Chiunque abbia navigato su internet negli ultimi anni non può non sapere che i comportamenti degli utenti online possono costituire la base di partenza per effettuare campagne di marketing mirato. I banner che immancabilmente si aprono quando accediamo ad un sito web, ad esempio, avvisano l’utente dell’utilizzo di cookie di profilazione. Le Privacy e Cookie Policies che spesso siamo chiamati a leggere prima di compiere certe azioni – come un acquisto online o l’iscrizione a una newsletter – invece descrivono con dovizia di particolari, o almeno dovrebbero, i trattamenti a fini di marketing che vengono svolti sui rispettivi siti. La frequenza con cui siamo esposti a queste informative, però, corrisponde spesso a quella con cui le “cestiniamo” accettando tutto, per non perderci nella lettura di documenti spesso lunghi e dal lessico complicato e poco accessibile.

Il problema è arrivato anche alle orecchie del Garante Privacy, il quale ha recentemente lanciato “Un hackathon per rendere le privacy policy qualcosa che tutti possano leggere (e capire)”, “Obiettivo? Accorciarle del 50%” per un vero consenso informato [Doc. Web 9495622].

Per contribuire ad aiutare i lettori ad orientarsi e tutelarsi nel mondo del marketing online, dunque, abbiamo deciso di scrivere quest’articolo, nel quale faremo degli accenni alle ultime novità in materia.

Come funzionano i cookies di profilazione

Con il termine cookie si indica un piccolo file di testo al cui interno sono memorizzate brevi informazioni relative alla navigazione in un determinato sito internet, che viene installato nel dispositivo del visitatore che vi accede. Nei successivi accessi, i cookie saranno reinoltrati al sito che li ha generati (cookie di prima parte ) o a quelli forniti da soggetti terzi in grado di riconoscerli (cookie di terze parti ) e sarà in questo modo possibile perseguire diverse finalità: non solo di marketing, ma anche di natura tecnica o per migliorare l’esperienza di navigazione, ad esempio memorizzando le preferenze per la lingua della pagina visitata o le credenziali di autenticazione.

Venendo ai cookie di profilazione e di terze parti – la cui installazione è subordinata al consenso preventivo dell’utente – ne esistono diverse tipologie, fra cui, in particolare:

cookie di profilazione : che creano un profilo dell’utente che potrà essere utilizzato, ad esempio, per far visualizzare contenuti pubblicitari in linea con le preferenze manifestate durante la navigazione nel sito;

: che creano un profilo dell’utente che potrà essere utilizzato, ad esempio, per far visualizzare contenuti pubblicitari in linea con le preferenze manifestate durante la navigazione nel sito; cookie di retargeting : che vengono creati al fine di inviare contenuti pubblicitari relativi ai prodotti verso i quali l’utente ha già manifestato interesse;

: che vengono creati al fine di inviare contenuti pubblicitari relativi ai prodotti verso i quali l’utente ha già manifestato interesse; cookie social : sono relativi ai plug-in dei social network che consentono di condividere, seguire o manifestare apprezzamento per i contenuti del sito – diverso dal social network – che si sta visitando.

Queste funzioni consentono ai social di identificare i propri utenti e raccogliere informazioni anche mentre navigano su altri siti.

I tempi di conservazione

Si tratta, dunque, di un bel po’ di informazioni. Ma per quanto tempo possono essere conservate? Questo lo decide il Titolare del trattamento dei dati personali, ossia colui che ne determina i mezzi e le finalità (solitamente, il titolare del sito).

Photo credit - depositphotos.com

Tale risposta è stata recentemente data dal Garante, con provvedimento del 15 ottobre 2020 [doc. web n. 9486485] emesso nei confronti di Carrefour. I fatti esaminati erano i seguenti: il reclamante lamentava la ricezione nel 2018 di un sms promozionale da parte dell’Azienda, senza che venisse dato un idoneo riscontro alla sua successiva richiesta di avere informazioni. Emergeva, dunque, che il messaggio era stato inviato sulla base di un consenso acquisito con la sottoscrizione di un contratto nel 2007 e, dunque, addirittura più di 10 anni prima del messaggio pubblicitario. Quale il verdetto del Garante, dunque?

Secondo l’Autorità “il solo decorso del tempo non è un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica. Il consenso al trattamento dei dati personali per finalità promozionali , […] deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento.

Ciò premesso, il lamentato invio del messaggio promozionale deve ritenersi privo di un’idonea base giuridica, non solo in quanto inviato a distanza di dieci anni, ma piuttosto in quanto mancante delle menzionate condizioni di validità”.

In altre parole, la legge non impone un limite preciso per la conservazione dei dati personali raccolti per finalità di marketing, ma sarà compito del Titolare del trattamento decidere per quanto tenerli, nel rispetto del principio sancito all’art. 5, par. 1, lett. e) del GDPR: i dati dovranno, dunque, essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Perché è una decisione innovativa

La vicenda appena rappresentata costituisce una significativa novità, destinata ad avere rilevanti conseguenze pratiche sull’attività di molti operatori economici.

Fino a questo momento, infatti, si era soliti fare riferimento al provvedimento del Garante del 24 febbraio 2005 sulle Fidelity card, che poneva due anni quale periodo massimo di conservazione dei dati raccolti per scopi di marketing e un anno se per scopi di profilazione. L’unico modo per superare tali limiti era attivare una specifica procedura di verifica dell’esistenza di particolari condizioni da parte del Garante, prevista dall’ articolo 17 del Codice della Privacy, ora oltretutto abrogato.

La decisione, peraltro, arriva nello stesso periodo del provvedimento dell’Autorità per il trattamento dei dati personali francese, il CNIL, sempre nei confronti di Carrefour (Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE), con cui sono state fornite importanti indicazioni con riguardo all’uso dei cookie analitici di terze parti.

Tali indicazioni, peraltro, sembrano state essere recepite anche al di qua delle Alpi con le “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” – Allegato 1 – del 26 novembre 2020, [doc. web n. 9498472], che saranno brevemente illustrate nel prossimo paragrafo.

Cookie analitici: serve il consenso?

Cosa si dice, dunque, con riguardo all’uso di Cookie analitici di terze parti?

Fino ad ora, era possibile utilizzare tale tipologia di cookie senza chiedere il previo consenso, purché i dati personali da essi ricavati fossero utilizzati in forma aggregata e anonima (Provvedimento generale del Garante dell’8 maggio 2014 [doc. web. n. 3118884]).

Con le nuove Linee Guida si conferma questa possibilità, purché il trattamento avvenga però nel rispetto di alcuni ulteriori requisiti. Così, ad esempio, per evitare che, mediante l’utilizzo di cookie analytics, si arrivi alla diretta individuazione dell’interessato, si dovranno valutare le misure che comportino la potenziale riferibilità del cookie a più dispositivi. Come chiarisce il Garante, dunque, tale obiettivo potrà essere perseguito con gli indirizzi IP versione 4 (IPv4) mascherando la quarta componente numerica. Ciò introdurrà un’incertezza nell’attribuzione del cookie ad uno specifico interessato pari a 1/256 (circa 0,4%). Analoghe procedure dovrebbero essere adottate, inoltre, con riguardo agli indirizzi IP versione 6 (IPv6), che hanno una differente struttura e uno spazio di indirizzamento enormemente superiore (essendo costituiti da numeri binari rappresentati con 128 bit).

In ogni caso, poi, tali dati – pur già opportunamente minimizzati – non dovranno comunque essere combinati con altre elaborazioni che aumentino le possibilità di identificazione dell’utente.

La principale criticità introdotta dalle nuove Linee Guida riguarda, però, questa precisazione : deve essere garantito che “ le terze parti si astengono dal combinare tali cookie analytics con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli a terzi ”. Qualora non sia così, anche tale tipologia di cookie potrà essere attivata soltanto se l’utente acconsente espressamente (come per i cookies di profilazione di cui abbiamo parlato sopra).

Conclusioni

I cookie sono degli strumenti di tracciamento con cui ognuno di noi si è trovato a fare i conti e ai quali negli ultimi anni viene dato sempre più rilievo, proprio per la loro diffusione e per il loro impatto sulle esperienze di navigazione online.

Si pensi che, proprio sulla base di un uso dei cookie che non rispettava le prescrizioni di legge, il CNIL, l’Autorità Garante francese, ha recentemente sanzionato non solo Carrefour France, come detto sopra, ma anche Google LLC e Google Ireland, da un lato, e Amazon Europe Core, dall’altro, con sanzioni del valore, rispettivamente, di 100 e di 35 milioni di euro.

Anche se in quest’articolo sono stati affrontati solo alcuni dei possibili profili giuridici ad essi connessi (ve ne sarebbero molti altri, come, ad esempio, la fattispecie recentemente disciplinata del cookie wall), anche l’utente meno esperto potrà meglio orientarsi e fare delle scelte consapevoli alla luce delle considerazioni svolte e, soprattutto, facendo attenzione alle informative rinvenibili online.