Le regole dei Garanti privacy Ue sulla raccolta a scopo di identificazione dei dati dei dispositivi “device fingerprinting”

Il device fingerprinting, ossia le impronte digitali del dispositivo, hanno suscitato numerose perplessità in ambito della protezione dei dati personali; ciò scaturisce dal fatto che molti operatori di servizi online hanno richiesto la digitalizzazione delle impronte digitali come alternativa ai cookie HTTP, al fine di monitorare o creare statistiche senza dover prima acquisire un consenso ai sensi dell'articolo 5 paragrafo 3 della Direttiva 2002/58 / CE (modificata dalla Direttiva 2009/136/CE). Questo fornisce una conferma del fatto che i rischi connessi al device fingerprinting118 non sono solamente teorie.

Pertanto, il gruppo di lavoro articolo 29 (WP29) il 25 novembre 2014 è intervenuto mediante un Parere119 circa le misure di tutela degli utenti nell’ipotesi di impiego di dispositivi device fingerprinting, i quali tendono ad identificare i terminali ed i relativi utenti tramite la raccolta di dati tecnici e tracciando il terminale connesso a

Internet.

118 _{In tal senso Wang C., Gerdes M. R., Guan Y., Sneha K. K., Digital Fingerprinting, Springer, New}

York, 2016, pag. 180.

119_{Article 29 Data Protection Working Party, Opinion 9/2014 on the application of Directive}

76 Il device fingerpriningt è quindi una tecnica che consente di reperire informazioni circa un dispositivo connesso ad Internet, sia esso un computer, smartphone, tablet,

smart TV, etc., col fine di identificare il medesimo dispositivo o l’utente che lo usa.

Attraverso il device fingerprinting l’utente può essere monitorato tramite la tracciatura e la raccolta di dati tecnici e di proprietà del proprio dispositivo connesso a Internet (per esempio le informazioni ricavate dall’orologio del dispositivo, le dimensioni dello schermo, il sistema operativo usato, le impostazioni delle connessioni wireless, etc.).

La differenza sostanziale tra l’uso dei cookie e del fingerprinting si rinviene nel fatto che mentre nel primo caso l’utente che non ha intenzione di essere profilato, ha la possibilità di esercitare il diritto di opposizione ed anche la di rimuovere direttamente i

cookie, poiché questi sono archiviati all’interno del proprio dispositivo, per quanto

concerne invece il fingerprinting, l’utente può solamente presentare una richiesta al titolare, poiché il fingerprinting non è archiviato nel dispositivo dell’utente, ma presso il

server del provider, ai quali l’utente non ha alcun accesso libero e diretto.

Si possono distinguere due differenti modi di operare di tale tecnica, infatti vi è il

passive fingerprinting, che risulta essere parecchio rischioso per la privacy dell’utente

inconsapevole, e l’active fingerprinting, il quale presuppone che l’utente attenda e sopporti il tracciamento, che è svolto tramite l’installazione diretta sul dispositivo di un codice eseguibile che può avere accesso ad elementi quali per esempio l’identificativo univoco che ogni produttore hardware attribuisce a ciascuna scheda di rete, o altresì a numeri seriali univoci dell’hardware del dispositivo.

Tale tecnica risulta essere ampiamente utilizzata, tanto che in base ad un rapporto120 redatto dall’Università Ku Leuven-IMinds nel 2013, si è rilevato che su un campione di 10.000 siti Internet ben 145 di questi usano script nascosti al fine di estrarre un’impronta digitale dai browser degli utenti. Le impronte digitali di dispositivo non rispettano le restrizioni legali imposte all’utilizzo dei cookie e all’intestazione HTTP di non eseguire traccia, sicché gli utenti vengono monitorati senza aver acquisito il loro consenso.

120

77 Un ulteriore studio121 condotto dallo Stanford Security Laboratory ha evidenziato la sussistenza di molteplici debolezze nella struttura sensoriale degli smartphone più diffusi sul mercato, la quale consentirebbe di memorizzare codici identificativi unici tramite dispositivi interni quali il microfono, gli altoparlanti, etc.

Ulteriori studi hanno mostrato che il device fingerprinting non si ripercuote soltanto sul Flash, cioè il plug-in ampiamente usato per riprodurre video e audio, permettendo di reperire l’IP, bensì anche su Java Script, ossia un linguaggio di programmazione122

piuttosto diffuso tra le applicazioni web e perciò pure sui dispositivi Apple su cui non è presente Flash.

Il device fingerprinting è quindi una tecnica alquanto pericolosa per la privacy degli utenti per una molteplicità di motivi di seguito elencati:

 le operazioni di monitoraggio e tracciatura del dispositivo sono effettuate in assenza di consenso e per di più l’utente non è consapevole di tali operzioni;

 il device fingeprinting è molto più insidioso dei cookie in quanto, rispetto a quest’ultimi, è capace di operare anche nel caso in cui i cookie siano disattivati (infatti questa tecnica appartiene alla categoria dei super cookie). Tale tecnica è inoltre adoperata dai distretti di sicurezza di numerosi paesi per fronteggiare i furti di identità digitale e le truffe circa le carte di credito;

 il device fingerprinting, può attuarsi perfino eludendo il do not track HTTP, cioè lo strumento con cui gli utenti manifestano il loro consenso o dissenso ad essere monitorati.

Il Gruppo dei Garanti privacy, dinnanzi a tale situazione, ha quindi ampliato la portata di applicazione del precedente Parere 4/2012 sui cookie, affermando che l’art.5 paragrafo 3 della Direttiva 2002/58/CE, in seguito modificato dalla Direttiva 2009/136/CE è altresì applicabile al device fingerprinting; pertanto vige l’obbligo del consenso informato prima di poter procedere con l’accesso e l’archiviazione delle informazioni relative al terminale utilizzato dall’utente.

121 _{Bojinov H., Boneh D., Michalevsky Y., Nakibly G., Mobile Device Identification via Sensor}

Fingerprinting, in www. crypto.stanford.edu.

122

78 Dunque, coloro che raccolgono informazioni sull’utente utilizzando il device

fingerprinting hanno l’obbligo di acquisire previamente il consenso dell’utente, così

come avviene per le operazioni di monitoraggio e profilazione eseguite tramite cookie, salvi i casi di esenzione previsti.

“Che la raccolta di informazioni tecniche attuata mediante fingerprinting rappresenti un vero e proprio trattamento di dati personali (e che le informazioni tecniche in quanto tali siano “dati personali”) come definito dalle applicabili Direttive sulla protezione dei dati (la 96/45 e la 2002/58) è confermato dal Parere in esame: inoltre, l’incrocio di numerosi parametri tecnici (come identificatori univoci o indirizzi IP) e la finalità di identificare – anche in maniera permanente nel tempo – le connessioni dell’utente (per esempio anche a fini di pubblicità comportamentale) rappresentano per i Garanti UE un trattamento che pienamente ricade nelle tutele previste dalla legge”123

.

Inoltre, i Garanti fanno cenno ad un precedente Parere124, nel quale è sancito un principio che sostengono possa adattarsi pure al device fingerprinting, ossia “è importante notare la distinzione tra il consenso richiesto per inserire o consultare informazioni nel dispositivo e il consenso necessario per legittimare il trattamento di diversi tipi di dati personali. Benché i due requisiti siano applicabili simultaneamente, ciascuno in virtù di una diversa base giuridica, sono entrambi soggetti alla condizione che si tratti di una manifestazione di volontà libera, specifica e informata (ai sensi della definizione all’articolo 2, lettera h), della direttiva sulla protezione dei dati). Di conseguenza, i due tipi di consenso si possono fondere nella pratica, durante l’installazione o prima che l’applicazione cominci a raccogliere dati personali dal dispositivo, purché l’utente sia reso consapevole in modo inequivocabile di quello a cui acconsente”.

Dunque, qualunque soggetto che adopera il device fingerprinting per accedere ed archiviare le informazioni tecniche del terminale dell’utente, dovrà richiedere ed acquisire il consenso dell’interessato.

123

Del Ninno A., Le regole dei Garanti privacy UE sulla raccolta a scopo di identificazione dei dati dei

dispositivi (“device fingerprinting”): il Parere 25 Novembre 2014, n. 9, in Diritto e Giustizia, 2014,

pag.4.

124 _{Article 29 Data Protection Working Party, Opinion 02/2013 on apps on smart devices, WP 202, 27}

79 I Garanti mediante tali regole mirano a fornire una serie di casi in cui si possono applicare le prescrizioni dettate nel Parere 4/2012 (seguito successivamente dal Provvedimento 8 maggio 2014) al device fingerprinting.

Un primo caso è quello di usare il device fingerprinting quale alternativa all’uso dei

cookie per eseguire le analisi statistiche circa le visite degli utenti alle pagine web, le

parole maggiormente ricercate, il numero di visitatori. Perciò, nel caso in cui i cookie del gestore del sito web sono strettamente connessi a finalità statistiche aggregate e anonime, è necessario acquisire il consenso e pertanto la medesima disposizione si applica nel caso in cui si usi come alternativa ai cookie la tecnica del device

fingerprinting, quindi permane l’obbligo di ottenere il consenso preventivo dell’utente.

Il secondo caso enunciato è quello relativo all’uso del device fingerprinting al fine di avere una traccia del comportamento e delle abitudini di acquisto online dell’utente, in modo che sia possibile indirizzare messaggi pubblicitari e promozionali personalizzati. Anche in tal caso, l’utilizzo della tecnica di device fingerprinting, necessita la previa acquisizione del consenso dell’utente.

Il terzo caso oggetto d’esame riguarda la gestione delle infrastrutture di rete; tale Parere stabilisce che nell’ipotesi in cui il trattamento ha soltanto lo scopo di consentire un normale funzionamento della rete, nonostante vi sia l’obbligo di acquisire il consenso dell’utente per accedere e archiviare le relative informazioni, vi è come nel caso dei

cookie tecnici l’esenzione da tale obbligo. Tuttavia, nel caso in cui le stesse

informazioni raccolte col fine di permettere la trasmissione di una comunicazione su una rete sono altresì utilizzate per mantenere la tracciatura, vige allora l’obbligo di acquisire il consenso dell’utente.

Il quarto caso proposto è relativo ai servizi di controllo e identificazione preventiva di un utente che usa un servizio online. Di solito i servizi online usano il device

fingerprinting al fine di monitorare e identificare l’utente che chiede quel determinato

servizio ed inoltre generalmente si richiede di immettere le credenziali di autenticazione. Pertanto, il device fingerprinting si può adoperare al fine di garantire che un account sia collegato a quel specifico terminale, comportando che lo stesso terminale diviene uno strumento di autenticazione. Per esempio, essendo abbonati ad un certo servizio, è possibile accedervi solamente da un numero limitato di dispositivi precedentemente registrati. Pertanto i Garanti sostengono che in casi di questo tipo

80 l’identificazione dell’utente tramite device fingerprinting non è strettamente necessaria al fine di erogare il servizio, in quanto possono essere adoperati ulteriori metodi meno invasivi, per esempio l’invio di una e-mail di conferma. Perciò, l’utilizzo del device

fingerprinting per perseguire questi scopi necessita dell’acquisizione del consenso

dell’utente.

Il quinto caso preso in considerazione è relativo alle finalità di potenziamento della sicurezza di un servizio richiesto in modo esplicito dall’utente. Così come previsto nel Parere 4/2012 in merito all’esenzione dall’obbligo di acquisire il consenso nel caso in cui i cookie siano adoperati al fine di accrescere la sicurezza di un servizio esplicitamente richiesto dall’utente, anche per la tecnica di device fingerprinting si applica tale esenzione. Ovviamente vige l’obbligo di acquisire il consenso nel caso in le informazioni raccolte tramite il device fingerprinting sono usati per fini secondari.

Infine, il sesto caso è pertinente alle finalità di adattamento dell’interfaccia utente al dispositivo. Infatti, avere accesso ad informazioni del dispositivo (per esempio le dimensioni dello schermo) può risultare utile per migliorare il layout degli elementi visualizzati. In detti casi, accedere alle informazioni del dispositivo tramite il device

fingerprinting è concesso senza dover acquisire previamente il consenso dell’utente.