
  • acquisire il consenso dell’utente per l’utilizzo dei cookie di profilazione.

Scroll down

Nel provvedimento dello scorso maggio 2014, il Garante precisava che per esprimere il proprio consenso alla profilazione tramite utilizzo dei cookies, l’utente avrebbe dovuto compiere un intervento attivo finalizzato al superamento del banner e, dunque, tramite il click ad un elemento sottostante il banner stesso e presente sulla pagina web del sito oppure cliccando sul tasto “ok” che poteva essere posizionato all’interno del banner stesso.

Sulla base di quanto sancito nel “kit di implementazione” l’acquisizione del consenso risulta altresì possibile tramite il compimento di una mera azione di scorrimento (cd. scroll down) da parte dell’utente.

Seppur allo stato attuale non esiste un sistema tecnico in grado di registrare l’acquisizione del consenso, il titolare deve comunque essere in grado di dimostrare, in caso di ispezioni da parte del Garante della privacy, l’avvenuta acquisizione del consenso dell’utente preventivamente all’installazione dei cookie di profilazione.

Notificazione utilizzo cookie di profilazione

La distinzione tra cookie prima e terza parte si rileva altresì indispensabile in relazione all’obbligo di preventiva notificazione al Garante circa l’uso dei cookie di profilazione.

Laddove infatti il sito web dovesse utilizzare esclusivamente cookie di profilazione di terze parti, tale obbligo di notificazione incomberà sulla terza parte.

Nel caso in cui, tuttavia, il titolare possa accedere ai dati raccolti dai cookie in forma disaggregata, sarà necessario valutare caso per caso una eventuale ipotesi di contitolarità o di titolarità autonoma del trattamento dei predetti dati ai fini della notificazione.