Il Gruppo di lavoro è stato istituito in virtù dell’articolo 29 della direttiva 95/46/CE. È l’organo consultivo indipendente
dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva
95/46/CE e all’articolo 15 della direttiva 2002/58/CE.
Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e cittadinanza dell'Unione) della
Commissione europea, direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio MO-59 02/013.
Sito internet: http://ec.europa.eu/justice/data-protection/index_it.htm
[NdT] Ai fini del presente parere, con “responsabile del trattamento” e con “incaricato del trattamento” si intendono
rispettivamente il “titolare” e il “responsabile” di cui all’articolo 4, lettera f) e lettera g) del decreto legislativo 30 giugno
2003, n. 196 (codice in materia di protezione dei dati personali).
02005/11/IT
WP 188
Parere 16/2011 relativo alla raccomandazione dell’EASA/IAB sulle buone prassi in
materia di pubblicità comportamentale online
adottato l’8 dicembre 2011
2
Sommario
I. INTRODUZIONE...................................................................................................... 3
II. ANALISI DEL CODICE DELLE BUONE PRASSI IN MATERIA DI
PUBBLICITÀ COMPORTAMENTALE ONLINE ............................................. 4
II.1. Informativa (principio I).............................................................................. 4
II.2. Scelta dell’utente rispetto alla pubblicità comportamentale online
(principio II).................................................................................................. 6
II.3. Altri principi e settori problematici............................................................ 7
II.3. A Segmentazione sensibile (principio IV). Particolare riferimento ai
minori.................................................................................................... 7
II.3.B Conformità al codice e rispetto delle sue norme (principio VI) .... 8
II.3.C Periodo di conservazione dei dati raccolti....................................... 8
III. Alcuni chiarimenti rispetto ai cookies e al consenso............................................. 8
III.1 La pubblicità comportamentale implica il trattamento di dati personali 8
III.2 Il consenso non è necessario per ogni tipo di cookie.................................. 9
III.3 Un pop-up non è l’unico modo possibile per ricevere il consenso .......... 10
III.4 Cliccare attraverso molteplici pop-up per il consenso non è sempre
necessario..................................................................................................... 11
IV. CONCLUSIONI..................................................................................................... 12
3
I. INTRODUZIONE
Nel novembre 2009 il Parlamento europeo e il Consiglio hanno adottato la direttiva
2009/136/CE, che ha modificato la direttiva del 2002 relativa alla vita privata e alle
comunicazioni elettroniche (2002/58/CE). Una delle modifiche più importanti riguarda i
meccanismi di installazione delle informazioni nel dispositivo terminale dell’utente. È
stato abbandonato l’attuale sistema di opt-out, per il quale un utente può opporsi al
trattamento delle informazioni raccolte mediante l’attrezzatura terminale (come i
“cookies”), per passare, invece, al consenso informato come regola. Tali modifiche sono
importanti per la pubblicità comportamentale online, poiché l’industria fa ampio
affidamento sui cookies ed altre tecnologie analoghe che memorizzano le informazioni
e consentono l’accesso ad esse nel dispositivo terminale dell’utente.
Il requisito del consenso è stato frutto della crescente preoccupazione fra cittadini,
esponenti politici, autorità per la protezione dei dati, organizzazioni di consumatori e
responsabili delle politiche per la rapidità con cui stanno aumentando le possibilità
tecniche di tracciare il comportamento degli individui su internet nel tempo. Inoltre, le
possibilità offerte ai cittadini per tutelare la propria vita privata ed i propri dati personali
contro questo tipo di tracciamento non tenevano il passo con detto aumento. Nel 2009 i
responsabili politici nutrivano forti dubbi quanto alla possibilità di affidarsi all’industria
del settore per far crescere la consapevolezza del pubblico e la scelta dell’utente in
merito alla pubblicità comportamentale online. Molti sondaggi pubblici hanno mostrato,
e mostrano tutt'ora, che l'utente internet medio non è consapevole del fatto che il suo
comportamento è tracciato grazie ai cookies o ad altri identificatori unici, né sa da chi o
per quale scopo. Tale mancanza di consapevolezza contrasta nettamente con la
crescente dipendenza di molti cittadini europei dall’accesso ad internet per attività
ordinarie quotidiane come acquistare, leggere, comunicare con amici e cercare
informazioni. Internet sta anche rimpiazzando rapidamente molte attività non in linea,
come l’accesso ad alcuni servizi pubblici. La rapida sostituzione dell’accesso “fisso” ad
internet con un accesso mobile ha reso ancor più complessa la possibilità per gli utenti
di proteggersi con mezzi tecnici.
Poco dopo che il consenso informato è diventato la norma giuridica europea, il Gruppo
di lavoro “articolo 29” (in prosieguo “il Gruppo di lavoro”) ha adottato il parere 2/2010
sulla pubblicità comportamentale online1 (in prosieguo “il parere 2/2010”). Il parere
descrive i ruoli e le responsabilità dei vari attori coinvolti nella pubblicità
comportamentale online e chiarisce il quadro giuridico applicabile. Esso si concentra sul
tracciamento del comportamento su internet nel tempo, attraverso vari siti, quale fonte
delle maggiori preoccupazioni in termini di protezione dei dati rispetto alla pubblicità
comportamentale online.
Nell’aprile 2011 i maggiori operatori coinvolti in pubblicità comportamentale online,
rappresentati dalla European Advertising Standards Alliance (EASA) e dall’Internet
Advertising Bureau Europe (IAB), hanno adottato il codice di autoregolamentazione
delle buone prassi in materia di pubblicità comportamentale online (in prosieguo “il
codice EASA/IAB”)2. Nell’agosto 2011 il Gruppo di lavoro ha inviato una lettera
1 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_it.pdf
2 http://www.easaalliance.
org/binarydata.aspx?type=doc/EASA_BPR_OBA_12_APRIL_2011_CLEAN.pdf/download
4
aperta3 all’EASA e allo IAB manifestando le preoccupazioni per la protezione dei dati
che derivano dall’approccio di opt-out suggerito nel codice EASA/IAB. In un incontro
successivo con il Gruppo di lavoro, i rappresentanti dell’EASA e dello IAB hanno
dichiarato che “il codice era principalmente finalizzato a creare parità di condizioni
concorrenziali” e che il suo scopo non era quello di garantire la conformità alla direttiva
modificata relativa alla vita privata e alle comunicazioni elettroniche4.
Come già dichiarato nel parere 2/2010, il Gruppo di lavoro apprezza le iniziative di
autoregolamentazione da parte dell'industria nel settore della pubblicità
comportamentale. Il codice EASA/IAB in effetti include taluni approcci d’interesse,
quali il principio V Education (educazione), che, se ulteriormente sviluppati ed
applicati, possono rendere i meccanismi di consenso più efficaci. Tuttavia, tale codice
non è di per sé adeguato a garantire la conformità all'attuale quadro giuridico europeo
per la protezione dei dati. Al fine di evitare qualunque fraintendimento, il Gruppo di
lavoro ha deciso di analizzare specificamente in che misura detto codice, completato dal
sito web www.youronlinechoices.eu, è conforme alle norme giuridiche pertinenti.
Più in particolare, il presente parere si occupa dei primi due principi del codice
EASA/IAB, segnatamente il principio I Notice (informativa) e il principio II User
Choice (scelta dell’utente), nonché della loro applicazione pratica sul sito
www.youronlinechoices.eu. Inoltre, sono affrontati altri principi del codice, oltre ad
ulteriori settori problematici (ad esempio, la conservazione dei dati). In aggiunta, il
Gruppo di lavoro coglie l’occasione per sottolineare la differenza tra cookies traccianti
ed altri tipi di cookies che possono essere esenti dal consenso, fornire esempi pratici di
quest’ultima tipologia di cookies e mettere in evidenza possibili approcci per ricevere
legalmente il consenso ove necessario.
II. ANALISI DEL CODICE DELLE BUONE PRASSI IN MATERIA DI
PUBBLICITÀ COMPORTAMENTALE ONLINE
II.1 Informativa (principio I)
Ai sensi dell’articolo 5, paragrafo 3, della direttiva modificata relativa alla vita privata e
alle comunicazioni elettroniche, il consenso deve essere informato. In pratica, ciò
significa che l’utente deve aver espresso il proprio consenso alla memorizzazione di
informazioni o all’accesso a informazioni già memorizzate nella sua apparecchiatura
terminale, dopo essere stato informato in modo chiaro e completo, a norma della
direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Per essere conforme alla
legislazione, l’informativa pertinente deve essere quindi fornita direttamente agli utenti
in forma chiara e comprensibile prima che avvenga il trattamento; non è sufficiente che
l’informazione sia “disponibile” da qualche parte sul sito web visitato dall’utente.
3 Lettera del Gruppo di lavoro “articolo 29” indirizzata all’industria della pubblicità comportamentale
online relativa al quadro di autoregolamentazione, 3 agosto 2011
http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/
files/2011/20110803_letter_to_oba_annexes.pdf
4 Comunicato stampa del Gruppo di lavoro “articolo 29" del 14 settembre 2011
http://ec.europa.eu/justice/data-protection/article-29/press-material/pressrelease/
art29_press_material/20110914_press_release_oba_industry_final_en.pdf
5
Secondo il codice EASA/IAB un’icona sarà usata come informativa per la pubblicità
comportamentale. Nell’attuale applicazione del codice, l’icona è collegata ad un sito
web d’informazione, www.youronlinechoices.eu, su cui gli utenti possono segnalare la
loro intenzione di opt-out selezionando specifici nomi di imprese da un elenco di varie
reti pubblicitarie.
Alla luce del contesto attuale e tenendo conto della mancanza di conoscenza e
consapevolezza della pubblicità comportamentale da parte degli utenti della rete, il
descritto approccio tramite l’icona non è sufficiente di per sé ad informare
adeguatamente gli utenti sull'uso dei cookies secondo il disposto dell'articolo 5,
paragrafo 3. Ciò è dovuto alle ragioni di seguito descritte:
a) anche se in futuro l’icona potrà essere largamente riconosciuta, oggi gli utenti medi
non sono in grado di apprezzarne il significato sottostante in mancanza di una
descrizione aggiuntiva. Tuttavia, l’icona potrebbe risultare utile come mezzo per
completare altre forme di informativa, fornendo collegamenti ad altre informazioni sui
diritti dell'utente e servendo da promemoria costante agli utenti del fatto che sono
tracciati;
b) affinché le informazioni siano fornite in modo comprensibile è necessario utilizzare
un linguaggio chiaro che consenta agli utenti di capire immediatamente che le loro
attività sono tracciate quando navigano in rete e che possono poi ricevere annunci
pubblicitari mirati. Il mero uso del termine “pubblicità” accanto all’icona non basta ad
informare l’utente che l’annuncio utilizza cookies per scopi di pubblicità
comportamentale. La dicitura dovrebbe come minimo includere l’espressione
“pubblicità personalizzata”;
c) l’icona può servire da informazione aggiuntiva e come promemoria informativo dopo
che l’abbonato o utente ha fornito il consenso al trattamento dei propri dati per scopi di
pubblicità comportamentale. Il proposto approccio tramite l’icona non può quindi essere
usato per la comunicazione di informazioni preliminari, come previsto dall’attuale
quadro legislativo (salvo se è associato ad una modalità per ottenere il consenso
dell'utente);
d) l’informazione dovrebbe essere corretta e completa, come previsto dall’articolo 10
della direttiva 95/46/CE. Il Gruppo di lavoro rinvia al parere 2/2010 in cui si legge “I
fornitori di reti pubblicitarie/gli editori devono informare gli utenti in conformità
all’articolo 10 della direttiva 95/46/CE. In pratica, devono garantire che alle persone
sia comunicato, quanto meno, chi (quale soggetto) è responsabile del trasferimento del
cookie e della raccolta delle informazioni connesse. Le persone devono inoltre essere
informate in un linguaggio semplice riguardo a) al fatto che il cookie sarà utilizzato per
creare profili utente; b) al tipo di informazioni che saranno raccolte per la creazione di
questi profili; c) al fatto che i profili saranno usati per la trasmissione di messaggi
pubblicitari mirati; d) al fatto che il cookie consentirà l’individuazione dell’utente su
diversi siti web. I fornitori di reti pubblicitarie/gli editori dovrebbero fornire le
informazioni direttamente sullo schermo, in modo interattivo, all’occorrenza seguendo
un approccio strutturato su più livelli. Le informazioni devono in ogni caso essere
facilmente accessibili e ben visibili.”
6
Dal momento che l’icona in quanto tale e il sito www.youronlinechoices.eu non
forniscono informazioni accurate e facilmente comprensibili circa i diversi responsabili
del trattamento (reti pubblicitarie) e le loro finalità di trattamento, il codice ed il sito
web non soddisfano il requisito previsto dalla direttiva modificata relativa alla vita
privata e alle comunicazioni elettroniche.
II.2. Scelta dell’utente rispetto alla pubblicità comportamentale online (principio
II)
Nel suo parere 2/2010, il Gruppo di lavoro ha affermato che “dalla lettera dell’articolo
5, paragrafo 3, risulta che: i) il consenso deve essere ottenuto prima del collocamento
del cookie e/o della raccolta delle informazioni archiviate nell’apparecchiatura
terminale dell’utente, e ii) il consenso informato può essere ottenuto soltanto se
all’utente sono state fornite informazioni preventive circa l’invio e le finalità del cookie.
In questo contesto è importante considerare che, affinché il consenso sia valido
indipendentemente dalle circostanze in cui è stato espresso, esso deve essere libero,
specifico e costituire una manifestazione informata di volontà dell’interessato. Il
consenso deve essere ottenuto prima che si proceda alla raccolta dei dati personali, in
modo che gli interessati siano pienamente consapevoli del fatto che stanno esprimendo
un consenso e dell’oggetto del medesimo. Inoltre, il consenso deve poter essere
revocato.”
Invece di richiedere il consenso degli utenti, il codice EASA/IAB pretende di fornire un
modo di esercitare “la scelta”. Di fatto si tratta di una scelta di opt-out, poiché offre
all’utente la possibilità di opporsi a che i suoi dati siano raccolti e poi trattati a fini di
pubblicità comportamentale.
Tale “scelta” non è conforme all’articolo 5, paragrafo 3 della direttiva modificata
relativa alla vita privata e alle comunicazioni elettroniche, perché i dati sono di fatto
trattati senza il consenso dell’utente e senza fornire a quest'ultimo le informazioni prima
che avvenga il trattamento. Pertanto, il rispetto del principio II non soddisfa il criterio
definito dalla direttiva modificata relativa alla vita privata e alle comunicazioni
elettroniche.
- Sito per la scelta dell'utente: www.youronlinechoices.eu
La prima applicazione pratica del codice EASA/IAB è il sito web
www.youronlinechoices.eu, in cui il metodo selezionato per esprimere la “scelta” si
basa sull’uso di vari cookies di “opt-out”. Grazie a questo tipo di cookie una rete
pubblicitaria può registrare il rifiuto dell’utente di ricevere ulteriormente pubblicità
comportamentale online. Come illustrato di seguito, questa impostazione potrebbe
facilmente essere modificata per risultare conforme all’articolo 5, paragrafo 3 della
direttiva mediante la creazione di cookies di “opt-in”.
Il sito web contiene un elenco con vari nomi di reti pubblicitarie. Gli utenti possono
indicare la loro preferenza qualora non desiderino ricevere pubblicità mirata da una, più
o tutte le reti. Selezionare una o più reti pubblicitarie equivale all’installazione di uno o
più cookies di opt-out da parte di queste reti.
7
Oltre a seguire un’impostazione di opt-out e quindi a non rispettare il requisito del
consenso informato preliminare quale previsto dall'articolo 5, paragrafo 3 della direttiva
modificata relativa alla vita privata e alle comunicazioni elettroniche, questa
applicazione presenta i problemi aggiuntivi di seguito descritti:
a) pur impedendo l’ulteriore ricevimento di pubblicità personalizzata, il cookie di optout
non impedisce alla rete pubblicitaria di accedere e di memorizzare informazioni
nel terminale dell’utente. Al contrario, è stato dimostrato che, dopo l’installazione
del cookie di opt-out, permane un continuo scambio tecnico di informazioni tra
l’apparecchiatura terminale dell’utente e la rete pubblicitaria;
b) l’utente non è informato se il cookie tracciante rimane o meno memorizzato nel suo
computer e per quali scopi5;
c) l’installazione del cookie di opt-out non offre la possibilità di gestire e cancellare
cookies traccianti installati in precedenza, mentre crea allo stesso tempo l'erronea
presunzione che l'opt-out disattivi il tracciamento del comportamento su internet.
Questo problema è aggravato dal fatto che lo stesso sito web www.youronlinechoices.eu
contiene link verso una serie di funzioni Javascript che riescono a tracciare il singolo
utente. Questo tracciamento interviene senza informarne l’utente e, in due casi, senza
alcuna possibilità di poterlo escludere6. Invitati a commentare questo espediente tecnico,
lo IAB e l’EASA si sono astenuti dal rispondere al Gruppo di lavoro, anche dopo
diversi solleciti scritti.
II.3 Altri principi e settori problematici
II.3.A Segmentazione sensibile (principio IV). Particolare riferimento ai minori
Il codice prevede i 12 anni come soglia di età per il trattamento dei dati dei minori.
Anche se positivo come principio, va notato che tale soglia non si basa su alcun
fondamento giuridico. Sarebbe opportuno dichiarare esplicitamente nel codice che la
soglia si applica “fatte salve diverse condizioni imperative previste dalla normativa
nazionale”.
Il Gruppo di lavoro considera positivamente la parte B del principio VI che richiede il
consenso esplicito degli utenti prima di creare segmenti ai fini di pubblicità
comportamentale online o prima di indirizzare loro messaggi pubblicitari
comportamentali che fanno uso di dati personali sensibili.
5 “Se decidi di disattivare la pubblicità comportamentale non significa che non riceverai più pubblicità
su internet. Tuttavia, significa che i banner che visualizzerai sui siti potrebbero non rispecchiare i tuoi
interessi o le tue preferenze sul browser che stai attualmente utilizzando.” Fonte:
http://www.youronlinechoices.com/it/le-tue-scelte/
6 Il sito web contiene funzioni Java Script da cinque diversi soggetti terzi esterni. Tali script possono
raccogliere informazioni sull’utente quali l’indirizzo IP, il referrer e la configurazione unica del
browser.
8
II.3.B Conformità al codice e rispetto delle sue norme (principio VI)
Il codice EASA/IAB include misure per garantire che le imprese firmatarie ne rispettino
le norme, in particolare attraverso un processo di autocertificazione che sia oggetto di
un audit indipendente e sia completato da un “marchio” di conformità rinnovabile
periodicamente. Il Gruppo di lavoro riconosce la necessità di norme interne che
garantiscano la conformità delle imprese, ma intende evidenziare il fatto che il codice
dovrebbe per principio rispettare il quadro legislativo europeo sulla protezione dei dati
personali. In questo contesto, occorre ribadire che incombe alle autorità nazionali di
regolazione la responsabilità in ultima istanza di valutare il rispetto delle norme da parte
dei fornitori di pubblicità comportamentale online e di adottare i provvedimenti di
applicazione pertinenti.
II.3.C Periodo di conservazione dei dati raccolti
Come già illustrato nel parere 2/2010, “i fornitori di reti pubblicitarie dovrebbero
attuare politiche di conservazione dei dati che garantiscano la cancellazione
automatica delle informazioni raccolte a ogni lettura del cookie dopo un periodo
giustificato di tempo (il tempo necessario per le finalità del trattamento).” Inoltre, la
raccolta e il trattamento dei dati a fini di pubblicità comportamentale devono essere
limitati al minimo indispensabile. Il codice EASA/IAB non prevede alcuna disposizione
circa la quantità di dati raccolti e il periodo o periodi di conservazione per scopi
specifici. Dal momento che anche su questo problema il sito web non fornisce
attualmente alcuna spiegazione, non è chiaro quanti siano i dati raccolti dalle varie reti
pubblicitarie, per quanto tempo siano memorizzati e per quali scopi siano trattati.
Questa è un’informazione assolutamente necessaria all’utente per permettergli di
prendere una decisione informata in merito al consenso a tale creazione di profilo. In
generale, data la mancanza di trasparenza e di consapevolezza del pubblico, è
decisamente da evitare che ciascuna rete pubblicitaria segua una politica di
conservazione diversa a questo riguardo e sarebbe stata molto utile un’iniziativa di
autoregolamentazione. Una simile iniziativa dovrebbe quanto meno riguardare il
periodo in cui il consenso possa considerasi valido e dopo il quale i dati debbano essere
cancellati.
III. Alcuni chiarimenti rispetto ai cookies e al consenso
III.1 La pubblicità comportamentale implica il trattamento di dati personali
In alcune parti del sito web www.youronlinechoices.eu si legge che “…nella maggior
parte dei casi, le informazioni utilizzate per gli annunci mirati non sono personali, nel
senso che non identificano l’utente nel mondo reale…” ed anche che un cookie
memorizza alcune informazioni di base, non personali sul PC dell’utente per migliorare
alcune funzioni e personalizzare la navigazione su internet. Queste argomentazioni sono
usate per concludere che l'installazione dei cookies a fini di pubblicità comportamentale
non è tenuta a rispettare la legislazione sulla protezione dei dati. Il Gruppo di lavoro
9
rinvia al parere 2/2010 che illustra come la pubblicità comportamentale implichi il
trattamento di identificatori unici, che sia mediante l'uso di cookies o di qualsiasi altro
tipo di dispositivo di identificazione. L’uso di tali identificatori unici consente di
tracciare gli utenti di uno dato computer anche quando gli indirizzi IP vengono
cancellati o resi anonimi. In altre parole, questi identificatori unici permettono agli
interessati di essere “distinti” ai fini del tracciamento del comportamento utente mentre
navigano su vari siti web e sono quindi da considerarsi dati personali.
Inoltre, il Gruppo di lavoro fa notare che l’articolo 5, paragrafo 3, della direttiva
modificata relativa alla vita privata e alle comunicazioni elettroniche è applicabile a
prescindere dal fatto che l'informazione memorizzata o a cui si accede
nell'apparecchiatura terminale dell'utente consista o meno in dati personali.
III.2 Il consenso non è necessario per ogni tipo di cookie
L’EASA e lo IAB hanno sostenuto anche che l’installazione di ciascun cookie necessita
un consenso “esplicito” e quindi avrà un’incidenza negativa sulla navigazione in rete. Il
Gruppo di lavoro desidera chiarire che il consenso non è necessario per ogni tipo di
cookie, dato che esistono modi diversi di usare detti strumenti, per scopi diversi e a
diverse condizioni. Ai sensi dell’articolo 5, paragrafo 3, della direttiva modificata
relativa alla vita privata e alle comunicazioni elettroniche, un cookie può essere esentato
dal consenso informato se è necessario al solo fine di effettuare la trasmissione di una
comunicazione su una rete di comunicazione elettronica o nella misura strettamente
necessaria al fornitore di un servizio della società dell’informazione esplicitamente
richiesto dall’abbonato o dall’utente a erogare tale servizio.
A titolo di esempio, sarebbero esentati dal consenso informato i seguenti cookies:
- il cookie di login sicuro. Questo tipo di cookie è costruito per identificare
l’utente una volta che si sia connesso ad un servizio della società
dell’informazione7 e sia necessario riconoscerlo, mantenendo la consistenza
della comunicazione con il server sulla rete di comunicazione;
- il cookie del paniere di acquisti. Su un sito web di acquisti online questo tipo di
cookie è tipicamente usato per memorizzare i riferimenti di articoli che l’utente
ha selezionato cliccando su un bottone (ad esempio, "aggiungi al mio carrello").
Questo cookie è quindi necessario per fornire un servizio della società
dell’informazione esplicitamente richiesto dall’utente;
- cookies di sicurezza. Si tratta di cookies che sono essenziali ai fini del rispetto
delle condizioni di sicurezza della direttiva 95/46/CE o di altra normativa, per un
servizio della società dell’informazione esplicitamente richiesto dall'utente. Ad
esempio, un cookie può essere usato per memorizzare un identificatore unico al
fine di consentire al servizio della società dell’informazione di fornire garanzie
ulteriori quanto al riconoscimento degli utenti che accedono di nuovo al
7 Tale definizione ricopre qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per
via elettronica, mediante apparecchiature elettroniche di elaborazione (compresa la compressione
digitale) e di memorizzazione di dati, e a richiesta individuale di un destinatario di servizi.
10
servizio. Tentativi di connettersi a partire da dispositivi non identificati
potrebbero portare ad ulteriori problemi di sicurezza.
Il Gruppo di lavoro osserva inoltre che, pur essendo alcuni cookies esenti dal consenso
informato richiesto dall’articolo 5, paragrafo 3, della direttiva modificata relativa alla
vita privata e alle comunicazioni elettroniche, questi possono comunque fare parte di un
trattamento di dati che deve rispettare la direttiva generale sulla protezione dei dati
personali. In particolare, i fornitori di servizi della società dell’informazione devono
comunque rispettare l’obbligo di informare gli utenti. Le opportunità non mancano di
informare questi ultimi sull’uso dei cookies prima che vengano installati.
III.3 Un pop-up non è l’unico modo possibile per ricevere il consenso
Molti sono convinti che le schermate pop-up siano l’unico modo per ottenere il
consenso. Questo non è vero: sono tanti gli esempi di altre modalità per ottenere il
consenso che sono di più facile uso per l’utente, tra cui:
- un banner informativo statico in cima alla pagina del sito in cui si richiede il consenso
dell’utente per installare dei cookies, con un link verso la dichiarazione di riservatezza
contenente una spiegazione più dettagliata dei vari responsabili del trattamento e dei
relativi scopi. Un banner del genere è attualmente usato dall’autorità garante del Regno
Unito8;
- una schermata di caricamento (“splash screen”) al momento dell'entrata nel sito web
che spieghi quali cookies saranno installati e da quali soggetti, se l’utente acconsente.
Dette schermate di caricamento sono usate ad esempio dai produttori di birra che
vogliono assicurarsi che i loro visitatori abbiano l’età sufficiente per visitare il loro sito;
- impostazioni predefinite che impediscano il trasferimento dei dati a soggetti esterni,
per cui è necessario che l’utente clicchi per indicare il suo consenso ai fini del
tracciamento. Una soluzione tecnica pratica9 è stata sviluppata dalla rivista elettronica
tedesca Heise rispetto ai cookies installati e letti da Facebook grazie al bottone “Mi
piace”: come impostazione di default, il bottone appare grigio chiaro e solo se l’utente
clicca sul bottone, questo si illuminerà e sarà in grado di installare e ricevere dati
dell’utente10;
- impostazioni predefinite nei browser che impediscano la raccolta di dati
comportamentali (“Non raccogliere”). Il considerando 66 della direttiva modificata
relativa alla vita privata e alle comunicazioni elettroniche suggerisce di usare le
impostazioni del browser come mezzo per ottenere il consenso, purché ciò sia
“tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della
direttiva 95/46/CE”. Questa non è un'eccezione alla regola dell'articolo 5, paragrafo 3,
ma piuttosto un richiamo al fatto che, in questo ambiente tecnologico, il consenso può
8 http://www.ico.gov.uk
9 Perché possa permettere un consenso informato, tale soluzione deve essere accompagnata da
un'adeguata informazione.
10 Il codice specifico è disponibile alla pagina web http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-
Datenschutz-1333879.html
11
essere dato in vari modi, laddove tecnicamente possibile, efficace e conforme alle altre
condizioni rilevanti per il consenso valido.
Come minimo ciò significa che, per rispettare le condizioni poste dalla direttiva
95/46/CE, non può considerarsi che gli interessati abbiano dato il loro consenso
semplicemente perché si sono procurati/hanno usato un browser o un’altra applicazione
che per difetto permette la raccolta e il trattamento delle loro informazioni. Affinché i
browser o qualunque altra applicazione siano in grado di fornire un consenso valido ed
efficace, essi devono obbligare l’interessato ad attivarsi per accettare sia l’installazione
di cookies che la trasmissione continua delle informazioni in essi contenute da parte di
determinati siti web. A tal fine si potrebbe immaginare che siano sviluppate, da parte
delle reti pubblicitarie, delle specifiche applicazioni software (plug-in o estensioni del
browser), scaricate e installate dagli utenti per permettere di modificare lo stato delle
impostazioni del browser rispetto ai cookies pubblicitari, per mezzo di interfacce di
programmazione delle applicazioni (API) o di altri strumenti messi a disposizione dai
produttori di browser. Prima di installare lo specifico plug-in “pubblicità”, gli utenti
dovrebbero ricevere le informazioni rilevanti sul trattamento dei dati. Si potrebbe
sostenere che la condizione affinché questo meccanismo di opt-in funzioni
correttamente è che sia garantito che i cookies di terzi non siano accettati per difetto
nelle impostazioni del browser.
Il Gruppo di lavoro si compiace delle recenti iniziative, da parte di fornitori di browser,
di sviluppare soluzioni a tutela della vita privata quali Do Not Track 11, che potrebbero
spianare la via a meccanismi di espressione del consenso conformi fondati sulle
impostazioni del browser, a condizione che detti meccanismi consentano davvero agli
utenti di esprimere il loro consenso caso per caso, senza essere tracciati per difetto.
III.4 Cliccare attraverso molteplici pop-up per il consenso non è sempre necessario
Poiché molte pagine web includono cookies di reti pubblicitarie che necessiterebbero il
consenso ai sensi dell’articolo 5, paragrafo 3, l’EASA e lo IAB hanno sostenuto che gli
utenti dovranno continuamente cliccare su richieste di consenso andando da un sito
all’altro. Tale affermazione non tiene conto del fatto che una volta che l’utente ha
espresso il proprio consenso o rifiuto, non vi è motivo per richiederlo ancora per un
cookie avente lo stesso scopo e proveniente dallo stesso fornitore. Quindi, se una rete
pubblicitaria terza riceve il consenso su un sito web per un cookie di pubblicità
comportamentale online, detto consenso sarà valido non solo per altre pagine dello
stesso sito, ma anche per altri siti web della stessa rete di pubblicità comportamentale
online. Di conseguenza, per un utente medio, il numero di richieste di consenso
diminuirà nella misura in cui naviga e fa le sue scelte.
Una volta che l’utente ha acconsentito a ricevere un dato cookie, la presenza di
quest’ultimo può essere usata come marcatore del suo consenso. Perciò, l’attuale
tecnologia di opt-out usata dalle reti pubblicitarie affiliate al sito web
www.youronlinechoices.eu potrebbe essere riprogettata alla luce di un approccio di optin.
A titolo esemplificativo, possiamo immaginare il seguente schema:
11 http://www.w3.org/2011/tracking-protection/
12
1) la prima volta che un utente entra in contatto con un fornitore di pubblicità
comportamentale online (attraverso la visita di un sito web) non viene installato
alcun cookie e quindi non ne verrà inviato alcuno al fornitore della rete
pubblicitaria. Il fornitore pubblicitario può affiggere un messaggio in qualunque
spazio di informazione (compreso quello in cui apparirebbe il messaggio
pubblicitario) al fine di proporre all’utente la scelta fra:
• accettare un cookie di opt-in ai fini di future pubblicità comportamentali;
• rifiutare i cookies a fini di pubblicità comportamentale, accettando al
contempo un cookie contenente la parola "RIFIUTO" in modo da poter
permettere la registrazione di tale rifiuto nel prosieguo12;
• non memorizzare alcun cookie. In questo caso, all’utente verrà nuovamente
richiesto di scegliere alla prossima visita;
2) quando l’utente entrasse in contatto nuovamente con lo stesso fornitore di
pubblicità comportamentale online, il fornitore pubblicitario potrebbe adattare il
proprio atteggiamento secondo tre possibili situazioni:
• se vi è un cookie di opt-in, il fornitore di pubblicità comportamentale online
può avere accesso e memorizzare dei cookies sul terminale dell’utente e
fornire pubblicità comportamentale;
• se vi è un cookie di “rifiuto”, il fornitore saprà che l’utente rifiuta cookies
futuri (e quindi pubblicità comportamentale) e dovrà limitarsi ad annunci
non mirati;
• se non vi è alcun cookie, il fornitore potrà considerare che si tratta del primo
contatto con l'utente e sarà tenuto a chiedergli quale sia la sua scelta.
Per gli attori rilevanti del mercato può valere la pena analizzare ulteriormente questo
esempio di metodo per ottenere il consenso.
Infine, il sito web www.youronlinechoices.eu dimostra chiaramente che le opzioni in
merito alla pubblicità comportamentale online possono essere presentate in un'unica
pagina in cui l’utente può cliccare per esprimere le proprie scelte rispetto a ciascun
fornitore individuale di pubblicità comportamentale online. Quando un sito web utilizza
vari fornitori pubblicitari, una presentazione del genere è possibile per raggruppare tutte
le richieste di consenso necessarie all’utente in una sola pagina o spazio informativo,
riducendo ulteriormente il numero necessario di pop-up o di spazi informativi.
IV. CONCLUSIONI
Come affermato nel parere 2/2010, il Gruppo di lavoro non mette in discussione i
benefici economici che possono derivare dalla pubblicità comportamentale, ma è sua
ferma convinzione che tali pratiche non debbano essere utilizzate a scapito dei diritti
individuali al rispetto della vita privata e della protezione dei dati personali. Il quadro
regolamentare europeo per la protezione dei dati personali prevede specifiche garanzie
che devono essere rispettate.
12 L’uso di un cookie per registrare il “rifiuto” dell’utente è compatibile con l’articolo 5, paragrafo 3,
dal momento che all’utente è richiesto il consenso anche per questo cookie.
13
L’adesione al codice EASA/IAB relativo alla pubblicità comportamentale online e la
partecipazione al sito web www.youronlinechoices.eu non risultano conformi all’attuale
direttiva relativa alla vita privata e alle comunicazioni elettroniche. Inoltre, il codice e il
sito web creano la presunzione erronea che sia possibile scegliere di non essere tracciati
mentre si naviga in rete. Tale erronea presunzione può pregiudicare non solo gli utenti
ma anche le imprese nella misura in cui queste raggiungano il convincimento che,
applicando il codice, rispettano gli obblighi della direttiva.
L’industria pubblicitaria deve rispettare i precisi obblighi della direttiva relativa alla vita
privata e alle comunicazioni elettroniche e il presente parare mostra che esistono varie
soluzioni pratiche per garantire, da un lato, un livello adeguato di rispetto delle norme e,
dall’altro, che navigare in rete resti un'esperienza positiva per l'utente.
Fatto a Bruxelles, l’8 dicembre 2011
Per il Gruppo di lavoro
Il Presidente
Jacob KOHNSTAMM
 
Top