L’obbligo del consenso

In conformità con la Direttiva UE 2009/136/CE sui cookie del Parlamento Europeo e del Consiglio, l'Italia ha introdotto un regolamento specifico per i cookie di Internet, in vigore dal 2 giugno 2015.

La direttiva Europea rappresenta un quadro comune per tutti i paesi Europei al fine di introdurre nuove norme in materia di privacy e protezione dei dati. Lo scopo del regolamento è quello di consentire agli utenti di Internet di esercitare il proprio consenso esplicito sull'uso dei cookie, a meno che strettamente necessario, nonché di informare gli utenti finali delle varie funzioni dei cookie, non solo allo scopo di raccogliere informazioni inutilmente.

Rilevante per la legge italiana sui cookie è la distinzione tra i cookie di profilazione e i cookie tecnici Come visto nel paragrafo precedente, un cookie tecnico rappresenta un

128 Art. 162-ter (1/2) del “Codice in materia di protezione dei dati personali”. 129 Art. 162-ter (4) del “Codice in materia di protezione dei dati personali”.

cookie strettamente necessario per la funzionalità del sito Web, in modo che non produca problemi di privacy, come ad esempio cookie di navigazione e di sessione, cookie funzionali e cookie di analisi130_.

È considerato un cookie di profilazione, un cookie permanente che non ha solo la funzione di registrare le preferenze su un sito Web per lungo tempo. In effetti, ha una funzione più specifica: monitorare e profilare gli utenti mentre navigano in Internet131_.

Questo tipo di cookie Internet analizza i movimenti e le abitudini online degli utenti allo scopo di inoltrare pubblicità e servizi personalizzati. Dal momento che sono valutati come invasivi della privacy, ovviamente hanno ricevuto una regolamentazione più onerosa132_.

Il tracciamento degli annunci basato su cookie si è evoluto nel corso degli anni e, in particolare, i cookie di pubblicazione di annunci di terze parti si sono evoluti nel tracciamento delle preferenze dell'utente riguardo ad un sito Web (cookie di profilazione).

Quest'ultimo gruppo di attività ha creato molte polemiche tra le istituzioni e le autorità sulla privacy, insistendo sul fatto che una maggiore efficacia degli annunci deve essere ponderata con l'impatto sulla privacy degli utenti e che non esiste un consenso evidente per questo tipo di attività di monitoraggio.

L'uso in rapida crescita dei cookie al di fuori di un quadro legislativo specifico richiede regolamenti completi, in particolare riguardo alla fornitura di come esprimere un consenso consapevole all'utilizzo dei cookie.

130 DIRETTIVA 2009/136/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori

131 Ibid. 132 Ibid.

I cookie svolgono diverse importanti funzioni in rete. Qualsiasi decisione sulla regolamentazione delle informazioni e il consenso online riguarda praticamente ogni sito Web e ha un impatto sostanziale su un numero enorme di entità, che in realtà sono molto diverse l'una dall'altra.

Scopo del nuovo regolamento sui cookie che consente agli utenti di effettuare scelte pienamente informate sull'installazione dei cookie richiedendo il loro consenso esplicito e, caso per caso e, il più basso impatto possibile in termini di interferenze con la esperienza di navigazione degli utenti e fornitura di servizi IT (informazione e consenso).

Di conseguenza, al fine di elaborare i cookie tecnici è sufficiente fornire agli utenti una politica sulla privacy che:

➢ Deve contenere informazioni sul tipo di cookie utilizzato dal sito Web e se provengono da terze parti o meno;

➢ Deve essere contenuto in una sezione specifica del sito Web, liberamente accessibile dall'utente.

Al fine di elaborare i cookie di profilazione, è richiesto un consenso specifico. Agli utenti, appena al primo accesso al sito Web, deve essere mostrato un avviso breve iniziale in un banner sovrapposto. L'avviso di primo livello deve rimanere nella pagina fino a quando l'utente non intraprende un'azione positiva per rimuoverlo.

Il banner deve contenere le seguenti informazioni:

➢ Il sito Web utilizza cookie di profilazione allo scopo di inviare messaggi pubblicitari in linea con le preferenze di navigazione online dell'Utente;

➢ Il sito Web consente anche l'invio di cookie di terze parti (ovviamente, se questo è effettivamente il caso);

➢ Una nota informativa estesa, accessibile da un link cliccabile, in cui devono essere fornite informazioni sui cookie tecnici e di analisi insieme agli strumenti per selezionare i cookie da abilitare;

➢ L'utente può rifiutare in una pagina di avviso di informazioni estesa di consentire l'installazione di qualunque cookie;

➢ Se l'Utente continua a navigare accedendo a qualsiasi altra sezione o selezionando un elemento sul sito Web (ad esempio facendo clic su una foto o un collegamento), indica il proprio consenso all'utilizzo dei cookie.

Inoltre, il banner, che deve essere più grande della nota informativa contenuta, deve essere parte integrante dell'azione attraverso la quale l'utente indica il consenso.

Inoltre, è necessario che la richiesta di consenso all'uso dei cookie sia: ➢ Inclusa nel banner che mostra la breve nota informativa;

➢ Contenuto nella homepage e in qualsiasi altra pagina di destinazione (solo nel primo accesso al sito Web).

Il breve preavviso deve essere integrato da un avviso "esteso" a cui si accede tramite un collegamento ipertestuale cliccabile inserito all'interno del breve preavviso.

Sebbene l'avviso esteso gli utenti che desiderano ottenere informazioni aggiuntive e più dettagliate e fare scelte più dettagliate riguardo ai singoli cookie memorizzati dal sito Web, debbano avere la possibilità di:

➢ Vedere l'elenco completo di tutti i cookie installati sul sito Web (inclusi quelli di terze parti);

➢ Leggere informazioni dettagliate sui diversi tipi di cookie; ➢ Scegliere quali tipi di cookie consentire e quali no;

➢ Avere accesso alle notifiche estese aggiornate di terzi che l'editore ha accettato di consentire l'installazione dei cookie tramite il proprio sito Web (al fine di mantenere le responsabilità degli editori separate da quelle di terzi).

Pertanto, in base alla Cookie Law italiana ed in relazione al G.D.P.R., si può asserire che spetta al gestore del sito, ottenere e raccogliere il consenso informato dell’utente prima che vengano installati cookie sul terminale dell’utente.

Quindi deve essere presente un banner che avverta sulla presenza di cookie e che indichi quali tipologia di cookie sono presenti e quale è la cookie policy.

In particolare, è da notare che la Cookie Law italiana prevede il blocco preventivo dei cookie e la sua accettazione con la cosiddetta modalità opt-in, questo significa che l’utente deve fornire un consenso inequivocabile, volontario, liberamente dato, specifico e informato. Tuttavia è doveroso affermare che la Cookie Law Italiana non prevede che il consenso sia esplicito, pertanto un consenso implicito è accettabile nel caso in cui esso sia inequivocabile. Va però specificato che la totale inattività dell’utente non potrà essere ritenuta valida, bisognerà quindi trattarsi di un comportamento attivo, come chiarito dalla sentanza della Corte di Giustizia dell’Unione europea causa C-673/17. Dunque il comportamento posto in essere dall’utente non può consistere in un mero scorrere la pagina o cliccare su un link che porti ad altra pagina, ma deve essere inequivocabilmente rivolto all’accettazione dei cookie. Occorre che l’utente clicchi su un pulsante Accetta o Rifiuta. Infine le caselle di consenso preselezionate non possono configurare un reale consenso.133

Molto importante, ed è l’unica cosa che al momento veramente si trae dal GDPR, è che la revoca del consenso deve essere facile allo stesso modo di come il consenso possa essere dato, cioè se con un click si può dare il consenso con uno si dovrebbe poter revocare.

L'uso del condizionale appare d'obbligo in quanto non sempre è possibile, ad esempio per i cookie di terze parti, ed in quel caso si rimanda ai riferimenti delle informative di terzi .

Da tutto ciò si deduce cosa serve per far andare d’accordo GDPR e Cookie: ➢ blocco preventivo dei cookie, fino ad accettazione della cookie policy;

➢ consenso informato, esplicito e preventivo (prima dell’installazione dei cookie), il tutto da ricevere chiaramente con una azione di opt-in, cioè di accettazione positiva;

➢ registrazione del suddetto consenso che sia in qualche modo provabile alle autorità competenti;

➢ possibilità di revoca del consenso ed indicazione su come effettuare tale operazione;

➢ informativa chiara e dettagliata sull’utilizzo dei cookie e sugli installatori di terze parti;

➢ collegamento alla pagina di privacy policy del sito web.134

134 _{GUERRASIO,G. GDPR e Cookie Law, Direttive complementari per aumentare il livello di privacy, in viralbeat,} 2018.

Capitolo III

L’Algoritmo alla luce delle tecniche di

Profilazione e delle Decisioni Automatizzate

III.1. Il ruolo cruciale dei big data e l’insita opacità dei processi decisionali