ePrivacy e cookies. Novità e integrazioni con GDPR
ePrivacy e cookies, l’Unione europea si esprime nuovamente sui biscottini della rete. Finalmente è arrivato il via libera anche alla Proposta di Regolamento “relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche”, ulteriore, fondamentale tassello del pacchetto europeo sulla protezione dei dati personali – accanto all’ormai noto Regolamento sulla protezione dei dati personali (GDPR).
Il Regolamento ePrivacy
Lo scorso aprile, infatti, il “Working Party” dell’articolo 29 ha approvato la serie di disposizioni note molto più semplicemente con il nome di Regolamento ePrivacy, e rivolte in via principale a tutti gli utenti del mondo informatico. La proposta di Regolamento inciderà in maniera rilevante su punti essenziali nel quadro della “vita digitale” di tutti, andando a vincolare anche – ed è questa una delle novità maggiormente interessanti della nuova regolamentazione – i cosiddetti Over The Top, ovvero quei fornitori di servizi di grandi dimensioni e occupanti un notevole comparto di mercato (ad es. Google, Microsoft, Facebook, ecc.). Dall’Internet of Things ai metadati, passando per il telemarketing: il nuovo assetto dell’ePrivacy interessa trasversalmente numerosi ambiti. Ed uno dei più controversi è sicuramente quello dei cookies.
ePrivacy e cookies: cosa dice la Commissione
In apertura della Proposta di Regolamento, la Commissione ha inserito i risultati di una serie di valutazioni condotte sulla base della legislazione vigente al momento della redazione della Proposta stessa. L’organismo europeo riferisce che nel suo complesso la precedente direttiva 2002/58/CE – relativa alla vita privata e alle comunicazioni elettroniche – non è stata in grado di esprimere piena efficacia; uno degli esempi di tali carenze è rappresentato proprio dalla gestione dei celebri “biscottini”, e di come vi sia poca chiarezza per quanto attiene il complesso rapporto tra elemento informatico e consenso prestato dall’ utente: “gli utenti finali si trovano di fronte a richieste di accettare i marcatori (“cookie di tracciatura”) senza capirne il senso e, talvolta, sono addirittura esposti ai cookie senza dare il loro consenso (punto 3.1. della Relazione introduttiva)”.
A fronte di ciò, le soluzioni avanzate dalla proposta di Regolamento vanno in una duplice direzione:
- Garantire all’utente finale modalità più strutturate e consapevoli di prestazione del consenso;
- Ridurre al minimo necessario le ipotesi di consultazione e conservazione delle informazioni degli utenti.
La traduzione concreta di tali considerazioni presuppone una basilare distinzione tra tipologie di cookies, e hanno come conseguenza un nuovo, differente approccio nella predisposizione dei marcatori: da una parte si hanno i c.d. “cookie tecnici”, la cui natura è riconnessa esclusivamente all’utilizzo di servizi informatici, come ad esempio la gestione del carrello nei siti di e-commerce; dall’altra si hanno invece i c.d. “cookie profilanti”, ovvero quei marcatori per definizione utilizzati per tracciare le attività dell’utente finale, con evidenti conseguenze sul piano dei dati personali (basti pensare alla necessità di notifica all’Autorità Garante in caso di cookie profilanti prevista in Italia dal Provvedimento dello stesso Garante n. 229 dell’8 maggio 2014).
Come anticipato, la Proposta di Regolamento ePrivacy andrà a far parte di un prospetto più ampio di riforma del quadro comunitario in materia di tutela dei dati personali, affiancando e specificando di fatto quanto già previsto negli articoli del Regolamento europeo per la data protection (GDPR). Inevitabilmente, quindi, i temi affrontati nella Proposta si legano a doppio filo a quanto previsto nel Regolamento (UE) 2016/679, e la materia dei cookie non fa eccezione. In particolare, gli aspetti di maggior interesse e in cui le materie si intrecciano dando vita ai risvolti più interessanti, soprattutto nell’ottica di chi fornisce servizi informatici che prevedano il ricorso ai cookie:
- Il primo elemento da valutare è senza dubbio quello della privacy by design (art. 25 GDPR): la richiamata distinzione tra tipologie di cookie, e le prospettive aperte dal Regolamento ePrivacy circa la possibilità di poter modulare il livello di autorizzazione – utilizzare tutti o parte di tali marcatori, oppure bloccarli del tutto –, individua in capo ai soggetti fornitori dei browser l’onere di compiere un’attiva e consistente valutazione preliminare circa la capacità dei propri prodotti di essere “settati” dagli utenti;
- Sempre secondo il dettato della GDPR, la prestazione del consenso dovrà rispondere a precisi principi di trasparenza e chiarezza, oltre a garantire all’utente di avere immediata consapevolezza della tipologia di cookie (in particolare, i cookie “profilanti”), dell’impatto di questi sul flusso dei dati e sulle diverse opzioni a disposizione.
Un banco di prova interessante, quello dei cookie, per i nomi del browsing, che si troveranno a dover effettuare scelte tecniche di notevole impatto sia per se stessi che per gli altri: sarà infatti necessario trovare la giusta combinazione tra quanto richiesto da Regolamento ePrivacy e GDPR e le prerogative delle terzi parti che ricorrono ai cookie, consentendo preferibilmente a quest’ultimi di rendere a loro volta più trasparente l’attività condotta sulle informazioni raccolte. Un sistema più strutturato e certamente più complesso, ma soprattutto di maggiore garanzia se guardato dal punto di vista degli utenti web.