Profilazione online e pubblicità comportamentale: cosa cambia? Dalle nuove linee guida sui Cookies ai FLoC

Articolo header

Il behavioural advertising sta attraversando un periodo di profonda trasformazione, segnato da importanti novità – tanto sotto il profilo regolamentare, quanto sotto il profilo operativo – tali da mettere in discussione il ruolo centrale dei cookies: da alcuni lustri strumento principe della pubblicità comportamentale.


Articolo a cura del Gruppo Privato del Comitato Scientifico di ASSO DPO

I cookie, come è noto, sono stringhe di testo che i siti web (“prime parti”) visitati dall’utente ovvero piattaforme diverse (“terze parti”, tra cui le reti di operatori pubblicitari online) posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo. Tali strumenti consentono – tra l’altro – il tracciamento del comportamento dell’utente in rete e, quindi, abilitano il “behavioural advertising” nonché la misurazione dell’efficacia del messaggio pubblicitario.

Per un verso, a livello legislativo, è in fase di finalizzazione in ambito comunitario il nuovo Regolamento ePrivacy, che introdurrà norme più stringenti in materia di cookies.

In particolare, una delle questioni più controverse della bozza attualmente in discussione è rappresentata dal possibile divieto dei cosiddetti “cookie walls”, ovvero quelle impostazioni che pongono l’utente di fronte all’alternativa di accettare tutti i cookie utilizzati da un determinato sito Internet o abbandonare il sito stesso, con un approccio “take it or leave it”. Un divieto inizialmente non previsto dalla proposta della Commissione e dal draft del Consiglio, ma introdotto solo in un secondo momento dal Parlamento Europeo.

Per altro verso, sotto il profilo più strettamente operativo – nel corso del 2021 – Google ha reso noti i propri progetti in discontinuità con il passato che comportano, nella sostanza, l’abbandono dei cookies di terze parti, seguendo un percorso già tracciato da Apple, che – nelle più recenti versioni di Safari – ha adottato, come impostazione predefinita, il blocco di tutti i cookie di terza parte.

In particolare, Google – lo scorso mese di marzo – ha annunciato l’adozione di un nuovo sistema chiamato Federated Learning of Cohorts, o FLoC, che, in estrema sintesi, sostituisce i cookie di profilazione individuale con un sistema che ordina gli utenti in gruppi, o coorti, in base a interessi comuni. Il browser Chrome terrà, quindi, traccia dei siti visitati, del contenuto e di altre informazioni. Ma quei dati verranno conservati sui dispositivi degli utenti. Solo le informazioni sui gruppi più grandi – e quindi non sui singoli utenti - saranno poi condivise ai fini pubblicitari.

Tale cambiamento di paradigma – al di là delle implicazioni ancora tutte da valutare sotto il profilo della protezione dei dati – rappresenta una vera e propria rivoluzione destinata a coinvolgere tutti gli operatori del settore ed a trasformare radicalmente le dinamiche del mercato. A seguito dell’annuncio di Google, non si è fatto, peraltro, attendere l’intervento del Commissario Europeo per la Concorrenza, Margrethe Vestager, la quale ha sottolineato la rilevanza del progetto della società di Mountain View rispetto all’indagine antitrust attualmente in corso ed avente ad oggetto le pratiche commerciali di Google nell’ambito della pubblicità online.

Probabilmente anche in conseguenza dei riflettori accesi dalla Commissione Europea su tale innovativo progetto, Google ha deciso di rinviarne l’adozione, inizialmente prevista già per il 2022, alla seconda metà del 2023.

Al di là di quelli che saranno i tempi e i modi, sembra certo che i cookie siano destinati ad essere soppiantati da modalità sempre più sofisticate di tracciamento e di profilazione degli utenti.

In questo scenario estremamente fluido, il 10 giugno 2021, il Garante per la protezione dei dati personali (il “Garante”) ha emanato una nuova serie di “Linee guida sull'uso dei cookie e degli altri strumenti di tracciamento” (le “Linee Guida”), così come prima di lui avevano fatto altre autorità europee, tra cui la  CNIL (Commission Nationale de l'Informatique et des Libertés), con lo scopo di fornire un quadro aggiornato sulla disciplina applicabile in Italia all'uso di tali tecnologie e, in particolare, di chiarire le modalità più idonee ad informare adeguatamente gli utenti e per l'acquisizione del relativo consenso, secondo quanto previsto dal Regolamento (UE) 2016/679 (il “GDPR”).

Il Garante ha chiarito – sotto il profilo normativo - che i cookie e le tecnologie di tracciamento sono attualmente regolati dalle disposizioni del Codice in materia di Protezione dei Dati Personali (D.Lgs. 30 giugno 2003, n. 196), in attuazione della Direttiva ePrivacy (Direttiva 2002/58/CE), che – in materia di protezione dei dati personali nel settore delle comunicazioni elettroniche - devono essere qualificate come legge speciale e, pertanto, prevalgono sulle disposizioni di natura più generale introdotte dal GDPR che, peraltro, contiene una specifica disposizione (i.e art. 95) relativa al rapporto del GDPR con la Direttiva e-Privacy.

Al riguardo, le Linee Guida precisano che le basi giuridiche applicabili per l'uso dei cookie sono definite secondo la Direttiva ePrivacy, che, per tale trattamento, non prevede alternative al consenso dell'interessato, fatta eccezione per i cosiddetti cookie tecnici, ovvero

  1. i cookie utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o 
  2. nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio.

Di conseguenza, il Garante ha esplicitamente chiarito che, in nessun caso, il legittimo interesse può essere considerato una valida base giuridica per giustificare l'uso di cookie non tecnici o di altri strumenti di tracciamento online.

L’Autorità osserva, infatti, che mentre la necessità di acquisire il consenso dell'utente, quale base giuridica per l'utilizzo dei cookie non tecnici, è prescritta dalla Direttiva ePrivacy, i requisiti per la raccolta di un valido consenso sono dettagliati nel GDPR, che prevede che il consenso debba essere prestato da un atto chiaro e affermativo che stabilisca un'indicazione libera, specifica, informata ed inequivocabile. 

A tal proposito, le Linee Guida evidenziano che molti meccanismi comunemente utilizzati in rete per la raccolta del consenso all'uso dei cookie e di altri strumenti di tracciamento non soddisfano, in realtà, tali requisiti. In particolare, il Garante ribadisce che le caselle preselezionate e il mero scroll down non costituiscono modalità valide per raccogliere il consenso dell'utente all'uso dei cookie non tecnici, aggiungendo - con specifico riguardo ai c.d. “cookie wall”, di cui si è accennato in precedenza - che non è consentito, in linea di principio, il meccanismo “take it or leave it”, per cui gli utenti che non prestano il proprio consenso alla ricezione dei cookie non possono accedere al sito web.

Nella sostanza, il Garante anticipa, quindi, quello che – con l’entrata in vigore dell’ePrivacy Regulation – con grande probabilità dovrebbe divenire un divieto normativo previsto a livello comunitario. 

Secondo il Garante, infatti, tale meccanismo non consente all'utente di esprimere un libero consenso, essendo sostanzialmente costretto ad accettare l'uso dei cookie per proseguire la navigazione, “salva l’ipotesi - da verificare caso per caso - nella quale il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento”.

Ciò premesso, in merito alle specifiche modalità per la raccolta di un valido consenso, le Linee Guida sottolineano il ruolo chiave del banner relativo ai cookie e spiegano che tale banner deve essere immediatamente mostrato all'utente non appena questi visita per la prima volta il sito web, e le sue dimensioni dovrebbero essere sufficienti – anche a seconda del dispositivo utilizzato – ad interrompere percettibilmente l'esperienza di navigazione, evitando il rischio che un utente attivi comandi e, quindi, compia scelte non informate e/o indesiderate.

Inoltre, all'utente dovrebbe essere offerta una modalità di facile utilizzo per esprimere o negare il proprio consenso: a tal fine, il Garante suggerisce l'implementazione di un tasto X posizionato in alto a destra del banner, che dovrebbe consentire all'utente di “chiudere il banner mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate”. Di conseguenza, il banner dovrebbe includere un avviso che ove il banner venga chiuso cliccando sulla X, la navigazione - per impostazione predefinita - potrà continuare senza cookie (diversi dai cookie tecnici) o altri strumenti di tracciamento.

Le Linee Guida precisano, inoltre, che dopo che l'utente ha negato il proprio consenso, non è consentito presentare all'utente il banner dei cookie al momento di un successivo accesso al sito stesso, nel tentativo di ottenere il relativo consenso (già negato), poiché anche tale pratica potrebbe condizionare la libertà dell'utente. Pertanto, il Garante precisa che detto utente non può essere sollecitato con ulteriori richieste di consenso.

Le sole eccezioni possono essere rappresentate:

  •  dalla sopravvenuta modifica sostanziale di uno o più elementi del trattamento;
  •  dall’impossibilità per il gestore del sito di essere a conoscenza che un cookie è già stato memorizzato sul dispositivo (ad esempio, quando l'utente ha rimosso tutti i cookie dalla cronologia del browser); o 
  • nel caso in cui siano trascorsi almeno sei mesi dall'ultima presentazione del banner.

Pertanto, gli utenti – una volta negato il consenso all’utilizzo dei cookie non tecnici - non devono essere ulteriormente sollecitati ad esprimere il proprio consenso, salvo che ricorra una delle suddette eccezioni.

Il Garante aggiunge, inoltre, che agli utenti dovrebbe in ogni caso essere concessa la possibilità di modificare le proprie scelte in qualsiasi momento, in modo agevole. A tal fine, le Linee Guida suggeriscono l'implementazione di un'area ad hoc - accessibile tramite un link nel footer del sito - con una dicitura del tipo “rivedi le tue scelte sui cookie” o una formulazione analoga, per consentire agli utenti di gestire le proprie preferenze sui cookie in modo facile ed efficace.

Le Linee guida forniscono importanti chiarimenti anche sui cookie analitici, con specifico riguardo alla loro qualificazione e ai diversi requisiti applicabili ai cookie analitici di prima parte e di terze parti. A tal proposito, il Garante ricorda che i cookie analitici possono rientrare nella categoria dei cookie tecnici e, pertanto, possono essere utilizzati senza il preventivo consenso dell'interessato, solo a determinate condizioni.

In particolare, è indispensabile precludere la possibilità che si pervenga, mediante il loro utilizzo, alla diretta individuazione dell’interessato, il che equivale ad impedire l’assimilazione dei cookie analitici ai cookie tecnici, ove i primi consentano una identificazione dirette ed univoca dell’utente.

Secondo il Garante, per trattare i cookie analitici di terza parte alla stregua di cookie tecnici, devono essere soddisfatti i seguenti requisiti:

  • i cookie analitici sono utilizzati solo per produrre statistiche aggregate relative ad un singolo sito web o ad una singola applicazione mobile;
  • la quarta parte dell'indirizzo IP deve essere mascherata; e
  • le terze parti si devono astenere dal combinare i cookie analitici ridotti al minimo con altri dati elaborati e dal condividerli con altri soggetti.

Pertanto, nel caso in cui i cookie analitici di terza parte non soddisfino tali requisiti, il loro utilizzo sarà subordinato al previo espresso consenso dell'utente. Al contrario, i cookie analitici di prima parte utilizzati dagli editori per raccogliere dati statistici aggregati sul numero di utenti che visitano i loro siti, in linea di principio, non devono rispettare le prescrizioni sopra indicate e possono essere considerati dati tecnici.

Per quanto riguarda, infine, il cosiddetto “arricchimento dei dati”, inteso come l'abbinamento di informazioni personali degli utenti (inclusi i cookie) relative all'utilizzo di diverse funzionalità e servizi e raccolte attraverso più dispositivi terminali, al fine di creare profili arricchiti del utenti autenticati, le Linee Guida sottolineano la necessità di un quadro rafforzato di garanzie, volto a favorire il controllo sulle informazioni personali oggetto di trattamento e, in ultima analisi, l'autodeterminazione degli interessati.

In conclusione, questo nuovo insieme di Linee Guida non introduce nuovi obblighi, ma – considerati i tempi imprevedibili ancora necessari per l'adozione del Regolamento ePrivacy – chiarisce come debbano essere applicate in Italia le norme già esistenti sui cookie e sulle tecnologie di tracciamento online al fine di ottemperare al GDPR e alle disposizioni nazionali del Codice in materia di protezione dei dati personali, che hanno recepito la Direttiva ePrivacy.

Queste nuove Linee Guida, peraltro, non sostituiscono, ma integrano, le linee guida già emanate dal Garante nel 2014 sui cookie (Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie - 8 maggio 2014) e nel 2015 sulla profilazione online (Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015). Tale circostanza è particolarmente rilevante per i professionisti della privacy, in quanto non sarà sufficiente dare corretta applicazione alle nuove prescrizioni del Garante, ma sarà necessario altresì considerare – per tutti i profili non specificamente disciplinati nelle nuove Linee Guida – le precedenti linee guida, per quanto antecedenti all’entrata in vigore del GDPR.

Per finire, va anche segnalato che il quadro delineato dalle Linee Guida potrebbe, peraltro, ancora mutare a seguito della recentissima istituzione da parte dello European Data Protection Board di una task force volta a coordinare la risposta delle autorità di controllo europee ai numerosi reclami circa la compliance dei banner relativi ai cookie presentati dall’organizzazione None Of Your Business (NOYB) in diverse giurisdizioni.

Grande attenzione andrà pertanto prestata alle prossime evoluzioni.

Altre news