Ogni giorno ognuno di noi durante la navigazione “acconsente” decine di volte all’utilizzo di cookie. Ma quanti, prima di acconsentire, leggono a che cosa esattamente acconsentono?
Pochi, pochissimi, anzi, quasi nessuno, ignorando, spesso inconsapevolmente, come tale agire possa essere dannoso per la propria privacy.
Di seguito, vedremo, partendo dall’esame della normativa che ne disciplina le tipologie e ne detta la valità del relativo consenso, cosa sono i cookie, quali sono legittimi e quali illegittimi.
- Il consenso nell’ambito dei cookie tecnici e di profilazione di prime e terze parti
1.1 Art. 122 Codice privacy (d.lgs. 30 giugno 2003, n. 196) e provvedimento 8 maggio 2014 n. 229 del Garante per la protezione dei dati
A seguito del Decreto Legislativo 28 maggio 2012, n. 69, che ha recepito la Direttiva 2009/136/CE modificando l’art. 122 Codice Privacy, il Garante per la protezione dei dati aveva avviato consultazioni pubbliche dirette ai gestori dei siti e delle associazioni dei consumatori per acquisire pareri, idee e suggerimenti sulle modalità di attuazione delle modifiche apportate al predetto articolo all’esito delle quali è stato emanato il provvedimento n. 229 dell’8 maggio 2014, “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”.
Nelle considerazioni preliminari ne viene fornita la definizione: “i cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente il browser), dove vengono memorizzati per essere ritrasmessi al mittente alla successiva visita di quello stesso utente”.
I cookie presenti nei browser degli utenti sono molto numerosi, ed altrettanto numerose sono le loro tipologie aventi tutte caratteristiche tecniche molto simili, sicchè l’Autorità ha correttamente ritenuto di dover effettuare una serie di distinguo in ordine alle finalità perseguite con il loro impiego, in aderenza dlgs. 28/5/20120 che ha recepito la Dir. 2009/136CE che aveva modificato l’art. 122 del codice privacy introducendo l’obbligo di acquisire il consenso preventivo e informato dell’utente all’installazione dei cookie utilizzati per finalità diverse da quelle meramente tecniche.
Con il citato provvedimento 8/5/2014, il Garante individua due macro-categorie:
(a) cookie tecnici:
sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (art. 122, comma 1, Codice Privacy). Essi non vengono utilizzati per scopi ulteriori e solitamente sono installati direttamente dal titolare o gestore del sito web. A loro volta si suddividono in:
– cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
– cookie analitici, assimilati aicookie tecnici ove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come visitano il sito stesso;
– cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (adesempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per l’installazione dei cookie tecnici, fermo l’obbligo di dare l’informativa, non è richiesto il preventivo consenso degli utenti.
(b) cookie di profilazione:
sono finalizzati alla creazione del profilo dell’utente per inviargli messaggi pubblicitari in linea con le sue preferenze. Per tale ragione, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio valido consenso.
A tale tipologia di cookie si riferisce l’art. 122, c. 1, Codice Privacy laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo esserestato informato con modalità semplificate“.
Sotto il profilo soggettivo, occorre distinguere se il soggetto che installa i cookie sul terminale dell’utente è il gestore del sito che l’utente sta visitando, c.d. “editore” o “prima parte”, oppure se è il gestore di un sito diverso che installa cookie per il tramite del primo, c.d. “terza parte“, e ciò anche al fine della corretta individuazione dei rispettivi ruoli e delle rispettive responsabilità.
A tal riguardo, è evidente l’impossibilità di porre in capo alla prima parte l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati da terze parti, tanto più perché il più delle volte l’editore non le conosce direttamente né, di conseguenza, conosce la logica sottesa ai relativi trattamenti.
Inoltre, è frequente che tra l’editore e le terze parti si frappongano soggetti che svolgono il ruolo di c.d. “concessionari”, risultando di fatto impossibile per l’editore controllare l’attività di tutti i soggetti coinvolti.
Non da ultimo, gli editori, che comprendono anche professionisti e piccole imprese, sono la parte più “debole” del rapporto, laddove le terze parti sono normalmente grandi società caratterizzate da notevole peso economico.
Su tali premesse, si è pertanto ritenuto necessario distinguere la posizione degli editori e quella delle terze parti, nel senso di ritenere che i primi, con i quali gli utenti instaurano un rapporto diretto tramite l’accesso al relativo sito, assumono necessariamente una duplice veste: da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, vengono considerati come una sorta di “intermediari tecnici” tra le stesse e gli utenti e come tali saranno tenuti al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti secondo le modalità di seguito descritte.
(i) Informativa breve
Nel momento in cui si accede alla home page di un sito web, deve, come detto, immediatamente comparire in primo piano un banner di dimensioni tali da costituire una “percettibile discontinuità” nella fruizione dei contenuti della pagina web che si sta visitando – nel senso che il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente – contenente le seguenti indicazioni:
“a) che il sito utilizza cookie di profilazione al fine di inviare messaggipubblicitari in linea con le preferenze manifestate dall’utente nell’ambitodella navigazione in rete;
- b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
- c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso deicookie tecnici e analytics, viene data la possibilità di scegliere qualispecifici cookie autorizzare;
- d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
- e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso deicookie.”
L’editore è obbligato a matenere traccia dell’avvenuta prestazione del consenso dell’utente, ad es. avvalendosi di un apposito cookie tecnico, in modo tale da non dover riproporre l’informativa breve alla seconda visita del medesimo, ferma restando la possibilità per quest’ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le opzioni precedentemente scelte.
(ii) Informativa estesa
L’informativa estesa deve descrivere in maniera specifica e analitica le caratteristiche e le finalità per le quali vengono raccolti i dati tramite i cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie; indicare i soggetti che li utilizzeranno e/o che ne verranno a conoscenza; essere raggiungibile mediante un link inserito nell’informativa breve, come pure attraverso un riferimento suo ogni pagina del sito, collocato in calce alla medesima.
Se il sito web contiene cookie di terze parti, deve essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha eventualmente stipulato accordi per l’installazione di cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari tra lui e le stesse terze parti.
Il Garante ha disposto l´obbligo di notificazione dell’uso di cookie di profilazione poichè volti a “definire il profilo o la personalità dell´interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l´utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.
1.2 Le nuove linee guida dell’EDPB sul consenso in materia di cookie del 4 maggio 2020: cookie wall e scrolling o swiping
Rispetto alle precedenti linee guida in materia del 28/11/2017 e 10/4/2018, non vi sono grosse novità salvo l’introduzione di due modifiche aventi ad oggetto la validità del consenso fornito dall’utente quando interagisce con i c.d. cookie wall e quando ricorre al c.d. scrolling.
– I cookie wall sono quelli che chiedono all’utente il consenso al trattamento dei loro dati personali specificando che in difetto di consenso non potranno usufruire dei servizi del sito.
E’ evidente che si tratta di una scelta obbligata, in aperta violazione del principio di granularità con il quale il consenso deve essere prestato ai fini della sua validità.
Ricordiamo infatti che l’art. 4, par. 11, G.D.P.R. definisce il consenso “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile” e che l’art. 7, par. 4, G.D.P.R. stabilisce che “nel valutare se il consenso sia liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione del contratto”.
L’EDPB nelle linee guida in esame riconferma che il consenso non può ritenersi libero per il solo fatto che esista una scelta tra i servizi forniti da un determinato titolare e quelli equivalenti forniti da altro soggetto.
Tale riaffermazione si è resa necessaria sulla scorta di un orientamento giurisprudenziale, cui ha aderito anche la nostra Corte di Cassazione, in virtù del quale sarebbe da ritenersi valido il consenso ottenuto obbligando l’interessato ad accettare un servizio aggiuntivo (ad es. cookie, newsletter, etc.) per poter accedere alle funzionalità del sito. La Suprema Corte motiva la propria tesi argomentando in ordine al concetto di libera iniziativa economica e fungibilità del servizio: se il titolare del sito ha strutturato l’esistenza della propria attività online esclusivamente sull’utilizzo di cookie, newsletter e banner vari, e offre servizi fungibili (cioè offerti anche da altri siti), allora il consenso risulterebbe libero sulla scorta del fatto che l’interessato sarebbe libero di rifiutare e rivolgersi ad altri siti.
E’ evidente l’opinabilità di tale tale tesi, peraltro duramente criticata, anche in dottrina, richiamando il Considerando 43 del G.D.P.R. il quale prevede che “si presume che il consenso non sia stato liberamente espresso …. se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.
E a mio sommesso avviso, è altresì da richiamare il Considerando 42 del G.D.P.R. il quale afferma che “il consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizi”.
– L’EDPB afferma che l’attività di scrolling di una pagina di un sito da parte dell’utente non integra valido consenso. Le nuove linee guida, al fine di dissipare ogni dubbio, forniscono esempi pratici: scorrere una barra su uno schermo, spegnere la telecamera o girare il dispositivo in un certo modo possono considerarsi opzioni per esprimere il consenso solo qualo venga spiegato in modo chiaro che il compimento di tale/i azione/i costituisce prestazione del consenso; in altri termini, non deve esserci il dubbio che l’utente abbia capite che compiendo quell’azione presta il proprio consenso al trattamento.
La ragione è in re ipsa: il consenso deve esssere inequivocabile, e la sua manifestazione mediante scroll non è tale; anzi, quest’azione il più delle volte è del tutto casuale oppure semplicemente indicativa del volere immediato dell’utente di proseguire la navigazione senza tuttavia avere l’intenzione di consentire ai trattamenti ad essa sottesi.
La necessità di affermare quanto precede è nata dalla diffusissima confusione e conseguente equiparazione dei concetti di consenso mediante manifestazione di volontà inequivocabile e tacito consenso, dimenticando che anche il consenso implicito contemplato dal G.D.P.R. non prescinde mai da un’azione positiva e attiva dell’utente.
Ricordiamo che l’acquisizione del consenso in violazione delle regole che ne determinano la piena validità è annoverata dall’art. 83, par. 5, lett. a) G.D.P.R. tra le violazioni soggette a sanzioni amministrative pecuniarie fino a 20.000.000,00 di Euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’anno precedente, se superiore.
- Cookie stuffing e dark pattern
Senza pretesa di esaustività si farà cenno di seguito a due tipologie di cookie frequentemente utilizzate e non corformi alla vigente normativa.
2.1 Cookie stuffin
Per comprendere cos’è e cosa fa questa tipologia di cookie, occorre sapere cos’è il c.d. “marketing di affiliazione”. Esso è un contratto di marketing basato sulle perfomances di un annuncio che vede, normalmente coinvoli questtro soggetti:
– l’inserzionista (advertiser), che è il proprietario di un sito di e-commerce;
– la piattaforma (network), che consente l’affiliazione;
– l’affiliato (publisher), che reindirizza i suoi utenti al sito e-commerce dell’inserzionista;
– il cliente (customer), che è il destinatario della campagna pubblicitaria.
In questo contesto, i cookie rivestono un ruolo fondamentale poiché è prorio loro tramite che è possibile seguire l’utente dal sito dell’affiliato a quello dell’inserzionista così che, se l’utente fa un acquisto, una parte del guadagno viene riconosciuta al sito affiliato (l’acquisto è infatti avvenuto grazie al reindirizzamento dell’utente/cliente al sito dell’inserzionista effettuato dall’affiliato).
Gli strumenti impiegati per immettere i cookie stuffin nei browser degli utenti a loro insaputa sono numerosissimi, ne citiamo perciò solo alcuni: popup malevoli che inviano malware non appena si interagisce con essi; toolbar di terze parti installati nel browser dell’utente; javascript che non vengono impiegati per l’ottimizzaizone in termini di dinamicità dell’interazione dell’utente con le pagine web, bensì per reindirizzarlo altrove inserendo nel reindirizzamnte stesso un codice malevolo, etc.
Non si tratta di “trucchi” nuovi: è noto il caso Shawn Hogan che nel 2008 ha truffato in questo modo 28 milioni di dollari a eBay. Oggi, questo tipo di truffa è facilmente individuabile, ma solo da parte di aziende enormi, come Amazon ad es., poiché l’attività di monitoraggio costante dei dati necessaria richiesta per “smascherare” i cookie stuffin non è alla portata di realtà imprenditoriali di medio-piccole dimensioni.
2.2 Dark pattern
I dark pattern sono elementi dell’interfaccia grafica che mirano a condurre l’utente a compiere azione che non desidera o ad effettuare procedure così complicate da farlo desistere dall’effettuare un qualsiasi controllo sui dati personali che fornisce o, ancora, che nascondono o rendono pressochè illegibili le informazioni sul trattamento dei dati acquisendone il consenso in maniera occulta.
Alla base di tale strumenti vi sono studi e ricerche di scienza cognitiva e di abitudini del comportamento umano che vengono strumentalizzati dalle aziende che li utilizzano per incrementare i propri guadagni aumentando i propri iscritti e trattandone i dati fraudolentemente ottenuti.
In particolare, vengono sfruttati i c.d. “bias cognitivi”, ossia errori semi-automatici del pensiero in cui il cervello umano incorre facilmente, influenzandone decisioni e giudizi (A. Tversky e D. Kahneman, Judgement under Uncertainty: heuristic and biases, in Science, vol. 185, n. 4157, 1974); ai bias cognitivi sono soggetti tutti gli esseri umani, a prescindere dall’estrazione sociale e dal livello cuturale e di istruzione, poiché rappresentano la tendenza innata della mente, posta di fronte ad un problema o a una scelta, a ricorrere a soluzioni euristiche per ottenere una risposta efficace, ma che quasi sempre si rivela superficiale e con elevati margini di errore.
Un esempio pratico e frequentissimo, capitato a ciascuno di noi, è quello di una pubblicità che ci offre un prodotto o un servizio a prezzo scontatissimo avvertendoci che però il numero è limitato e la validità dell’offerta ha una scadenza brevissima: in questo modo si tenta – e spesso riesce – a farci fare acquisti impulsivamnete che in altre condizioni non avremmo mai fatto.
Altro caso frequente è quello in cui ci viene richiesto di fornire informazioni e dati personali inducendoci a credere che esse siano obbligatorie quando invece non lo sono per niente, quanto meno per usufruire di quel determinato servizio.
I dark pattern sono, purtroppo, frequentissimi nell’ambiente online che oggi è sempre più frequentato; di seguito alcuni di essi tra i più noti:
- “confirmshaming”: consiste nel provare a suscitare un senso di colpa nell’utente che rinuncia a un servizio o che declina un’offerta attraverso immagini che vengono mostrate in automatico;
- “roach motel”: il nome indica una trappola per scarafaggi, ad indicare la messa a punto del percorso online che farà l’utente in cui è molto facile entrare e molto difficile uscire;
“hidden costs” e “sneak into Basket”: il primo consiste nel mostrare all’ultimo step di un acquisto online dei costi che prima non erano visibili, come ad esempio tasse o costi di spedizione; il secondo, nell’aggiungere al carrello dei servizi/prodotti extra come, ad esempio, un’assicurazione per dei biglietti oppure un piccolo servizio in abbonamento per agevolazioni sui prossimi acquisti; in entrambi i casi si tratta di un costo molto piccolo che, da un lato rischia di non essere notato dall’acquirente, dall’altro non influenza il prezzo al punto da disincentivare l’acquisto, che normalmente si perfeziona.
- “forced continuity”: consiste nel fornire una prova gratuita del servizio richiedendo di inserire al momento della registrazione gli estremi della propria carta di credito. Al termine del periodo di prova la sottoscrizione si rinnova automaticamente addebitando il costo dell’abbonamento.
- Conclusioni
Cosa fare, dunque, per difendersi dall’illecita appropriazione dei nostri dati attraverso i cookie?
Purtroppo, l’unica risposta è porre la massima attenzione ai consensi che ogni giorno ci vengono richiesti durante la navigazione online, dedicando pochi minuti per approfondire, cliccando su diciture tipo “Leggi di più” o “maggiori informazioni” e simili, al fine di fornire un consenso informato e valido ovvero rifiutandone la prestazione.
<Per la redazione del presente articolo sono stati consultate, attingendone preziose informazioni, le seguenti fonti: garanteprivacy.it, agendadigitale.eu, managementcue.it, cybersecurity360.it>