webimpossibile

Identificatori occulti e disciplina sulla privacy

webimpossibile.net | 4 aprile 2005 | di Ileana Pisani | come citare questo articolo | condividi

Cookies e privacy

Ai fini che qui interessano possiamo definire un cookie come un file di testo generato dal browser dell’utente in risposta ad una richiesta pervenutagli da un server web. Memorizzato sul computer dell'utente, il cookie contiene informazioni che identificano univocamente il computer e quindi, anche se non necessariamente, l’utente che lo utilizza. Ad ogni successiva connessione, il server web richiederà al browser il cookie precedentemente memorizzato, consentendo di delineare un profilo del visitatore per abitudini e preferenze. Se utilizzati per monitorare e tracciare un profilo dei comportamenti d’uso del visitatore del sito a sua insaputa, i cookies si scontrano con l’esigenza di tutelarne la riservatezza ponendo gravi problemi di compatibilità con la disciplina della privacy. Se finalizzati ad agevolare la navigazione da parte dell’utente ^diversamente abile^, essi si scontrano con l’esigenza di tutelarne la riservatezza, essendo i dati inerenti la salute del visitatore dati sensibili, con ciò che ne consegue ai fini del loro trattamento [nota 1].

Evoluzione della normativa in materia

alla luce della normativa vigente la privacy non va individuata esclusivamente  nel “diritto alla riservatezza”, come libertà negativa  di non subire intromissioni nella sfera privata - "right of a person to be free from intrusion into matters of a personal nature" secondo la Britannica -, ma deve intendersi comprensiva anche del “diritto alla protezione dei dati personali”, come libertà positiva consistente nel controllo delle proprie informazioni e dei propri dati: da qui l'applicazione ai cookies.

L'attuale normativa italiana in materia affonda le sue radici nelle direttive europee in materia. E precisamente in quel gruppo di atti costituito da:

• Direttive 95/46/CE e 97/66/CE;

• Documento di lavoro WP 12;

• Raccomandazione 1/99;

• Documento WP 37;

• Raccomandazione 2/2001;

• Fifth Annual Report WP54;

• Documento di lavoro WP 56;

• Direttiva 2002/58/CE.

Ne diamo conto sinteticamente di seguito, evidenziando le problematiche connesse ai così detti "identificatori occulti" (cookies).

• Direttive 95/46/CE e 97/66/CE

  La tutela della riservatezza e della vita privata quali diritti fondamentali della persona, con particolare riguardo al trattamento dei dati personali attraverso l’ausilio di strumenti elettronici, hanno come punto di arrivo, e di inizio nello stesso tempo, la direttiva 95/46/CE [nota 2] del Parlamento Europeo e del Consiglio: punto di arrivo perché è l’approdo di un’evoluzione iniziata con la Convenzione n. 108 del Consiglio d’Europa del 1981 e con gli orientamenti dell’OCSE del 1980, passando per gli orientamenti dell’ONU del 1990, di inizio perché dà il via all’evoluzione legislativa nazionale per l’istituzione dei Garanti della privacy (in italia avvenuta con la legge n. 675 del 1996) e per la tutela della riservatezza nei singoli Stati membri dell’Unione Europea. E’ a questa direttiva che si devono principi come:

  • il diritto del singolo di opporsi al trattamento dei dati che lo riguardano,

  • la lealtà e la liceità del trattamento,

  • la pertinenza del trattamento alle finalità perseguite,

  • il rispetto dei diritti dell’uomo e delle libertà fondamentali.

  Sulla stessa linea si pone la direttiva 97/66/CE [nota 3] che prevede quale suo obiettivo l’armonizzazione di quelle disposizioni degli Stati membri dell’Unione Europea, idonee a garantire un livello equivalente di tutela dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali nel settore delle telecomunicazioni.

• ^Documento di lavoro WP 12^ del 1998

  In esecuzione dell’art. 29 della Direttiva 95/46/CE è istituito il ^Gruppo per la tutela della persona con riguardo al trattamento dei dati personali^ [di seguito denominato ^Gruppo^] che si propone con il ^Documento di lavoro WP 12^ [nota 4], di esaminare in modo organico tutti i principali rischi collegati al trasferimento di dati personali verso Paesi terzi. Nella ^Seconda Relazione Annuale^ del 30 novembre 1998, il ^Gruppo^ colloca i trasferimenti che comportano la raccolta di dati per mezzo di “nuove tecnologie secondo modalità occulte o clandestine" (per es. i cosiddetti cookies di internet) tra le categorie di trasferimento di dati che rappresentano una minaccia particolare per la vita privata e che pertanto meritano una maggiore attenzione.

• ^Raccomandazione 1/99^

  Nella Raccomandazione 1/99 [nota 5] il ^Gruppo^ affronta poi il problema dei cookies e del ^trattamento invisibile^ dei dati con uno sguardo tecnico ai prodotti internet di software ed hardware. La Raccomandazione evidenzia come questi prodotti dovrebbero mettere a disposizione degli utenti:

  • le informazioni sui dati che intendono raccogliere, memorizzare o trasmettere;

  • lo scopo per cui vengono trattati i dati;

  • le modalità di accesso ai dati che li riguardano.

  Con specifico riferimento ai cookies, la ^Raccomandazione^ specifica che le informazioni fornite all’utente sul ^marcatore^ dovrebbero:

  • evidenziare il momento in cui viene ricevuto, memorizzato e spedito dal software internet,

  • indicare con un linguaggio comprensibile quali informazioni si intendono memorizzare nel cookie, a quale fine, ed il periodo di validità del cookie stesso.

  L’utente dovrebbe essere quindi posto nella condizione di poter:

  • scegliere se accettare o respingere la trasmissione o la memorizzazione di un cookie,

  • decidere quali elementi dell’informazione far conservare o eliminare dal cookie, a seconda anche del periodo di validità dello stesso,

  • cancellare facilmente e selettivamente dal proprio pc un cookie.

• ^Documento di lavoro WP 37^ del 2000

  Il ^Documento di lavoro WP 37^ [nota 6] tratta il problema dei cookies non solo sotto il profilo tecnico e giuridico, ma anche sotto il profilo della valutazione dei rischi e dei mezzi per prevenirli. Dopo aver spiegato con chiarezza cosa sia un cookie e a che cosa serva, ribadisce ancora una volta l’esigenza e la necessità di assicurare agli utenti di internet il diritto alla tutela dei dati. In particolare il ^Documento^ si preoccupa di:

  • analizzare i rischi che derivano alla vita privata dal trattamento invisibile dei dati e dalla conseguente mancata conoscenza da parte dell’utente delle finalità per cui il dato è raccolto,

  • semplificare le misure intese ad evitare il trattamento occulto, facendo specifico riferimento a programmi informatici adatti allo scopo.

  Il ^Documento^ conclude poi il suo percorso di analisi evidenziando la necessità di fornire agli utenti che navigano o effettuano ricerche in rete la possibilità di accesso anonimo a internet.

• ^Raccomandazione 2/2001^

  Con la ^Raccomandazione 2/2001^ [nota 7] il ^Gruppo di lavoro^ si pone il principale obiettivo di presentare a livello europeo l’insieme “minimo” di obblighi ai quali i responsabili del trattamento, che si occupano di siti internet in cui vengono richieste informazioni particolareggiate o la specificazione del campo di azione, possano facilmente conformarsi. Nel caso dei cookies la ^Raccomandazione^ evidenzia che se un ^marcatore^ viene collocato dal server del responsabile del trattamento, è necessario che la relativa informazione venga comunicata prima di spedirlo all’hard disk dell’utente, in aggiunta alle informazioni sul nome del sito di trasmissione e sul periodo di validità del cookie.

• ^Fifth Annual Report WP 54^ del 2002

  La ^Quinta Relazione Annuale WP 54^ [nota 8] si pone sulla scia dei ^Documenti^ e delle ^Raccomandazioni^ che l’hanno preceduta. Dopo aver richiamato le Direttive 95/46/CE e 97/66/CE, il ^Gruppo di lavoro^ riafferma la necessità che l’utente sia consapevole del trattamento dei propri dati, anche quando lo stesso avviene tramite l’utilizzo di identificatori occulti come i cookies.

• ^Documento di lavoro WP 56^ del 2002

  Il ^Documento WP 56^ [nota 9] conferma quanto esposto nella ^Raccomandazione 1/99^.

• Direttiva 2002/58/CE

  Il vero punto di arrivo europeo di tutti i provvedimenti elencati è la Direttiva 2002/58/CE [nota 10], i cui precetti ed obiettivi - che, in virtù dell’orientamento elaborato dalla Corte di Giustizia, hanno efficacia diretta negli Stati membri dell’Unione a prescindere dai provvedimenti di attuazione - sono stati recepiti nel ^nostro^ nuovo Codice della privacy approvato con d.lgs. n. 196/2003. La ^Direttiva^ al considerando 25 sembra riformulare in via riassuntiva, ma compiuta, quanto già sviscerato dalle Raccomandazioni, Pareri e Documenti di lavoro che l’hanno preceduta, ponendosi in linea con le finalità enunciate nella Direttiva 95/46/CE. Essa:

  • conferma la legittimità dei ^marcatori^ connessa alla loro utilità per l’analisi dell’efficacia della progettazione di siti web e della pubblicità, nonché per la verifica dell’identità di utenti che effettuano transazioni “on-line”;

  • sancisce che se tali dispositivi sono destinati a scopi legittimi, il loro uso dovrebbe essere consentito purché agli utenti siano fornite informazioni chiare e precise sugli scopi dei ^marcatori^;

  • conferma chiaramente il diritto di accettare o di opporsi al ^marcatore^, la cui facoltà può essere fornita al visitatore del sito “una sola volta per l’uso dei vari dispositivi da istallare sull’attrezzatura terminale dell’utente durante la stessa connessione e applicarsi anche a tutti gli usi successivi che possono essere fatti di tali dispositivi durante successive connessioni”.

• Codice in materia di protezione dei dati personali (Decreto legislativo n. 196 del 2003)

  La Direttiva 2002/58/CE ha condotto l’ordinamento italiano all’adozione del D. lgs. n. 196/03 che all’art. 122 [nota 11], riproducendo nella sostanza l’art. 5 della Direttiva 58, vieta l’uso di una rete di comunicazione elettronica per accedere ad informazioni archiviate nell’apparecchio terminale di un utente, per archiviare o monitorare le operazioni dello stesso, a meno che ciò sia finalizzato a scopi legittimi, per un tempo necessario alla fornitura del servizio richiesto e sempre previo consenso informato dell’utente.

Un primo ordine di conclusioni: obblighi e facoltà dei gestori

Questo breve excursus evolutivo sul problema degli ^identificatori occulti^ consente di formulare, sia pure con i limiti della sinteticità, due ordini di conclusioni l’una inerente appunto agli obblighi e alle facoltà dei gestori dei siti, l’altra di carattere generale. In ordine agli obblighi e alle facoltà dei gestori di siti internet, possiamo dire che questi, quando fanno uso di cookies - fermi restando gli adempimenti generali previsti dal Codice della privacy per chi tratta dati personali:

• devono

  • utilizzarli unicamente per scopi legittimi, rendendo edotto l’interessato dell’utilizzo degli stessi;

  • fornire un’informativa che permetta all’utente di conoscere anche le tipologie di informazioni che vengono archiviate nel suo terminale in modo da rendere possibile una decisione mediata in merito alla loro accettazione;

  • dare l’informativa e richiedere-ricevere il consenso all’utilizzo del ^marcatore^;

  • comunicare al visitatore il diritto di rifiutare il cookie;

  • utilizzare modalità di informativa il più possibile chiare e comprensibili;

• possono

  • subordinare l'accesso ai siti web all’accettazione dei cookies da parte dell’utente, ma solo quando ciò sia giustificato dalla oggettiva essenzialità dei cookies per la funzionalità del sito e lo stato dell'arte della tecnologia non sia ancora in grado di consentire l’adozione di soluzioni alternative. Quando sono le particolarità tecniche a renderlo necessario, pertanto, non viene quindi considerato elemento di discriminazione l’esclusione dell’accesso al sito in caso di mancata accettazione dei cookies: ciò si ritiene non infici la libertà del consenso.

Un secondo ordine di conclusioni: diritto alla libertà personale ed esigenze connesse alle disabilità

In linea generale, infine, possiamo dire che il condizionamento della libertà del consenso in qualche modo dovuto, e quindi subordinato, alla rigidità tecnologica è ugualmente visto con diffidenza dalle autorità preposte alla tutela della riservatezza. Pare ovvio infatti il timore che si diffondano situazioni di soggezione della libertà della persona agli strumenti elettronici: né si deve dimenticare che nel nostro ordinamento nazionale la tutela della riservatezza della vita privata trova la sua ragion d’essere nel diritto fondamentale costituzionalmente garantito della libertà personale (art. 13 Cost.); pertanto ogni volta che sussiste il rischio di interferire nella sfera privata di un individuo diventa necessario adottare tutte le misure idonee a garantire il rispetto del diritto (di rango costituzionale) di questo, anche a scapito delle esigenze connesse ad eventuali disabilità.

Sito del Garante per la protezione dei dati personali

Presidenza del Consiglio dei Ministri: Codice in materia della protezione dei dati personali [Decreto legislativo 30 giugno 2003, n. 196]

Portale dell'Unione Europea

Legge Stanca: i 22 requisiti tecnici

Su Wired News: Europe Goes After the cookie [31.10.2001]

Su GiustAmm.it - Rivista Internet di diritto pubblico, n. 4-2004: N. Lugaresi, La tutela della privacy on-line in ambito comunitario

Su AmbienteDiritto.it: R. Ionta, Le comunicazioni elettroniche e il diritto alla riservatezza. Direttive comunitarie e ordinamento nazionale

Webimpossibile

Webimpossibile [http://www.webimpossibile.net/]è un progetto di Giovanni Acerboni e Lorenzo Spallino. Nato nel maggio 2004 per ragionare pubblicamente sullo stato del web, contiene riflessioni e spunti su internet, cultura e diritto. Aggiornamenti del sito vengono segnalati attraverso una newsletter a pubblicazione non periodica. Condizioni di utilizzo alla pagina http://www.webimpossibile.net/cpright.htm.

Proprietà intellettuale

I dati, le informazioni, le notizie e, in generale, i contenuti, anche grafici, contenuti in questo sito o comunque fruiti nell'ambito dell'utilizzo dello stesso, sono oggetto di proprietà intellettuale e come tali tutelati.

Testi

I contenuti di questo sito possono, ovviamente, essere citati, linkati e trascritti. Analogamente a quel che avviene nell’editoria a stampa, la citazione è tanto più corretta quanto più completa: nome e cognome dell’autore, titolo del contenuto, data di pubblicazione su Webimpossibile, link diretto al contenuto e link alla home page di Webimpossibile. Le trascrizioni - qualora fedeli all'originale - debbono essere virgolettate. Trascrizioni integrali debbono essere precedute dall'assenso dell'autore.