IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti e del dott. Giuseppe Busia, segretario generale;
Vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio
del 24 ottobre 1995 relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati;
Vista la direttiva 2002/58/CE del Parlamento europeo e del
Consiglio del 12 luglio 2002 relativa al trattamento dei dati
personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche;
Vista la direttiva 2009/136/CE del Parlamento europeo e del
Consiglio del 25 novembre 2009 recante modifica della direttiva
2002/22/CE relativa al servizio universale e ai diritti degli utenti
in materia di reti e di servizi di comunicazione elettronica, della
direttiva 2002/58/CE e del regolamento (CE) n. 2006/2004 sulla
cooperazione tra le autorita' nazionali responsabili dell'esecuzione
della normativa a tutela dei consumatori;
Visto il Codice in materia di protezione dei dati personali (d.lgs.
30 giugno 2003, n. 196, di seguito Codice);
Visto il decreto legislativo 9 aprile 2003, n. 70, di "attuazione
della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei
servizi della societa' dell'informazione nel mercato interno, con
particolare riferimento al commercio elettronico";
Visto il decreto legislativo 28 maggio 2012, n. 69 "Modifiche al
decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia
di protezione dei dati personali in attuazione delle direttive
2009/136/CE, in materia di trattamento dei dati personali e tutela
della vita privata nel settore delle comunicazioni elettroniche, e
2009/140/CE in materia di reti e servizi di comunicazione elettronica
e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le
autorita' nazionali responsabili dell'esecuzione della normativa a
tutela dei consumatori";
Vista la pronuncia della Corte di Giustizia dell'Unione europea,
del 13 maggio 2014, nella causa C-131/12;
Visto il provvedimento del Garante n. 229, dell'8 maggio 2014,
relativo alla "Individuazione delle modalita' semplificate per
l'informativa e l'acquisizione del consenso per l'uso dei cookie",
pubblicato nella Gazzetta Ufficiale n. 126 del 3 giugno 2014 (in
www.garanteprivacy.it; doc. web n. 3118884);
Visto il provvedimento del Garante n. 353, del 10 luglio 2014, nei
confronti di Google Inc. sulla "conformita' al Codice dei trattamenti
di dati personali effettuati ai sensi della nuova privacy policy"
(doc. web n. 3283078);
Visti l'Opinion del WP 29 n. 04/2012 in materia di Cookie Consent
Exemption, adottata il 7 giugno 2012, ed il Working Document del
medesimo WP 29 n. 02/2013 providing guidance on obtaining consent for
cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai
link
http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2012/wp194_en.pdf e
http://ec.europa.eu/justice/data-protection/article29/documentation/o
pinionrecommendation/files/2013/wp208_en.pdf);
Vista l'Opinion del WP 29 n. 2/2006 sugli aspetti di tutela della
vita privata inerenti ai servizi di screening dei messaggi di posta
elettronica adottata il 21 febbraio 2006 e disponibile al link
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp118_i
t.pdf;
Vista l'Opinion del WP 29 n. 10/2004 sulla maggiore armonizzazione
della fornitura di informazioni adottata il 25 novembre 2004 e
disponibile al link
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_i
t.pdf#h2-11;
Vista l'Opinion del WP 29 n. 9/2014 sull'applicazione della
direttiva 2002/58/EC al device fingerptinting adottata il 25 novembre
2014 e disponibile al link
http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2014/wp224_en.pdf;
Vista la comunicazione del WP 29 del 23 settembre 2014 indirizzata
a Google Inc. contenente l'indicazione delle possibili misure da
implementare per rendere i trattamenti di dati effettuati dalla
societa' conformi al quadro normativo europeo in materia di
protezione dei dati personali, disponibile al link
http://ec.europa.eu/justice/data-protection/article-29/documentation/
other-document/files/2014/20140923_letter_on_google_privacy_policy_ap
pendix.pdf;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000
del 28 giugno 2000;
Relatore il dott. Antonello Soro;
Premesso:
1. All'interno dell'attuale societa' dell'informazione operano
diversi fornitori di servizi identificabili ai sensi dell'art. 2,
d.lgs. 9 aprile 2003, n. 70, o altrimenti definibili come quei
soggetti che comunque offrono servizi on line accessibili al pubblico
attraverso reti di comunicazione elettronica.
Occorre innanzitutto considerare che, a differenza di quanto accade
per quelli non stabiliti su territorio nazionale, con riguardo ai
quali soltanto le piu' recenti tendenze interpretative espresse dalla
Corte di Giustizia dell'Unione europea hanno statuito, al ricorrere
di determinate condizioni, la piena applicabilita' del quadro
normativo in materia di protezione dei dati personali sia europeo sia
nazionale, i fornitori dei servizi della societa' dell'informazione,
stabiliti su territorio nazionale, gia' risultano tenuti, proprio in
virtu' della diretta applicabilita' del principio di stabilimento di
cui agli artt. 4 della direttiva 95/46/CE, nonche' 5, comma 1, del
Codice, al pieno rispetto delle prescrizioni e degli obblighi
derivanti dalla menzionata disciplina.
Per questa ragione, considerate anche le esigenze di tutela della
competitivita' all'interno del mercato di riferimento, di uniformita'
di trattamento tra tutti i soggetti tenuti agli adempimenti di
specie, nonche' la loro complessita', soprattutto in un settore,
quale quello in questione, nel quale le soluzioni adottabili sono
funzione anche dei rapidissimi sviluppi delle diverse tecnologie
applicabili, l'Autorita' si e' determinata all'adozione delle
presenti "Linee guida in materia di trattamento dati personali per
profilazione on line" (di seguito Linee guida) con l'intento di
armonizzare, semplificandole, le diverse modalita' attraverso le
quali e' possibile garantire il rispetto dei principi applicabili in
materia di protezione dei dati personali nell'espletamento delle
attivita' che caratterizzano la fornitura di servizi on line.
L'Autorita' intende cioe' fornire, con le presenti Linee guida,
regole di condotta uniformi che attuino quei canoni e quei principi
di semplificazione i quali costituiscono uno degli obiettivi
dell'azione istituzionale del Garante.
2. La gamma dei servizi offerti, sul mercato ed in base alla
tecnologia attuale, e' certamente ampia.
Le diverse funzionalita' cui si fa riferimento possono infatti
variare dal motore di ricerca sul web alla posta elettronica, dalle
mappe on line alla commercializzazione di spazi pubblicitari, dai
social network alla gestione di pagamenti on line, dai negozi
virtuali per l'acquisto di applicazioni, musica, film, libri e
riviste, alla ricerca, visualizzazione e diffusione di filmati, da
servizi di immagazzinamento, condivisione e revisione di testi, a
software per la visualizzazione di immagini o per la gestione di
agende e calendari, da funzionalita' per il controllo e la gestione
dei profili dell'utente, all'immagazzinamento (servizi
cloud/storage), a strumenti di analisi statistica e di monitoraggio
dei visitatori di siti web e cosi' via.
Si tratta, per lo piu', di funzionalita' offerte a titolo gratuito
agli utenti finali, dal momento che il modello imprenditoriale delle
societa' coinvolte nella prestazione di tali servizi si fonda spesso
su modelli di business che valorizzano gli introiti ad esse derivanti
dalla pubblicita'.
In un numero considerevole di casi, i dati raccolti vengono
utilizzati per finalita' di profilazione, cioe' per l'analisi e
l'elaborazione di informazioni relative a utenti o clienti, al fine
di suddividere gli interessati in "profili", ovvero in gruppi
omogenei per comportamenti o caratteristiche sempre piu' specifici,
con l'obiettivo di pervenire all'identificazione inequivoca del
singolo utente (cd. single out) ovvero del terminale e, per il suo
tramite, anche del profilo, appunto, di uno o piu' utilizzatori di
quel dispositivo.
La menzionata categorizzazione e' generalmente strumentale sia alla
messa a disposizione di servizi sempre piu' mirati e conformati sulle
specifiche esigenze dell'utente, sia alla fornitura di pubblicita'
personalizzata, che pertanto abbia un grado di probabilita' di
successo (ma, al tempo stesso, anche un livello di pervasivita')
molto piu' elevati rispetto a messaggi promozionali generici, sia
all'analisi e monitoraggio dei comportamenti dei visitatori dei siti
web, sia allo sfruttamento commerciale dei profili ottenuti, i quali
possono avere un significativo valore di mercato in ragione della
loro capacita' di fornire indicazioni sulle propensioni al consumo di
beni e servizi.
Gli utenti delle funzionalita' prese in considerazione possono
essere distinti a seconda che dispongano di un account creato a
seguito di una procedura di registrazione per l'accesso "autenticato"
ai servizi (cd. utenti autenticati, ad esempio per il servizio di
posta elettronica), ovvero che utilizzino le medesime funzionalita'
in assenza di previa autenticazione (cd. utenti non autenticati).
Le indagini di carattere istruttorio condotte dall'Ufficio, nonche'
il quadro complessivo oggetto di approfondimento, hanno consentito di
identificare diversi ambiti, con riferimento ai quali pare opportuno
richiamare i soggetti coinvolti - sia quelli gia' presenti ed
operanti sul mercato, sia quelli che intendano intraprendere
un'attivita' di trattamento dati connessa alla fornitura di servizi
on line - ad un puntuale rispetto delle disposizioni di legge in
materia di trattamento dei dati, pur considerate le specificita' dei
contesti nei quali tali soggetti operano e, dunque, prendendo in
considerazione possibili, particolari modalita' idonee a garantire la
necessaria tutela degli utenti.
Tra essi:
A) modalita' e contenuto dell'informativa resa agli interessati,
anche in relazione all'esplicitazione delle diverse finalita' e alle
modalita' del trattamento dei loro dati personali (art. 13 del
Codice);
B) richiesta del consenso degli interessati per finalita' di
profilazione, nonche' rispetto del diritto di opposizione degli
interessati (artt. 7, 23, 24 e 122 del Codice).
La profilazione in questione puo' essere effettuata essenzialmente
mediante:
a) trattamento, in modalita' automatizzata, dei dati personali
degli utenti autenticati in relazione all'utilizzo del servizio per
l'inoltro e la ricezione di messaggi di posta elettronica;
b) incrocio dei dati personali raccolti in relazione alla
fornitura ed al relativo utilizzo di piu' funzionalita' diverse tra
quelle messe a disposizione dell'utente;
c) ad eccezione dell'utilizzo dei cookie (per i quali si fa
espresso richiamo, oltre alla disciplina di legge, alle prescrizioni
rese dall'Autorita' con il provvedimento n. 229, dell'8 maggio 2014,
relativo alla "Individuazione delle modalita' semplificate per
l'informativa e l'acquisizione del consenso per l'uso dei cookie",
nella Gazzetta Ufficiale n. 126 del 3 giugno 2014), utilizzo di altri
identificatori (credenziali di autenticazione, fingerprinting etc.),
necessari per ricondurre a soggetti determinati, identificati o
identificabili, specifiche azioni o schemi comportamentali ricorrenti
nell'uso delle funzionalita' offerte (pattern);
C) rispetto del principio di finalita' nella conservazione dei
dati personali degli utenti (art. 11, comma 1, lett. e), del Codice).
3. Quanto alla lettera A) del paragrafo che precede, relativa agli
obblighi di cui all'art. 13 del Codice, l'Autorita' intende porre
l'accento sulla circostanza che l'informativa che deve essere resa
agli utenti, e dunque la loro preventiva consapevolezza circa i
possibili impieghi delle informazioni loro riferibili, costituisce
l'ineludibile presupposto per consentire agli interessati medesimi di
esprimere o meno il proprio consenso ai trattamenti di dati che li
riguardano, a seguito della necessaria e personale valutazione
sull'impatto che tali trattamenti potranno avere sul proprio diritto
alla protezione dei dati personali.
E' opportuno pertanto ricordare a tutti i soggetti titolari che
costituisce un preciso obbligo ed una condizione necessaria di
conformita' alla disciplina di legge garantire che l'informativa da
rendere ai propri utenti sia facilmente accessibile, ad esempio con
un solo click dalla pagina del dominio cui l'utente accede, formulata
in modo chiaro, completo ed esaustivo.
Al pari e' necessario che, a fronte di eventuali aggiornamenti o
modifiche di tale documento, gli interessati siano posti nella
condizione di comprendere e valutare i cambiamenti apportati, anche
mediante raffronto tra le diverse versioni dell'informativa
eventualmente susseguitesi nel tempo.
Al riguardo, e con particolare riferimento ai requisiti di
accessibilita' ed efficacia dell'informativa, i soggetti tenuti
potranno conformarsi alle raccomandazioni espresse dal WP 29
nell'Opinion n. 10/2004 sulla maggiore armonizzazione della fornitura
di informazioni, adottata il 25 novembre 2004, e strutturarla su piu'
livelli, in quanto: "Le avvertenze multistrato possono contribuire a
migliorare la qualita' delle informazioni sulla tutela dei dati;
ciascuno strato privilegia le informazioni necessarie alla persona
per capire la propria posizione e assumere decisioni. In caso di
spazio/tempo di comunicazione limitato, i formati multistrato possono
migliorare la leggibilita' delle avvertenze".
E' bene tuttavia precisare che una tale architettura dovrebbe
essere comunque configurata evitando un'eccessiva frammentazione in
un numero troppo elevato di livelli, pena la dispersione delle
informazioni rese che ovviamente ne comprometterebbe la fruibilita'.
Nel caso, pertanto, in cui venga utilizzata una struttura
dell'informativa su piu' livelli, il Garante ritiene opportuno che le
informazioni siano distribuite in accordo con il seguente criterio:
un primo livello immediatamente accessibile (con un solo click
dalla pagina visitata) all'interno del quale ospitare tutte le
informazioni di carattere generale di maggiore importanza per gli
utenti, relative tra l'altro ai trattamenti di dati personali
effettuati, alle tipologie di dati personali oggetto di trattamento,
anche per categorie (ad es., se del caso, dati di localizzazione dei
terminali degli utenti e dei punti di accesso wi-fi, indirizzi IP,
MAC address, dati relativi a transazioni finanziarie e cosi' via),
alla qualifica di titolare ed ai relativi estremi identificativi,
nonche' l'indicazione degli eventuali responsabili e di un indirizzo
presso cui gli utenti possano esercitare in modo agevole i propri
diritti.
In questo primo livello di informativa e' inoltre necessario sia
riportata almeno l'indicazione della finalita' di profilazione
perseguita, a seconda dei casi, attraverso le diverse modalita'
utilizzate dal titolare.
In linea con l'indicazione della menzionata finalita' di
profilazione e delle modalita' attraverso cui il titolare la
persegue, il primo livello dovra' inoltre indicare dettagliatamente
le modalita' di acquisizione del consenso al trattamento, ove
necessario. Sul punto si tornera' nel prosieguo.
Il secondo livello, accessibile dal primo, puo' essere invece
destinato a contenere l'informativa relativa alle specifiche
funzionalita' ovvero diversi esempi per chiarire le modalita' del
trattamento delle informazioni personali. In questo secondo livello
potrebbero anche essere archiviate le eventuali precedenti versioni
dell'informativa, ancorche' non piu' in vigore, l'indicazione dei
rischi specifici che possono derivare per gli interessati
dall'utilizzo dei servizi (ad esempio in caso di scelta di password
non sufficientemente sicure poiche' di agevole identificazione etc.)
e tutte le altre indicazioni di dettaglio idonee a consentire il piu'
efficace esercizio dei diritti riconosciuti agli utenti.
Le regole che determinano l'efficacia e la correttezza
dell'informativa resa all'utente devono applicarsi in modo identico
per ciascun tipo di terminale (mobile, tablet, desktop computer,
dispositivi portatili e TV plug-in) e per ogni applicazione resa
disponibile agli utenti.
4. Quanto alla lettera B) del paragrafo 2, e' necessario
preliminarmente richiamare il principio di carattere generale di cui
all'art. 23 del Codice, ai sensi del quale "Il trattamento di dati
personali da parte di privati ... e' ammesso solo con il consenso
espresso dell'interessato"; inoltre tale consenso e' valido solo "se
e' espresso liberamente e specificamente in riferimento ad un
trattamento chiaramente individuato, se e' documentato per iscritto,
e se sono state rese all'interessato le informazioni di cui all'art.
13". Il successivo art. 24 disciplina, poi, una serie di presupposti
considerati equipollenti al consenso, al ricorrere dei quali il
trattamento puo' essere pertanto effettuato anche in assenza di esso.
Tra questi, a titolo esemplificativo, l'adempimento di obblighi di
legge, l'esecuzione di obblighi contrattuali, il perseguimento di un
legittimo interesse del titolare o di un terzo destinatario dei dati
etc.
La portata generale di questo principio trova poi specificazione
nella disposizione dell'art. 122 contenuto nella parte speciale del
Codice, ai sensi del quale "L'archiviazione delle informazioni
nell'apparecchio terminale di un contraente o di un utente o
l'accesso a informazioni gia' archiviate sono consentiti unicamente a
condizione che il contraente o l'utente abbia espresso il proprio
consenso dopo essere stato informato con le modalita' semplificate di
cui all'art. 13, comma 3. Cio' non vieta l'eventuale archiviazione
tecnica o l'accesso alle informazioni gia' archiviate se finalizzati
unicamente ad effettuare la trasmissione di una comunicazione su una
rete di comunicazione elettronica, o nella misura strettamente
necessaria al fornitore di un servizio della societa'
dell'informazione esplicitamente richiesto dal contraente o
dall'utente a erogare tale servizio".
4.1. Se si esamina la specifica attivita' di fornitura del servizio
di posta elettronica per l'inoltro e la ricezione di messaggi, di cui
al caso a), lettera B), del paragrafo 2) che precede, se ne trae che
i fornitori di tale funzionalita' effettuano attivita' di
trattamento, in modalita' automatizzata, dei dati personali degli
utenti autenticati che utilizzano il servizio; e cio' per il
conseguimento di diverse finalita'. Alcune di esse, anche di
carattere strettamente tecnico, sono direttamente riconducibili alla
fornitura del servizio in questione secondo specifiche modalita',
quali ad esempio l'impiego di filtri antispam, la rilevazione di
virus, la possibilita', garantita all'utente, di effettuare ricerche
testuali, utilizzare il controllo ortografico, far ricorso
all'inoltro selettivo di messaggi o di risposte automatiche in caso
di assenza, gestire le preferenze e la creazione di regole per
l'assegnazione del messaggio a cartelle determinate in base al suo
contenuto, fare uso di flag per marcare messaggi segnati da carattere
di urgenza, consentire la lettura vocale dei messaggi per soggetti
non vedenti, la conversione delle e-mail in entrata in messaggi di
testo per telefoni cellulari etc.
In questo caso, il trattamento dei dati degli interessati per le
richiamate finalita' - effettuato verosimilmente in modo
automatizzato e dunque senza alcun intervento umano -, come pure per
salvaguardare la sicurezza dei servizi offerti all'utente, e', ai
sensi delle direttive 95/46/CE e 2002/58/CE prima, e del Codice poi,
sottratto all'obbligo della preventiva acquisizione del consenso, dal
momento che rientra nell'ipotesi di deroga che attiene l'esecuzione
di obblighi derivanti dal contratto di fornitura del servizio di
posta elettronica.
Per il conseguimento, invece, di eventuali finalita' di
profilazione, ulteriori rispetto a quelle direttamente e strettamente
inerenti la messa a disposizione della specifica funzionalita' del
servizio di posta elettronica, ed in particolare per la
visualizzazione, da parte dell'utente autenticato, di messaggi di
testo tesi alla fornitura di pubblicita' comportamentale
personalizzata, e' invece necessario che i titolari provvedano ad
acquisire il preventivo ed informato consenso dei propri utenti.
A tale riguardo, si richiamano anche le conclusioni del WP 29 nel
parere n. 2/2006 sugli aspetti della vita privata inerenti ai servizi
di screening dei messaggi di posta elettronica, del 21 febbraio 2006
che, nell'indagare proprio il delicato bilanciamento tra le esigenze
di tutela della riservatezza delle comunicazioni e quelle della
fornitura di servizi connessi all'utilizzo della posta elettronica,
ed in linea con il dichiarato obiettivo di "promuovere tecnologie che
integrino i requisiti di protezione dei dati e tutela della privacy
nella realizzazione di infrastrutture e sistemi di informazione, ivi
comprese le apparecchiatura terminali", ha espressamente invitato gli
operatori del settore a "progettare e mettere a punto sistemi
rispettosi della vita privata, riducendo al minimo il trattamento di
dati personali e limitandolo a quanto strettamente necessario e
proporzionato alle finalita' del trattamento". Nella medesima Opinion
il Gruppo si e', peraltro, espresso anche in ordine alla possibilita'
di ricercare una linea di demarcazione tra le attivita' di
trattamento dei dati effettuate per finalita' di gestione del
servizio o di sicurezza delle reti, che non necessitano di essere
preventivamente autorizzate dall'interessato, e quelle tese invece al
conseguimento di finalita' ulteriori, stabilendo peraltro che quando
il trattamento non trova legittimazione nella necessita' del provider
di salvaguardare la sicurezza del servizio, in forza dell'art. 5,
paragrafo 1 della direttiva e-privacy, deve intendersi fatto divieto
ai provider di procedere in altre operazioni del trattamento "senza
il consenso degli utenti".
Cosi' delineato il quadro giuridico di riferimento se ne induce
allora che, per le attivita' di profilazione mediante trattamento, in
modalita' automatizzata, dei dati personali degli utenti autenticati
in relazione all'utilizzo del servizio per l'inoltro e la ricezione
di messaggi di posta elettronica, e' necessario, lo si ribadisce, che
il titolare ne acquisisca il preventivo ed informato consenso.
Con riferimento all'utilizzo della specifica funzionalita' di posta
elettronica, l'Autorita' si riserva comunque l'adozione di ogni
iniziativa ritenuta opportuna a tutela degli interessati.
4.2. Con riguardo a quanto indicato sub b), lettera B) del
paragrafo 2) che precede, occorre considerare la possibilita' che i
titolari procedano all'incrocio dei dati personali degli interessati
anche relativi all'utilizzo di piu' funzionalita' diverse tra quelle
messe a disposizione.
Anche tale condotta deve essere valutata alla luce del quadro
giuridico di riferimento e, in questa prospettiva, deve essere
chiarito che le operazioni di trattamento tese alla profilazione
dell'utente realizzate anche attraverso l'incrocio di dati raccolti
in relazione a funzionalita' diverse, non rientrando in alcuno dei
casi di esonero dall'obbligo di acquisizione del consenso di cui
all'art. 24 del Codice, possono essere effettuate soltanto previa
espressa manifestazione di volonta' dell'utente stesso.
Ne' e' sufficiente, a tal fine, la sola menzione di questa
finalita' tra quelle oggetto dell'informativa resa agli interessati
per esimere i titolari dall'obbligo di acquisirne un valido consenso.
4.3. Con riferimento, poi, alle attivita' poste in essere dai
titolari e richiamate sub c), lettera B), del paragrafo 2) che
precede (utilizzo di altri identificatori diversi dai cookie quali
credenziali di autenticazione, fingerprinting etc.), si osserva che
il ricorso a tali tecniche di identificazione si basa sul
trattamento, da parte dei titolari, di dati personali ovvero anche di
informazioni o parti di informazioni (che non sono o non sono ancora
dati personali ma che, poste in associazione tra loro ovvero con
altre informazioni, possono diventarlo), con l'obiettivo di pervenire
all'identificazione inequivoca del terminale (cd. single out) e, per
il suo tramite, anche del profilo di uno o piu' utilizzatori di quel
dispositivo. Tale tecnica, denominata fingerprinting, utilizzata per
il conseguimento delle medesime finalita' di profilazione, risulta
anch'essa disciplinata, al pari dell'impiego dei cookie, dall'art.
122 del Codice; con ogni riflesso in ordine all'obbligo di
acquisizione del consenso preventivo dell'interessato, tranne i casi
di esenzione previsti (nella specie, trasmissione di una
comunicazione su una rete di comunicazione elettronica o erogazione
del servizio su richiesta dell'utente).
La sola differenza apprezzabile, sulla quale l'Autorita' intende
comunque porre l'accento, tra l'impiego dei cookie e del
fingerprinting, consiste nel fatto che mentre nel primo caso l'utente
che non intenda essere profilato, oltre alle tutele di carattere
giuridico connesse all'esercizio del diritto di opposizione, ha anche
la possibilita' pragmatica di rimuovere direttamente i cookie, in
quanto archiviati all'interno del proprio dispositivo, con riguardo
al fingerprinting il solo strumento nella sua disponibilita' consiste
nella possibilita' di rivolgere una specifica richiesta al titolare,
confidando che essa venga accolta. Cio' in quanto il fingerprinting
non risiede nel terminale dell'utente, bensi' presso i sistemi del
provider, ai quali l'interessato non ha, ovviamente, alcun accesso
libero e diretto.
In definitiva, appare allora evidente che, affinche' i trattamenti
di dati effettuati per finalita' di profilazione, anche realizzata
con diverse modalita', soddisfino i requisiti degli artt. 23, 24 e
122 del Codice, e' necessario il consenso dell'interessato. Tale
consenso deve inoltre rispondere, ai fini della sua validita', ai
requisiti di legge e pertanto deve essere libero, acquisito in via
preventiva rispetto al trattamento medesimo, riferibile a trattamenti
che perseguono finalita' esplicite e determinate, informato e
documentato per iscritto.
E' dunque al pari necessario, in tal senso, che la sua espressione
costituisca una inequivoca manifestazione di volonta' da parte
dell'interessato.
5. I destinatari del presente provvedimento, nella loro autonomia
imprenditoriale e nella qualifica di titolari del trattamento cui
competono, tra l'altro, proprio "le decisioni in ordine alle ...
modalita' del trattamento di dati personali" (art. 4, comma 1, lett.
f) del Codice), possono scegliere in ordine ai criteri ed alle misure
da adottare per assicurare la necessaria conformita' alla legge dei
trattamenti di dati degli utenti volti alla loro profilazione,
comunque effettuata.
Considerata tuttavia la specificita' dei servizi offerti da tali
soggetti, il Garante propone comunque, anche in linea con le
richiamate finalita' di semplificazione, una soluzione di
acquisizione del consenso on line idonea a soddisfare i menzionati
requisiti previsti dalle disposizioni vigenti, segnatamente dagli
artt. 7, 23 e 122 del Codice, sul presupposto naturalmente che tale
consenso non sia stato gia' altrimenti acquisito sulla base di
modalita' piu' tradizionali (ad es. coupon, form on line, moduli
cartacei etc.).
In questa prospettiva, si ritiene che debba necessariamente
sussistere uno stadio ovvero un momento, nel corso dell'esperienza di
navigazione dell'utente e ovviamente preliminare rispetto alla
fruizione delle funzionalita', nel quale gli sia appunto consentito
scegliere tra piu', diverse alternative.
Considerata d'altro canto la distinzione, richiamata in premessa,
tra utenti autenticati e non autenticati, le forme di acquisizione di
tale consenso potranno, di riflesso, essere diversificate proprio in
relazione alla tipologia di utente considerata.
5.1. In tal senso, con specifico riguardo agli utenti non
autenticati, occorre indagare se in un determinato momento della
fruizione di una o piu' diverse funzionalita' esista uno spazio,
fisico ovvero virtuale, idoneo a consentire loro, da un lato, di
esprimere un eventuale consenso al trattamento come piu' sopra
identificato; dall'altro e allo stesso tempo al titolare di prendere
atto e tenere traccia delle scelte manifestate.
In caso di risposta negativa, sara' dunque necessario che il
titolare implementi un tale meccanismo, ad esempio facendo si' che
l'utente non autenticato, accedendo alla home page (o ad altra
pagina) del sito web, visualizzi immediatamente in primo piano
un'area di idonee dimensioni, ossia di dimensioni tali da costituire
una percettibile discontinuita' nella fruizione dei contenuti della
pagina web che sta visitando, contenente almeno le seguenti
indicazioni:
i) che il sito effettua attivita' di trattamento dei dati per
finalita' di profilazione mediante trattamento dei dati personali
degli utenti secondo le specifiche modalita' prescelte (ad es.
tramite incrocio dei dati tra funzionalita' diverse ovvero
utilizzando altri identificatori diversi dai cookie anche al fine di
inviare messaggi pubblicitari in linea con le preferenze manifestate
dall'utente stesso nell'ambito dell'utilizzo delle funzionalita' e
della navigazione in rete, nonche' allo scopo di effettuare analisi e
monitoraggio dei comportamenti dei visitatori di siti web o anche,
per gli utenti autenticati, in relazione all'utilizzo del servizio
per l'inoltro e la ricezione di messaggi di posta elettronica etc.);
ii) il link all'informativa, ove vengono fornite tutte le
indicazioni di cui al paragrafo 3);
iii) il link ad una ulteriore area dedicata nella quale sia
possibile negare il consenso alla profilazione ovvero, se del caso,
selezionare, in modo esaustivamente analitico, soltanto la (oppure
le) funzionalita' e le modalita' in relazione all'utilizzo delle
quali l'utente sceglie di essere profilato;
iv) l'indicazione che la prosecuzione della navigazione mediante
accesso o selezione di un elemento sottostante o comunque esterno
all'area in primo piano (ad esempio, di un form di ricerca, di una
mappa, di un'immagine o di un link) comporta la prestazione del
consenso alla profilazione.
La menzionata area deve essere parte integrante di un meccanismo
idoneo a consentire l'espressione di una azione positiva nella quale
si sostanzia la manifestazione del consenso dell'interessato. In
altre parole, essa deve determinare una discontinuita', seppur
minima, dell'esperienza di navigazione: il superamento della presenza
dell'area visualizzata deve cioe' essere possibile solo mediante un
intervento attivo dell'utente (appunto attraverso la selezione di un
elemento contenuto nella pagina sottostante l'area stessa).
Ed e' di tutta evidenza che, sia da un punto di vista giuridico,
sia da un punto di vista tecnico, non sara' possibile attribuire il
medesimo significato ne' all'azione, alternativa, che si sostanzia
nell'accesso all'ulteriore area nella quale modulare le scelte ne'
alla selezione, per il tramite dell'apposito link, della pagina che
contiene l'informativa.
E' opportuno sottolineare che ciascuna delle possibili azioni nella
disponibilita' dell'utente genera uno specifico evento informatico il
quale, per le descritte caratteristiche, e' dunque inequivocamente
riconoscibile dal fornitore del servizio che puo' pertanto
agevolmente tenerne traccia.
Nel caso l'utente abbia acconsentito all'utilizzo dei propri dati
per la finalita' esplicitata, tale operazione soddisfera' allora
pienamente il requisito dell'art. 23 del Codice il quale esige che
l'avvenuto consenso sia "documentato per iscritto".
La presenza di tale "documentazione" dell'avvenuta acquisizione del
consenso dell'interessato consentira' poi al fornitore di servizi di
non riproporre alcuna forma di discontinuita' nella navigazione alle
ulteriori visite dell'utente, che utilizzi il medesimo terminale, sul
ovvero sui domini nella propria titolarita', ferma restando
naturalmente la possibilita' per quest'ultimo di negare il consenso
e/o modificare, in ogni momento e in maniera agevole, le proprie
opzioni (cfr. art. 7, comma 4, del Codice). Per consentire, proprio,
l'effettivita' di tale diritto di autodeterminazione, e' allora
altresi' necessario che tutte le pagine web eventualmente
riconducibili al titolare rechino un collegamento all'area dedicata
all'interno della quale l'utente potra' esercitare compiutamente i
propri diritti.
Nel caso in cui, invece, l'utente si sia limitato a selezionare il
collegamento all'informativa, proprio per ricevere maggiori
informazioni al fine di compiere scelte ancor piu' consapevoli, il
meccanismo in discussione gli dovra' essere riproposto alla prima
azione successiva a tale presa visione, per consentirgli di esprimere
il proprio consenso o diniego al trattamento.
Qualora, infine, abbia scelto di accedere all'area dedicata
all'eventuale modulazione delle scelte, poiche' anche questa azione,
al pari della selezione del link all'informativa - lo si e'
anticipato - non equivale ancora a consenso, il fornitore dovra'
registrarla, integrando poi questa informazione con quelle,
ulteriori, relative alle specifiche scelte poste in essere
dall'utente, anche in modo dettagliatamente analitico.
Per realizzare il tracciamento delle azioni e delle scelte, anche
di dettaglio (espressione ovvero negazione, in tutto o in parte, del
consenso, come pure esercizio del diritto di opposizione alla
profilazione) rimesse all'interessato, il titolare potrebbe avvalersi
o di appositi cookie tecnici (in tal senso, si veda anche il
considerando 25 della direttiva 2002/58/CE), oppure di altri
identificatori diversi dai cookie.
Con l'ovvia, ulteriore avvertenza tuttavia che, qualora la
menzionata "documentazione" sia stata effettuata mediante utilizzo di
cookie, se l'utente scegliesse, come e' nella sua disponibilita', di
rimuovere tutti quelli installati sul proprio dispositivo, incluso il
menzionato marcatore "tecnico", poiche' questa operazione, non
coinvolgendo il titolare, non equivale all'esercizio del diritto di
opposizione, questi dovrebbe nuovamente, anche in questo caso, far
ricorso al meccanismo di acquisizione del consenso sopra
rappresentato.
Qualora, invece, ci si sia avvalsi di altri identificatori diversi
dai cookie, e dunque non archiviati all'interno del dispositivo nella
disponibilita' dell'utente, bensi' presso i server nella
disponibilita' del fornitore, al mutare delle preferenze espresse
dall'interessato, essenzialmente sempre revocabili, non si dovra'
fare ulteriormente ricorso al meccanismo di riproposizione della
discontinuita', bensi' procedere all'aggiornamento, proprio, delle
indicazioni gia' registrate.
5.2. Il meccanismo descritto intende realizzare uno spazio fisico
ovvero virtuale deputato alla raccolta ed alla gestione del consenso
degli utenti non autenticati.
Anche agli utenti autenticati dovranno, naturalmente, essere
garantite le stesse tutele; ed e' opportuno che, con l'obiettivo di
assicurare la medesima fruibilita' dell'esperienza di navigazione
(user experience), coloro che dispongono di un account ovvero siano
gia' registrati come utenti dei servizi di uno specifico fornitore
siano posti nella condizione di utilizzare i meccanismi di
espressione, negazione e revoca del consenso gia' descritti a
proposito degli utenti non autenticati. Le principali differenze tra
le menzionate tipologie di interessati consistono nella diretta
ovvero indiretta riconducibilita' delle scelte effettuate a soggetti
appartenenti all'una ovvero all'altra categoria, essendo l'utente
autenticato, per cosi' dire, gia' pienamente identificato in re ipsa,
nonche' nella possibilita' di fruire di tutti o solo di alcuni dei
servizi offerti, considerato che appunto alcuni di essi (ad esempio
la posta elettronica) sono necessariamente riservati in via esclusiva
agli utenti che dispongono di uno specifico account.
Occorre considerare inoltre che anche gli utenti autenticati - sia
chi si accinga a creare un nuovo account sia chi gia' ne disponga e
si appresti, nella prima sessione utile, a fruire delle funzionalita'
mediante autenticazione e relativa digitazione delle proprie
credenziali - devono necessariamente attraversare una fase della
navigazione nella quale, appunto preliminarmente rispetto alla
creazione dell'account oppure all'accesso autenticato alle
funzionalita', non sono ancora riconoscibili dal sistema. Pare allora
opportuno che, appunto in tale fase preliminare, ad essi, al pari dei
non autenticati, venga proposto il medesimo meccanismo di
acquisizione del consenso come sopra ipotizzato; con la differenza,
tuttavia, che se tali utenti accettano di proseguire nella
navigazione e dunque esprimono il proprio consenso superando la
discontinuita' artificialmente indotta per approdare,
alternativamente, o alla pagina di creazione dell'account (per i
nuovi autenticati) ovvero a quella nella quale viene visualizzata la
schermata in cui digitare le credenziali di autenticazione (per
quelli che gia' dispongono di un account), questa fase della
navigazione, che e' il momento tipico nel quale il sistema e' in
grado, in modo diretto ed inequivoco, di attribuire comportamenti e
scelte a soggetti determinati, non venga gravata di ulteriori
complessita'.
Anche in linea con il principio di finalita' disciplinato dal
Codice, si ritiene pertanto che nella delineata situazione
l'ulteriore passaggio oggetto di descrizione, configurandosi come
specificazione del precedente, possa essere gestito annettendo
prioritaria rilevanza alle scelte gia' consapevolmente manifestate
dall'utente non autenticato e dunque estendendo la validita' di
quelle stesse volonta' anche al momento, logicamente e
cronologicamente successivo, nel quale questi subisca un mutamento di
status, da non autenticato ad autenticato; alla duplice, rigorosa
condizione, tuttavia, che da un lato l'utente sia reso pienamente
edotto della modalita', come indicata, di conferma delle
manifestazioni di volonta' gia' espresse in qualita' di utente non
autenticato e del fatto che, essendo talune funzionalita' riferibili
esclusivamente ad un utente autenticato, le relative scelte sono
dunque nell'esclusiva disponibilita' di quest'ultimo. Dall'altro
lato, che gli siano sempre pienamente garantiti sia il diritto di
revoca (del consenso o del diniego espressi in precedenza) sia quello
di integrare le proprie preferenze anche con riguardo alle
funzionalita' fruibili solo da un utente autenticato (ad esempio, la
posta elettronica); e cio' mediante la predisposizione di apposito e
ben visibile link all'area dedicata in cui esercitare tali diritti,
anche in maniera esaustivamente analitica; includendo, pertanto, in
tale area anche l'elencazione delle funzionalita' che, essendo
appunto utilizzabili solo previa sottoscrizione dell'account, possono
costituire oggetto della scelta del solo utente autenticato.
Resta inteso che le scelte in ordine al trattamento dei propri dati
per finalita' di profilazione espresse da un utente non autenticato,
proprio perche' non riconducibili ad un account, avranno validita'
esclusivamente con riferimento allo specifico dispositivo utilizzato,
tanto nella prima quanto nelle successive sessioni, fino ad una
eventuale revoca; non altrettanto puo' dirsi, invece, per la
manifestazione di volonta' espressa dall'utente autenticato, la
quale, per l'essenziale, menzionata caratteristica di diretta
riconducibilita' delle scelte ad un soggetto individuato in re ipsa,
e' destinata ad estendere la propria validita' anche nell'ipotesi
nella quale l'utente autenticato fruisca delle funzionalita' e dei
servizi mediante utilizzo di piu', diversi dispositivi.
In altri termini, mentre la documentazione delle scelte espresse
dall'utente non autenticato e' efficace soltanto con riferimento al
dispositivo utilizzato, quella relativa alle scelte di chi dispone di
un account permane, anche se tale utente faccia uso di piu' di un
dispositivo.
Pur ribadendo la facolta' per i fornitori di adottare la procedura
tecnica che ritengono preferibile per assicurare la conformita' dei
trattamenti di dati personali effettuati alla disciplina applicabile,
l'Autorita' ritiene, anche tenute presenti le piu' volte richiamate
esigenze di semplificazione, che la soluzione illustrata sia
qualificabile come quella che presenta, a tecnologia vigente su
internet, il minor livello di discontinuita' nell'esperienza di
navigazione dell'utente.
Tutto cio' premesso, il Garante ai sensi dell'art. 154, comma 1,
lett. h), del Codice,
delibera
di adottare le presenti Linee guida affinche' tutti i fornitori dei
servizi della societa' dell'informazione di cui all'art. 2, decreto
legislativo 9 aprile 2003, n. 70, nonche' tutti i soggetti che
comunque offrono ai propri utenti servizi on line accessibili al
pubblico attraverso reti di comunicazione elettronica, con specifico
riguardo ai trattamenti di dati personali relativi all'utilizzo delle
funzionalita' offerte, tengano conto delle indicazioni e delle
semplificazioni illustrate; segnatamente, per quanto concerne:
l'informativa agli interessati di cui all'art. 13 del Codice
(secondo quanto indicato al paragrafo 3 delle presenti Linee guida);
il consenso preventivo degli utenti, sia autenticati che non
autenticati, in relazione al trattamento, per finalita' di
profilazione on line, delle informazioni che li riguardano, anche
derivanti, a seconda dei casi, dal trattamento, in modalita'
automatizzata, dei dati personali degli utenti autenticati in
relazione all'utilizzo del servizio per l'inoltro e la ricezione di
messaggi di posta elettronica, tramite incrocio dei dati personali
raccolti in relazione alla fornitura ed al relativo utilizzo di piu'
funzionalita' tra quelle messe a disposizione, nonche' per l'utilizzo
di altri identificativi diversi dai cookie, ai sensi degli artt. 23 e
122 del Codice (secondo i criteri e le modalita' indicate al
paragrafo 4);
il rispetto del diritto di opposizione di cui all'art. 7 del
Codice;
l'adozione di una policy di data retention conforme al principio
di finalita' di cui all'art. 11 del Codice.
Si dispone la trasmissione di copia delle presenti Linee guida al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la loro pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 19 marzo 2015
Il presidente e relatore: Soro
Il segretario generale: Busia