I Mercoledì della privacy: l'opportunità dell'utilizzo dei cookies per uno studio di amministrazione

Il Considerando 30 del Regolamento Ue 16/679 espressamente afferma che «Le persone fisiche possono essere associate ad identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle».

I dati raccolti nei cookie
Le informazioni codificate nei cookie possono includere sia dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, sia dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito. I cookie possono svolgere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l'agevolazione nella fruizione dei contenuti online, ma sono anche in grado di tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.

Tramite loro, quindi, è possibile veicolare la pubblicità comportamentale e misurare poi l'efficacia del messaggio pubblicitario, ovvero conformare tipologia e modalità dei servizi resi ai comportamenti dell'utente oggetto di precedente osservazione.Un grande strumento di marketing che potrebbe risultare fondamentale per uno studio di amministrazione che intenda avvalersene per la crescita del proprio business.

Le tipologie di cookies
Occorre però distinguere tra due macrocategorie:
- i cookie tecnici, utilizzati al fine di «effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio» (articolo 122, comma 1 del Codice);
- i cookie di profilazione, «utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all'interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l'altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all'erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete» ( vedasi Garante Privacy, Linee Guida Cookie).

Quando è necessaria l’acquisizione del consenso
Per l'utilizzo di cookie tecnici lo studio di amministrazione titolare del sito e del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa, anche eventualmente inserita all'interno di quella di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall'obbligo di acquisizione del consenso dell'interessato. I cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche potranno, invece, essere utilizzati esclusivamente previa acquisizione del consenso (articolo 122 del Codice Privacy - Dlgs 196/2003).

Questa norma è stata introdotta nell'ordinamento nazionale a seguito del recepimento della direttiva ePrivacy, precedente rispetto alla data della piena operatività degli effetti del Regolamento, è tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell'ambito delle comunicazioni elettroniche.Con la successiva entrata in vigore del regolamento Ue 16/679, molte attività di trattamento devono essere ricondotte all'ambito di applicazione tanto della direttiva quanto del Regolamento. In caso di potenziale sovrapposizione, occorre far riferimento al rapporto di genus a species sussistente tra le due discipline e di quanto disposto dall'articolo 1, paragrafo 2, della Direttiva ePrivacy, secondo cui ogni qualvolta la direttiva renda più specifiche le prescrizioni del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento.

La normativa Ue di riferimento
Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti.In relazione al consenso va ricordato che, secondo il considerando 32 del Regolamento, questo deve essere un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Da ciò si deduce che non dovrebbe configurare consenso il silenzio, l'inattività o la preselezione di caselle.

L'Edpb ha anche chiarito che il semplice scrolling non è mai idoneo, di per sé, ad esprimere compiutamente la manifestazione di volontà dell'interessato (parere numero 5/2020, del 4 maggio 2020).Per di più, l'articolo 25 Gdpr dispone, al secondo paragrafo, che «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità».

Gli obblighi in capo all’amministratore
Da ciò la necessità di carattere generale poiché applicabile a qualsiasi trattamento di dati, secondo cui l'amministratore titolare del sito dovrà garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari in relazione a ciascuna specifica finalità del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non eccedano il minimo necessario per il conseguimento delle finalità perseguite, in modo che l'utilizzo di informazioni per l'accesso ad un sito sia inizialmente limitato al minimo indispensabile per consentirne la fruizione e che sia rimesso interamente all'interessato un effettivo, concreto potere di scelta in ordine alla possibilità di consentire o meno un utilizzo eventualmente più ampio dei suoi dati.

Il rispetto di tali regole impone, al fine di evitare l'incorrere in sanzioni, che, per impostazione predefinita, al momento del primo accesso dell'utente al sito web dello studio di amministrazione, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all'interno del suo dispositivo, evitando che si possa utilizzare alcuna altra tecnica attiva o passiva di tracciamento.Tuttavia, considerato che occorre assicurare anche la libertà di scelta di chi invece intenda accettare di essere profilato, l'amministratore potrebbe instituire un banner, che deve essere parte integrante di un meccanismo che, pur non impedendo il mantenimento delle impostazioni di default, permetta anche l'eventuale espressione di una azione positiva nella quale deve sostanziarsi la manifestazione del consenso dell'interessato, tale da consentire lo svolgimento delle attività di profilazione sull'utente stesso.

Conclusioni
Il sito dello studio deve necessariamente contenere:
- il consenso preventivo degli utenti in relazione al trattamento, per finalità di tracciamento on line, delle informazioni che li riguardano, anche derivanti dall'uso di cookie ed altri strumenti di tracciamento, ai sensi degli articoli 122 del Codice e 4, punto 11) e 7 del Regolamento;
- il rispetto del diritto di revoca del consenso nei termini di cui all'articolo 7.3 del Regolamento;
- il rispetto degli obblighi di privacy by design e by default di cui all'articolo 25 del Regolamento anche per mezzo dell'adozione di misure di minimizzazione dei dati preliminarmente alla comunicazione ed al loro impiego ad opera delle cosiddette terze parti;
- l'informativa da rendere agli interessati ai sensi degli articoli 12 e 13 del Regolamento, con particolare riguardo all'indicazione dei criteri di codifica utilizzati da ciascun titolare per la classificazione dei cookie e degli altri strumenti di tracciamento che consenta di distinguere quelli tecnici dagli analytics o da quelli di profilazione.