Profilazione online: orientarsi fra le ultime novità

Chiunque abbia navigato su internet negli ultimi anni non può non sapere che i comportamenti degli utenti online possono costituire la base di partenza per effettuare campagne di marketing mirato. I banner che immancabilmente si aprono quando accediamo ad un sito web, ad esempio, avvisano l’utente dell’utilizzo di cookie di profilazione. Le Privacy e Cookie Policies che spesso siamo chiamati a leggere prima di compiere certe azioni – come un acquisto online o l’iscrizione a una newsletter – invece descrivono con dovizia di particolari, o almeno dovrebbero, i trattamenti a fini di marketing che vengono svolti sui rispettivi siti. La frequenza con cui siamo esposti a queste informative, però, corrisponde spesso a quella con cui le “cestiniamo” accettando tutto, per non perderci nella lettura di documenti spesso lunghi e dal lessico complicato e poco accessibile.

Il problema è arrivato anche alle orecchie del Garante Privacy, il quale ha recentemente lanciato “Un hackathon per rendere le privacy policy qualcosa che tutti possano leggere (e capire)”, “Obiettivo? Accorciarle del 50%” per un vero consenso informato [Doc. Web 9495622].

Per contribuire ad aiutare i lettori ad orientarsi e tutelarsi nel mondo del marketing online, dunque, abbiamo deciso di scrivere quest’articolo, nel quale faremo degli accenni alle ultime novità in materia.

Come funzionano i cookies di profilazione

Con il termine cookie si indica un piccolo file di testo al cui interno sono memorizzate brevi informazioni relative alla navigazione in un determinato sito internet, che viene installato nel dispositivo del visitatore che vi accede. Nei successivi accessi, i cookie saranno reinoltrati al sito che li ha generati (cookie di prima parte) o a quelli forniti da soggetti terzi in grado di riconoscerli (cookie di terze parti) e sarà in questo modo possibile perseguire diverse finalità: non solo di marketing, ma anche di natura tecnica o per migliorare l’esperienza di navigazione, ad esempio memorizzando le preferenze per la lingua della pagina visitata o le credenziali di autenticazione.

Venendo ai cookie di profilazione e di terze parti – la cui installazione è subordinata al consenso preventivo dell’utente – ne esistono diverse tipologie, fra cui, in particolare:

  • cookie di profilazione: che creano un profilo dell’utente che potrà essere utilizzato, ad esempio, per far visualizzare contenuti pubblicitari in linea con le preferenze manifestate durante la navigazione nel sito;
  • cookie di retargeting: che vengono creati al fine di inviare contenuti pubblicitari relativi ai prodotti verso i quali l’utente ha già manifestato interesse;
  • cookie social: sono relativi ai plug-in dei social network che consentono di condividere, seguire o manifestare apprezzamento per i contenuti del sito – diverso dal social network – che si sta visitando.

Queste funzioni consentono ai social di identificare i propri utenti e raccogliere informazioni anche mentre navigano su altri siti.

I tempi di conservazione

Si tratta, dunque, di un bel po’ di informazioni. Ma per quanto tempo possono essere conservate? Questo lo decide il Titolare del trattamento dei dati personali, ossia colui che ne determina i mezzi e le finalità (solitamente, il titolare del sito).

Tale risposta è stata recentemente data dal Garante, con provvedimento del 15 ottobre 2020 [doc. web n. 9486485] emesso nei confronti di Carrefour. I fatti esaminati erano i seguenti: il reclamante lamentava la ricezione nel 2018 di un sms promozionale da parte dell’Azienda, senza che venisse dato un idoneo riscontro alla sua successiva richiesta di avere informazioni. Emergeva, dunque, che il messaggio era stato inviato sulla base di un consenso acquisito con la sottoscrizione di un contratto nel 2007 e, dunque, addirittura più di 10 anni prima del messaggio pubblicitario. Quale il verdetto del Garante, dunque?

Secondo l’Autorità “il solo decorso del tempo non è un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica. Il consenso al trattamento dei dati personali per finalità promozionali, […] deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento.

Ciò premesso, il lamentato invio del messaggio promozionale deve ritenersi privo di un’idonea base giuridica, non solo in quanto inviato a distanza di dieci anni, ma piuttosto in quanto mancante delle menzionate condizioni di validità”.

In altre parole, la legge non impone un limite preciso per la conservazione dei dati personali raccolti per finalità di marketing, ma sarà compito del Titolare del trattamento decidere per quanto tenerli, nel rispetto del principio sancito all’art. 5, par. 1, lett. e) del GDPR: i dati dovranno, dunque, essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Perché è una decisione innovativa

La vicenda appena rappresentata costituisce una significativa novità, destinata ad avere rilevanti conseguenze pratiche sull’attività di molti operatori economici.

Fino a questo momento, infatti, si era soliti fare riferimento al provvedimento del Garante del 24 febbraio 2005 sulle Fidelity card, che poneva due anni quale periodo massimo di conservazione dei dati raccolti per scopi di marketing e un anno se per scopi di profilazione. L’unico modo per superare tali limiti era attivare una specifica procedura di verifica dell’esistenza di particolari condizioni da parte del Garante, prevista dall’ articolo 17 del Codice della Privacy, ora oltretutto abrogato.

La decisione, peraltro, arriva nello stesso periodo del provvedimento dell’Autorità per il trattamento dei dati personali francese, il CNIL, sempre nei confronti di Carrefour (Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE), con cui sono state fornite importanti indicazioni con riguardo all’uso dei cookie analitici di terze parti.

Tali indicazioni, peraltro, sembrano state essere recepite anche al di qua delle Alpi con le “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” – Allegato 1 – del 26 novembre 2020, [doc. web n. 9498472], che saranno brevemente illustrate nel prossimo paragrafo.

Cookie analitici: serve il consenso?

Cosa si dice, dunque, con riguardo all’uso di Cookie analitici di terze parti?

Fino ad ora, era possibile utilizzare tale tipologia di cookie senza chiedere il previo consenso, purché i dati personali da essi ricavati fossero utilizzati in forma aggregata e anonima (Provvedimento generale del Garante dell’8 maggio 2014 [doc. web. n. 3118884]).

Con le nuove Linee Guida si conferma questa possibilità, purché il trattamento avvenga però nel rispetto di alcuni ulteriori requisiti. Così, ad esempio, per evitare che, mediante l’utilizzo di cookie analytics, si arrivi alla diretta individuazione dell’interessato, si dovranno valutare le misure che comportino la potenziale riferibilità del cookie a più dispositivi. Come chiarisce il Garante, dunque, tale obiettivo potrà essere perseguito con gli indirizzi IP versione 4 (IPv4) mascherando la quarta componente numerica. Ciò introdurrà un’incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%). Analoghe procedure dovrebbero essere adottate, inoltre, con riguardo agli indirizzi IP versione 6 (IPv6), che hanno una differente struttura e uno spazio di indirizzamento enormemente superiore (essendo costituiti da numeri binari rappresentati con 128 bit).

In ogni caso, poi, tali dati – pur già opportunamente minimizzati – non dovranno comunque essere combinati con altre elaborazioni che aumentino le possibilità di identificazione dell’utente.

La principale criticità introdotta dalle nuove Linee Guida riguarda, però, questa precisazione: deve essere garantito che “le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi”. Qualora non sia così, anche tale tipologia di cookie potrà essere attivata soltanto se l’utente acconsente espressamente (come per i cookies di profilazione di cui abbiamo parlato sopra).

Conclusioni

I cookie sono degli strumenti di tracciamento con cui ognuno di noi si è trovato a fare i conti e ai quali negli ultimi anni viene dato sempre più rilievo, proprio per la loro diffusione e per il loro impatto sulle esperienze di navigazione online.

Si pensi che, proprio sulla base di un uso dei cookie che non rispettava le prescrizioni di legge, il CNIL, l’Autorità Garante francese, ha recentemente sanzionato non solo Carrefour France, come detto sopra, ma anche Google LLC e Google Ireland, da un lato, e Amazon Europe Core, dall’altro, con sanzioni del valore, rispettivamente, di 100 e di 35 milioni di euro.

Anche se in quest’articolo sono stati affrontati solo alcuni dei possibili profili giuridici ad essi connessi (ve ne sarebbero molti altri, come, ad esempio, la fattispecie recentemente disciplinata del cookie wall), anche l’utente meno esperto potrà meglio orientarsi e fare delle scelte consapevoli alla luce delle considerazioni svolte e, soprattutto, facendo attenzione alle informative rinvenibili online.

Redazione Diritto dell’Informatica

FocusPrivacy e sicurezza Informatica
dicembre 11, 2020
cookie e consensocookie profilazioneGarante Privacy cookieLinee Guida sui cookiesprivacysanzioni CNIL
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it