Attraverso le recenti Linee guida 02/2023, l’EDPB ha fornito importanti chiarimenti in merito alle tecniche di tracciamento online. In attesa di una più ampia riforma della legislazione sulla c.d. “ePrivacy” (privacy delle comunicazioni elettroniche), le Linee guida supportano i titolari del trattamento nell’applicazione delle disposizioni della Direttiva 2002/58/CE. Quali novità emergono? Cosa sapere?
Lo scorso 15 novembre 2023 l’EDPB ha adottato le Linee guida sull’ambito tecnico di applicazione dell’articolo 5, paragrafo 3, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)” - c.d. ePrivacy Directive - che mirano a chiarire quali operazioni, in particolare quali tecniche di tracciamento nuove ed emergenti, sono coperte dalla normativa, e a fornire maggiore certezza giuridica ai titolari del trattamento dei dati e alle persone fisiche.
In occasione della pubblicazione delle nuove Linee guida, il presidente dell’EDPB Anu Talus ha dichiarato: "Non è un segreto che il tracciamento delle attività degli utenti online possa danneggiare gravemente la privacy delle persone. Le ambiguità relative all'ambito di applicazione dell'art. 5(3) della Direttiva ePrivacy e l'emergere di nuove tecniche, in aggiunta o in alternativa ai cookie tradizionali, hanno dato origine a nuovi rischi per la privacy”. Scopo delle Linee guida, ha quindi concluso il presidente, è quello di discutere soluzioni quali link e pixel di tracciamento, sistemi di elaborazione locale e identificatori unici “per garantire che gli obblighi di consenso previsti dall'articolo non vengano elusi”.
Cosa prevede l’articolo 5 della Direttiva 2002/58 CE?
Per comprendere appieno la questione, riprendiamo l’articolo 5 della Direttiva, intitolato “Riservatezza delle comunicazioni”. Il paragrafo 1 sancisce il diritto alla riservatezza delle comunicazioni elettroniche:
“Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico […">”.
Il paragrafo 3, oggetto delle Linee guida, fornisce ulteriori indicazioni con riferimento ai trattamenti connessi all’apparecchiatura terminale di un abbonato o di un utente. In particolare, la norma prevede che “l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente” è consentita solo sulla base del consenso informato dello stesso. L’archiviazione tecnica o l’accesso a tali informazioni senza consenso è ammissibile “(1) al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o (2) nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.
Articolo 5: tracciamento online
La formulazione dell’articolo fa riferimento, in particolare, agli strumenti di tracciamento online, quali i c.d. cookie. Sappiamo che i cookie sono stringhe di testo che i siti web visitati dall’utente (“prime parti”) ovvero siti o web server diversi (“terze parti”) posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo. I terminali cui ci si riferisce sono, generalmente: smartphone, tablet, computer, ma anche ogni altro dispositivo in grado di archiviare informazioni.
L’articolo 5, però, non si applica esclusivamente ai cookie, ma anche alle “tecnologie analoghe” (come è stato chiarito attraverso il parere 4/2012 del Gruppo di lavoro Articolo 29). Da qui emergono le difficoltà interpretative: da un lato non abbiamo un elenco completo delle operazioni tecniche coperte dall'articolo 5; dall’altro lato, nell’ultimo decennio il panorama tecnico si è evoluto, con l’uso crescente di identificatori incorporati nei sistemi operativi e la creazione di nuovi strumenti che consentono la memorizzazione di informazioni nei terminali.
Perché le Linee guida sono particolarmente utili?
Le Linee guida sono utili proprio per questo: vanno a sanare le ambiguità relative all’ambito di applicazione della Direttiva. Ambiguità sovente sfruttate da titolari del trattamento per aggirare gli obblighi previsti in relazione al consenso, mediante l’attuazione di soluzioni alternative per il tracciamento degli utenti di Internet.
Per prevenire il ripetersi di tali dinamiche, all’interno delle Linee guida l’EDPB dapprima analizza le nozioni chiave a cui la norma fa riferimento (“informazioni”, “apparecchiature terminali di un abbonato o di un utente”, “reti di comunicazione elettronica”, “accesso” e “informazioni memorizzate/archiviate”); quindi applica l’analisi alle tecnologie più comuni, recenti ed emergenti (“URL and pixel tracking”, “Local processing”, “Tracking based on IP only”, “Intermittent and mediated Internet of Things (IoT) reporting”, “Unique Identifier”).
L’analisi delle nozioni dell’EDPB
Come anticipato, le nozioni su cui si concentra l’EDPB sono cinque, corrispondenti a quattro criteri / elementi chiave che determinano l’applicabilità dell’articolo 5, paragrafo 3, della Direttiva:
- le operazioni effettuate riguardano “informazioni”;
- le operazioni effettuate riguardano una “apparecchiatura terminale di un abbonato o di un utente”;
- le operazioni svolte sono effettuate nell’ambito della fornitura di “servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione”;
- le operazioni effettuate costituiscono un “accesso” o una “memorizzazione/archiviazione”.
1. Nozione di ‘information’
La scelta del termine “informazioni”, molto più ampio della nozione di dati personali, è legata all'ambito di applicazione della Direttiva ePrivacy. Il considerando 24 alla norma, infatti, chiarisce che l’obiettivo della Direttiva è quello di proteggere la sfera privata degli utenti. L’EDPB riporta, ad esempio, lo scenario della memorizzazione di un virus informatico sul dispositivo terminale dell’utente. In questo caso nessun dato personale è direttamente coinvolto ma la sfera privata dell’utente è stata compromessa. La definizione di “informazione” quindi, non si limita alla proprietà di essere collegata a una persona fisica identificata o identificabile, in quanto comprende anche dati non personali.
2. Nozione di ‘Terminal Equipment of a Subscriber or User’
Questa nozione, chiarisce l’EDPB, si basa sulla definizione utilizzata nella direttiva 2008/63/CE, dove per “apparecchiatura terminale” si intende: “un’apparecchiatura collegata direttamente o indirettamente all’interfaccia di una rete pubblica di telecomunicazioni per inviare, elaborare o ricevere informazioni; in entrambi i casi (diretto o indiretto), il collegamento può essere effettuato tramite filo, fibra ottica o elettromagnetico”.
Il sopracitato considerando 24 si apre proprio riferendosi alle apparecchiature terminali, che, facendo parte della sfera privata degli utenti sono direttamente oggetto delle misure di tutela e salvaguardia previste dalla Direttiva.
3. Nozione di ‘electronic communications network’
La nozione di “rete di comunicazione elettronica” non è definita nella Direttiva ePrivacy ma si ritrova nella direttiva 2002/21/CE (la Direttiva quadro) e nella Direttiva 2018/1972 (Codice europeo delle comunicazioni elettroniche). In particolare, per “rete di comunicazione elettronica” si intendono “i sistemi di trasmissione, basati o meno su un’infrastruttura permanente o su una capacità amministrativa centralizzata, e, se del caso, le apparecchiature di commutazione o instradamento e altre risorse, compresi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, via ottica o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti fisse (a commutazione di circuito e a commutazione di pacchetto, compresa Internet) e mobili, i sistemi di cavi elettrici, nella misura in cui sono utilizzati per la trasmissione di segnali, le reti utilizzate per la radiodiffusione e la televisione e le reti televisive via cavo, indipendentemente dal tipo di informazione trasportata”.
Questa definizione è abbastanza ampia da coprire qualsiasi tipo di infrastruttura, in quanto: 1) è neutrale rispetto alle tecnologie di trasmissione; 2) non dipende dalla natura pubblica o privata dell'infrastruttura; 3) non dipende dal modo in cui la rete è installata o gestita.
4. Nozione di ‘gaining access’ e nozione di ‘Stored Information’ and ‘Storage
Per inquadrare correttamente la nozione di “accesso”, dobbiamo riprendere, ancora una volta, il considerando 24 alla Direttiva. Essendo le apparecchiature elettroniche parte della sfera privata dell’utente, l’accesso alle informazioni ivi memorizzate può costituire una grave intrusione nella privacy dell’individuo. Di conseguenza, secondo l’EDPB, la nozione di “accesso” deve essere interpretata in modo da salvaguardare il diritto fondamentale alla riservatezza dell’utente dalla violazione da parte di terzi.
Passando alla nozione di “memorizzazione/archiviazione di informazioni”, l’EDBP specifica che la stessa, da intendersi come “l’inserimento di informazioni su un supporto fisico di archiviazione elettronica che fa parte dell’apparecchiatura terminale dell’utente o dell’abbonato” deve considerarsi slegata dalla nozione di “accesso”. Per l’applicazione dell'articolo 5 non è necessario, infatti, che stoccaggio e accesso siano cumulativamente presenti. Tuttavia, di frequente, l’accesso riguarda proprio le informazioni memorizzate in precedenza (pensiamo, ad esempio, ai cookie).
In merito alla memorizzazione delle informazioni sui terminali, la Direttiva non stabilisce termini minimi e massimi di conservazione, né prevede un limite in termini di quantità di informazioni da memorizzare.
I casi d’uso in sintesi
Chiarito l’ambito di applicazione della norma e analizzate le principali nozioni da considerare, l’EDPB individua alcune categorie di identificatori. A seguire se ne riportano alcune:
- Tracciamento di URL e pixel
Un pixel di tracciamento è un collegamento ipertestuale a una risorsa, solitamente un file di immagine, incorporato in un contenuto come un sito web o un’e-mail. Nel caso di un’e-mail, ad esempio, il mittente può includere un pixel di tracciamento per rilevare quando il destinatario legge l’e-mail. I pixel di tracciamento sui siti web sono in grado di tracciare il comportamento degli utenti.
A condizione che tale pixel o URL tracciato sia stato distribuito su una rete di comunicazione pubblica, è chiaro che costituisce una memorizzazione sull’apparecchiatura terminale dell’utente della rete di comunicazione, con conseguente applicazione dell’articolo 5 par. 3;
- Tracciamento basato solo su IP
Alcuni fornitori stanno sviluppando soluzioni pubblicitarie che si basano sulla raccolta di un solo elemento, ovvero l'indirizzo IP, per tracciare la navigazione dell’utente, anche su più domini. Anche questa casistica può rientrare nell’articolo 5 par. 3;
- Segnalazione IoT intermittente e mediata
I dispositivi IoT (Internet of Things), spiega l’EDPB, attraverso sensori incorporati, producono informazioni in modo continuo nel tempo. Tali informazioni, in molti casi, sono rese disponibili a un server remoto, ma le modalità di raccolta variano.
I dispositivi IoT potrebbero essere istruiti dal produttore a trasmettere in streaming le informazioni raccolte, attraverso l’uso di WIFI o di una scheda SIM cellulare, pur memorizzandole prima a livello locale, ad esempio finché non è disponibile una connessione.
Altri dispositivi IoT, che non dispongono di una connessione diretta, potrebbero essere istruiti a trasmettere le informazioni a un altro dispositivo (generalmente uno smartphone) attraverso una connessione Bluetooth.
In entrambe le situazioni si applicherebbe l’articolo 5, par. 3, in quanto, attraverso l’istruzione del dispositivo IoT di inviare i dati memorizzati dinamicamente al server remoto, si verifica un “accesso”.
- Identificatore unico
Infine, uno strumento comunemente utilizzato dalle aziende pubblicitarie è l’”identificatore unico” o “persistente”. Tali identificatori derivano da dati personali (nome e cognome, e-mail, numero di telefono, etc.), sottoposti ad hash sul dispositivo dell’utente, raccolti per identificare in modo univoco una persona. Sui siti web, i dati personali persistenti sono ottenuti, ad esempio, nel contesto dell’autenticazione ad un’area riservata.
In questo caso, il fatto che le informazioni vengano immesse direttamente dall’utente non preclude l’applicazione dell'articolo 5, par. 3: l’entità che effettua la raccolta sta istruendo il browser (attraverso la distribuzione di codice lato client) a inviare tali informazioni. In quanto tale, si sta verificando una “accesso” alle informazioni contenute sul terminale.
Le Linee guida esaminate sono attualmente sottoposte alla fase di consultazione pubblica fino al 28 dicembre 2023. Una volta uscite dalla consultazione, costituiranno uno strumento essenziale per determinare quali attività si possano qualificare come “tracciamento delle attività degli utenti online”.
A distanza di più di due anni dall’ultima bozza pubblicata di Regolamento sulla ePrivacy, infatti, sembra che i progetti di una più ampia riforma della Direttiva 2002/58/EC, siano in stallo. In tale contesto, l’unica certezza è la necessità di implementare misure in grado di garantire la riservatezza degli utenti sul web.
Se desideri restare aggiornato rispetto alla ePrivacy, iscriviti alla newsletter dell’Associazione: clicca qui.
Se desideri confrontarti sul tema con altri DPO, privacy pro ed esperti, considera l’adesione all’Associazione: clicca qui.