Novità previste dal Regolamento UE 679/2016 in tema di cookie

Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento Europeo 2016/679, approvato il 27 aprile 2016, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ed abroga la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Si precisa che il nuovo Regolamento Europeo apporta modifiche alla Direttiva 95/46/CE relativamente alla protezione dei dati personali, mentre non incide sulla disciplina dei cookie regolamentata dalla Direttiva 2009/136/CE e recepita in Italia con D.lgs. 28 maggio 2012, n. 69.

Pertanto, a seguito dell’introduzione di tale Regolamento, le norme che al giorno d’oggi sono in vigore non muteranno, piuttosto si otterrà una maggiore coerenza tra il contesto di riferimento delle norme generali e le norme relative ai cookie.

81 Tuttavia, merita attenzione l’art.25 del presente Regolamento, mediante cui si introduce il principio di privacy by design e privacy by default, imponendo la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita, quindi sin dal primo momento le aziende devono utilizzare strumenti a tutela dei dati personali dell’utente.

Il concetto di privacy by design si è sviluppato a partire dagli anni ’90, si basa su un approccio proattivo alla tutela dei dati personali nell’ambito dell’erogazione di prodotti e servizi informatici, prevedendo che in detti prodotti, fin dal momento della loro progettazione, siano inseriti gli strumenti adatti a tutelare la privacy. Dunque, il principio di base è quello di utilizzare al meglio la tecnologia che è alla base di questi prodotti al fine di garantire una maggiore tutela125.

Sicché, per proteggere i dati personali dell’interessato mediante il design dei sistemi informatici, è necessario che il soggetto incaricato di sviluppare il sistema valuti, fin dal principio, quali siano i possibili pericoli che possono minacciare la privacy dell’utente ed indichi gli eventuali rimedi. Così gli strumenti individuati dovranno essere inseriti nel design del prodotto e quindi si assiste ad un intervento ex ante piuttosto che ex post; dunque, l’approccio by design si caratterizza per lo svolgersi di azioni preventive126

.

È opportuno prendere in esame la distinzione che sussiste tra momento back-end e momento front-end in riferimento alla tutela dei dati personali. Di fatto, nel momento

back-end, il design è relativo alle modalità di conservazione e trattamento delle

informazioni previamente acquisite, e deve garantire l’osservanza delle disposizioni e consentire una regolare fruizione dei dati. Per quanto concerne invece il momento

front-end, questo è relativo al momento in cui l’utente entra in contatto con il servizio

erogatogli, dunque alla modalità tramite cui i dati dell’utente sono acquisiti. In tal caso, devono essere rilasciate all’utente tutte le informazioni relativamente ai dati che saranno acquisiti e gli deve essere garantito un maggiore controllo su di essi127.

Il principio di privacy by design non è qualcosa di nuovo per l’operatore commerciale in Italia, in quanto l’art. 3 del Codice sancisce che “i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di

125

D’Acquisto G., Naldi M., Big data e privacy by design, cit., pag. 16.

126 _{Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali: Dalla Direttiva 95/46 al}

nuovo Regolamento europeo, Giappichelli, Torino, 2016, pag. 287.

127 _{In tal senso Principato A., Verso nuovi approcci alla tutela della privacy: privacy by design e privacy}

82 dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”.

Il concetto della privacy by design si basa sul fatto di considerare la tutela proattiva della privacy, conveniente e vantaggiosa per gli operatori online, sia dal punto di vista del cliente che sarà maggiormente soddisfatto, sia dal punto di vista concorrenziale e della competitività, sia dal punto di vista delle azioni legali in quanto si sarà meno coinvolti in cause relative ai danni alla privacy. Tale principio dovrebbe essere adottato dagli operatori a prescindere dalle disposizioni dettate dal legislatore, in virtù degli effetti positivi che ne scaturiscono.

“In generale, però, tale approccio a tutela della privacy non sempre ha trovato una facile applicazione pratica. Tale scarsa applicazione deriva sia da problematiche inerenti la difficoltà a definire quale sia in concreto il significato della privacy by design sia dal fatto che le imprese hanno consistenti vantaggi economici derivanti dal trattamento di dati, cui non è facile che rinuncino spontaneamente ove a ciò non corrispondano adeguati vantaggi in termini competitivi. Sono infatti presenti forti asimmetrie informative tra gli utenti e chi acquisisce e tratta i dati personali, rispetto all’acquisizione degli stessi dati ed ai danni che possono essere provocati agli utenti dal loro trattamento. Inoltre, raramente gli utenti sono in grado di conoscere l’utilità e finanche l’esistenza di strumenti che possono essere loro utili a tutelare la riservatezza dei propri dati. D’altro canto, dal lato dell’offerta di prodotti informatici, non pare particolarmente utile alle imprese aggregare ai prodotti e servizi informatici offerti strumenti di tutela della riservatezza dei dati, o informare di tale possibilità il consumatore, sia per la debolezza della domanda, sia perché la capacità di ottenere e analizzare i dati degli utenti è strettamente funzionale alla pubblicità online, che è una delle maggiori fonti di profitto per i gestori di siti web”128

.

Tale mancanza di attenzione comporta l’assenza di investimenti, e di conseguenza non si ha interesse a sviluppare idonee tecnologie e strumenti di tutela; è comunque utile che

128 _{Principato A., Verso nuovi approcci alla tutela della privacy: privacy by design e privacy by default}

83 il legislatore intervenga al fine di favorirne lo sviluppo e di evitare che vi sia un utilizzo marginale ed occasionale.

Infatti, anche l’ENISA129

si è pronunciata in tal senso, sostenendo che nell’ambito dell’ingegneria informatica emerge un crescente interesse per la sicurezza dei dati, ma tale interesse, spesso, rimane circoscritto soltanto ad una discussione teorica e quindi, di rado si assiste all’effettiva creazione di strumenti coerenti con il principio della privacy

by design130.

Per tutelare la privacy è opportuno che il principio di privacy by design sia connesso a quello di privacy by default, il quale prevede che i dispositivi hardware siano impostati in modo da garantire la massima privacy possibile, in cui sia in un secondo momento l’utente a scegliere quali trattamenti aggiuntivi accettare.

La privacy by default, quindi, comporta che l’uso di certi dati venga fatto dall’utente in maniera automatica, seguendo una scelta che è stata fatta per lui da colui che ha impostato il sistema, sebbene rimanga possibile all’utente modificare tale scelta131

.

Il vantaggio di utilizzare i default settings (letteralmente impostazione predefinita) risiede nel fatto che nel momento in cui si prende una decisione, se l’impostazione è predeterminata, gli utenti sono tendenti a lasciare invariati tali default settings, nonostante abbiano la possibilità di modificarli. Quindi, si può evincere che le impostazioni di default abbiano un importante peso sulle decisioni degli utenti. Pertanto mediante l’uso delle impostazioni predefinite, si rimanda alla volontà dell’utente di scegliere quale trattamento autorizzare e quali contenuti condividere, modificando in prima persona le impostazioni132.

129 _{L’ ENISA (European Union Agency for Network and Information Security) è un centro di competenza}

per la sicurezza informatica in Europa. L'Agenzia lavora strettamente con gli Stati membri e con il settore privato per fornire consulenza e soluzioni, li sostiene nell’implementare l'attuazione delle leggi impartite dall’Unione Europea, incrementandone la conoscenza.

130

ENISA, Privacy and data protection by design, 2015, pag. 50, in www. www.enisa.europa.eu.

131 _{Ausloos J., Kindt E., Lievens E., Valcke P., Dumortier J., Guidelines for Privacy-Friendly default}

settings, ICRI Working Paper 12/2013, pag. 7, in www.papers.ssrn.com.

132 _{A sostegno di ciò sono stati condotti degli studi, ad opera di Kesan J. P. e Shah R. C., che hanno}

dimostrato come nonostante l’utente abbia la possibilità di cambiare le impostazioni predefinite del sistema, spesso non apporta modifiche, accontentandosi delle scelte effettuate dall'ideatore del sistema. Un esempio è relativo ai cookie, poiché quando si naviga su una pagina compare l'avviso della presenza di cookie e questi sono impostazioni di default. Nonostante queste impostazioni potrebbero essere modificate dall'utente, quasi nessuno le cambia, o comunque lo fa solo una minoranza. Ciò dimostra chiaramente come le impostazioni di default siano in grado di influenzare le azioni dell'utente. Kesan J.P.,

84 Il default setting dovrebbe essere impostato dal responsabile del sistema, considerando cosa un utente ben informato sceglierebbe nell’ipotesi in cui gli si presenti l’occasione. È necessario che entrambe le parti siano ben informate, pertanto nel caso in cui vi siano dislivelli nell’informazione, si potrebbe impostare il default in modo da essere più favorevole alla parte debole, costringendo in tal modo l’altra parte a fornire maggiori informazioni al fine di indurla a cambiare l’impostazione predefinita.

Utilizzando i default settings si avrà una maggiore tutela dell’utente ed inoltre quest’ultimo sarà messo nelle condizioni di poter decidere con maggiore consapevolezza quali trattamenti di dati personali autorizzare.

Occorre ricordare che anche nella Direttiva CE 95/46/CE, in materia di tutela delle persone fisiche in relazione al trattamento e alla circolazione dei dati personali, i responsabili del trattamento erano invitati ad adottare misure idonee a livello tecnico e organizzativo, dal design sino al momento del trattamento, col fine di evitare trattamenti non autorizzati. Altro riferimento alla tutela sin dal design si rinviene nella Direttiva 2002/58/CE, nella quale è sancito che fin dal momento della progettazione è necessario minimizzare l’uso dei dati. Anche l’art. 3 del Codice, mediante il principio di necessità, prevede che i sistemi informativi ed i programmi informatici siano configurati in modo da ridurre al minimo l’uso di dati personali e di dati identificativi, prediligendo piuttosto dati anonimi o che permettano di identificare l’interessato soltanto in caso di necessità. Poiché si è ritenuto che non vi è stato molto rispetto di tali obblighi da parte dei responsabili del trattamento dei dati, nel nuovo Regolamento EU il principio di privacy

by design è stato affermato quale principio generale e obbligatorio per chiunque gestisca

sistemi che trattino dati personali. Il privacy by default è bensì previsto al fine di garantire la corretta osservanza del principio di minimizzazione nell’uso dei dati, i quali devono essere archiviati e trattati soltanto se necessario, nel rispetto del fine per cui vengono acquisiti e per un arco temporale necessario a perseguire tale fine.

L’art. 25 del nuovo Regolamento europeo sancisce che “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a

Shah R.C., Settings software defaults: perspectives from law, computer science and behavioural

85 integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.

L’obbligo di privacy by design si basa, quindi, sulla stima del rischio, perciò le aziende sono tenute a valutare il rischio connesso alla loro attività; detta valutazione dovrà essere eseguita all’atto della progettazione del sistema, all’inizio del trattamento, tenendo in considerazione anche del tipo di dati utilizzati per perseguire le proprie finalità.

Tuttavia, in riferimento alla privacy by default sono emerse due differenti filoni di pensiero. Così, da un lato vi sono coloro che approvano la privacy by default, ritenendo che l’assenza di impostazioni predefinite potrebbe esporre gli utenti a elevati rischi, poiché questi spesso non sono a conoscenza delle modalità mediante cui impostare il sistema, in modo da tutelare i propri dati. Viceversa, dall’altro lato vi sono coloro che ritengono che, a volte, è molto difficile creare delle regolazioni di tutela sulle quali siano tutti d’accordo ed in grado di gestire ogni tipo di software o risorsa online133

. Pertanto, è complicato riuscire a creare delle impostazioni predefinite che siano in grado di soddisfare tutti gli utenti.

Eppure, è bene mettere in evidenza, che il presente Regolamento in ambito della privacy

by default, non definisce con precisione quali siano le “misure tecniche ed

organizzative” da mettere in atto, e di conseguenza si è dinnanzi ad una norma poco chiara; viceversa, per la privacy by design, il Regolamento provvedere a fornire esempi di misure tecniche ed organizzative adeguate da adottare, quali la pseudonimizzazione134 e la minimizzazione135.

133

Biasiotti A., Il nuovo regolamento europeo sulla protezione dei dati, EPC, Roma, 2016, pag. 547.

134 _{In tal senso si veda paragrafo1.2 di tale elaborato.}

135_{Il principio di minimizzazione dei dati richiede l’uso dei dati strettamente necessari per il}

perseguimento delle finalità. D’Acquisto G., Naldi M., Big data e privacy by design Anonimizzazione, Pseudonimizzazione, Sicurezza., cit., pag. 89.

86 Attraverso l’introduzione del principio di privacy by design e privacy by default, le imprese, prima di intraprendere il trattamento di dati devono procedere ad una valutazione d’impatto (art.35) ed inoltre, “un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità [del trattamento] ai requisiti dettati dall’art. 25”,e quindi tale certificazione, rilasciata da un ente terzo (art. 41 del Regolamento), ha carattere probatorio e libera il titolare da responsabilità nel caso in cui l’utente esponga un reclamo.

Si può osservare come, all’interno del Regolamento, i principi di privacy by design e

privacy by default siano posti in un contesto in cui l’utente non è più soltanto soggetto

passivo delle tutele, bensì diviene un soggetto attivo, che dovrebbe essere il più possibile messo in grado di scegliere quando e cosa condividere e dunque in qualche modo di costruire da sé la propria tutela”136.

5. Proposta di un nuovo Regolamento europeo per le comunicazioni elettroniche