GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29

Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29della direttiva 95/46/CE. È l'organo consultivo indipendente dell'UE per laprotezione dei dati personali e della vita privata. I suoi compiti sono fissatiall'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190.

Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm

 

Parere 16/2011 - WP 188

relativo alla raccomandazione dell'EASA/IAB sulle buoneprassi in materia di pubblicità comportamentale online

adottato l'8 dicembre 2011

 

Sommario

I.          INTRODUZIONE

II.         ANALISI DEL CODICEDELLE BUONE PRASSI IN MATERIA DI PUBBLICITà COMPORTAMENTALE ONLINE

II.1.      Informativa (principio I)

II.2.      Scelta dell'utente rispetto allapubblicità comportamentale online (principio II)

II.3.      Altri principi e settori problematici

II.3.A    Segmentazione sensibile (principio IV).Particolare riferimento ai minori

II.3.B    Conformità al codice e rispetto delle sue norme(principio VI)

II.3.C    Periodo di conservazione dei dati raccolti

III.        Alcuni chiarimentirispetto ai cookies e al consenso

III.1      La pubblicità comportamentale implicail trattamento di dati personali

III.2      Il consenso non è necessario per ognitipo di cookie

III.3      Un pop-up non è l'unico modopossibile per ricevere il consenso

III.4      Cliccare attraverso molteplici pop-upper il consenso non è sempre necessario

IV.       CONCLUSIONI

 

I. INTRODUZIONE

Nel novembre 2009 il Parlamento europeo e il Consiglio hannoadottato la direttiva 2009/136/CE, che ha modificato la direttiva del 2002relativa alla vita privata e alle comunicazioni elettroniche (2002/58/CE). Unadelle modifiche più importanti riguarda i meccanismi di installazione delleinformazioni nel dispositivo terminale dell'utente. È stato abbandonatol'attuale sistema di opt-out, per il quale un utente può opporsi al trattamentodelle informazioni raccolte mediante l'attrezzatura terminale (come i"cookies"), per passare, invece, al consenso informato come regola. Talimodifiche sono importanti per la pubblicità comportamentale online, poichél'industria fa ampio affidamento sui cookies ed altre tecnologie analoghe chememorizzano le informazioni e consentono l'accesso ad esse nel dispositivoterminale dell'utente.

Il requisito del consenso è stato frutto della crescentepreoccupazione fra cittadini, esponenti politici, autorità per la protezionedei dati, organizzazioni di consumatori e responsabili delle politiche per larapidità con cui stanno aumentando le possibilità tecniche di tracciare ilcomportamento degli individui su internet nel tempo. Inoltre, le possibilitàofferte ai cittadini per tutelare la propria vita privata ed i propri datipersonali contro questo tipo di tracciamento non tenevano il passo con dettoaumento. Nel 2009 i responsabili politici nutrivano forti dubbi quanto allapossibilità di affidarsi all'industria del settore per far crescere laconsapevolezza del pubblico e la scelta dell'utente in merito alla pubblicitàcomportamentale online. Molti sondaggi pubblici hanno mostrato, e mostranotutt'ora, che l'utente internet medio non è consapevole del fatto che il suocomportamento è tracciato grazie ai cookies o ad altri identificatori unici, nésa da chi o per quale scopo. Tale mancanza di consapevolezza contrastanettamente con la crescente dipendenza di molti cittadini europei dall'accessoad internet per attività ordinarie quotidiane come acquistare, leggere,comunicare con amici e cercare informazioni. Internet sta anche rimpiazzandorapidamente molte attività non in linea, come l'accesso ad alcuni servizipubblici. La rapida sostituzione dell'accesso "fisso" ad internet con unaccesso mobile ha reso ancor più complessa la possibilità per gli utenti diproteggersi con mezzi tecnici.

Poco dopo che il consenso informato è diventato la norma giuridicaeuropea, il Gruppo di lavoro "articolo 29" (in prosieguo "il Gruppo di lavoro")ha adottato il parere 2/2010 sulla pubblicità comportamentale online1 (in prosieguo "il parere2/2010"). Il parere descrive i ruoli e le responsabilità dei vari attoricoinvolti nella pubblicità comportamentale online e chiarisce il quadrogiuridico applicabile. Esso si concentra sul tracciamento del comportamento suinternet nel tempo, attraverso vari siti, quale fonte delle maggioripreoccupazioni in termini di protezione dei dati rispetto alla pubblicitàcomportamentale online.

Nell'aprile 2011 i maggiori operatori coinvolti in pubblicitàcomportamentale online, rappresentati dalla European Advertising StandardsAlliance (EASA) e dall'Internet Advertising Bureau Europe (IAB), hanno adottatoil codice di autoregolamentazione delle buone prassi in materia di pubblicitàcomportamentale online (in prosieguo "il codice EASA/IAB")2. Nell'agosto 2011 il Gruppo di lavoro ha inviato unalettera aperta3 all'EASA e allo IAB manifestando le preoccupazioni per laprotezione dei dati che derivano dall'approccio di opt-out suggerito nel codiceEASA/IAB. In un incontro successivo con il Gruppo di lavoro, i rappresentantidell'EASA e dello IAB hanno dichiarato che "il codice era principalmentefinalizzato a creare parità di condizioni concorrenziali" e che il suo scoponon era quello di garantire la conformità alla direttiva modificata relativaalla vita privata e alle comunicazioni elettroniche4.

Come già dichiarato nel parere 2/2010, il Gruppo di lavoroapprezza le iniziative di autoregolamentazione da parte dell'industria nelsettore della pubblicità comportamentale. Il codice EASA/IAB in effetti includetaluni approcci d'interesse, quali il principio V Education (educazione),che, se ulteriormente sviluppati ed applicati, possono rendere i meccanismi diconsenso più efficaci. Tuttavia, tale codice non è di per sé adeguato agarantire la conformità all'attuale quadro giuridico europeo per la protezionedei dati. Al fine di evitare qualunque fraintendimento, il Gruppo di lavoro hadeciso di analizzare specificamente in che misura detto codice, completato dalsito web www.youronlinechoices.eu, è conforme alle norme giuridichepertinenti.

Più in particolare, il presente parere si occupa dei primi dueprincipi del codice EASA/IAB, segnatamente il principio I Notice (informativa)e il principio II User Choice (scelta dell'utente), nonché della loroapplicazione pratica sul sito www.youronlinechoices.eu. Inoltre, sono affrontati altriprincipi del codice, oltre ad ulteriori settori problematici (ad esempio, laconservazione dei dati). In aggiunta, il Gruppo di lavoro coglie l'occasioneper sottolineare la differenza tra cookies traccianti ed altri tipi di cookiesche possono essere esenti dal consenso, fornire esempi pratici di quest'ultimatipologia di cookies e mettere in evidenza possibili approcci per riceverelegalmente il consenso ove necessario.

 

II. ANALISI DEL CODICE DELLE BUONE PRASSI IN MATERIA DIPUBBLICITà COMPORTAMENTALE ONLINE

 

II.1 Informativa (principio I)

Ai sensi dell'articolo 5, paragrafo 3, della direttiva modificatarelativa alla vita privata e alle comunicazioni elettroniche, il consenso deveessere informato. In pratica, ciò significa che l'utente deve aver espresso ilproprio consenso alla memorizzazione di informazioni o all'accesso a informazionigià memorizzate nella sua apparecchiatura terminale, dopo essere statoinformato in modo chiaro e completo, a norma della direttiva 95/46/CE, tral'altro sugli scopi del trattamento. Per essere conforme alla legislazione,l'informativa pertinente deve essere quindi fornita direttamente agli utenti informa chiara e comprensibile prima che avvenga il trattamento; non èsufficiente che l'informazione sia "disponibile" da qualche parte sul sito webvisitato dall'utente.

Secondo il codice EASA/IAB un'icona sarà usata come informativaper la pubblicità comportamentale. Nell'attuale applicazione del codice,l'icona è collegata ad un sito web d'informazione, www.youronlinechoices.eu, su cui gliutenti possono segnalare la loro intenzione di opt-out selezionando specificinomi di imprese da un elenco di varie reti pubblicitarie.

Alla luce del contesto attuale e tenendo conto della mancanza diconoscenza e consapevolezza della pubblicità comportamentale da parte degliutenti della rete, il descritto approccio tramite l'icona non è sufficiente diper sé ad informare adeguatamente gli utenti sull'uso dei cookies secondo ildisposto dell'articolo 5, paragrafo 3. Ciò è dovuto alle ragioni di seguitodescritte:

a) anche se in futuro l'icona potrà essere largamentericonosciuta, oggi gli utenti medi non sono in grado di apprezzarne ilsignificato sottostante in mancanza di una descrizione aggiuntiva. Tuttavia,l'icona potrebbe risultare utile come mezzo per completare altre forme diinformativa, fornendo collegamenti ad altre informazioni sui dirittidell'utente e servendo da promemoria costante agli utenti del fatto che sonotracciati;

b) affinché le informazioni siano fornite in modo comprensibile ènecessario utilizzare un linguaggio chiaro che consenta agli utenti di capireimmediatamente che le loro attività sono tracciate quando navigano in rete eche possono poi ricevere annunci pubblicitari mirati. Il mero uso del termine"pubblicità" accanto all'icona non basta ad informare l'utente che l'annuncioutilizza cookies per scopi di pubblicità comportamentale. La dicitura dovrebbecome minimo includere l'espressione "pubblicità personalizzata";

c) l'icona può servire da informazione aggiuntiva e comepromemoria informativo dopo che l'abbonato o utente ha fornito ilconsenso al trattamento dei propri dati per scopi di pubblicitàcomportamentale. Il proposto approccio tramite l'icona non può quindi essereusato per la comunicazione di informazioni preliminari, come previstodall'attuale quadro legislativo (salvo se è associato ad una modalità perottenere il consenso dell'utente);

d) l'informazione dovrebbe essere corretta e completa, comeprevisto dall'articolo 10 della direttiva 95/46/CE. Il Gruppo di lavoro rinviaal parere 2/2010 in cui si legge "I fornitori di reti pubblicitarie/glieditori devono informare gli utenti in conformità all'articolo 10 delladirettiva 95/46/CE. In pratica, devono garantire che alle persone siacomunicato, quanto meno, chi (quale soggetto) è responsabile del trasferimentodel cookie e della raccolta delle informazioni connesse. Le persone devonoinoltre essere informate in un linguaggio semplice riguardo a) al fatto che ilcookie sarà utilizzato per creare profili utente; b) al tipo di informazioniche saranno raccolte per la creazione di questi profili; c) al fatto che iprofili saranno usati per la trasmissione di messaggi pubblicitari mirati; d)al fatto che il cookie consentirà l'individuazione dell'utente su diversi sitiweb. I fornitori di reti pubblicitarie/gli editori dovrebbero fornire leinformazioni direttamente sullo schermo, in modo interattivo, all'occorrenzaseguendo un approccio strutturato su più livelli. Le informazioni devono inogni caso essere facilmente accessibili e ben visibili."

Dal momento che l'icona in quanto tale e il sitowww.youronlinechoices.eu non forniscono informazioni accurate e facilmentecomprensibili circa i diversi responsabili del trattamento (reti pubblicitarie)e le loro finalità di trattamento, il codice ed il sito web non soddisfano ilrequisito previsto dalla direttiva modificata relativa alla vita privata e allecomunicazioni elettroniche.

 

II.2. Scelta dell'utente rispetto alla pubblicitàcomportamentale online (principio II)

Nel suo parere 2/2010, il Gruppo di lavoro ha affermato che "dallalettera dell'articolo 5, paragrafo 3, risulta che: i) il consenso deve essereottenuto prima del collocamento del cookie e/o della raccolta delleinformazioni archiviate nell'apparecchiatura terminale dell'utente, e ii) ilconsenso informato può essere ottenuto soltanto se all'utente sono statefornite informazioni preventive circa l'invio e le finalità del cookie. Inquesto contesto è importante considerare che, affinché il consenso sia validoindipendentemente dalle circostanze in cui è stato espresso, esso deve esserelibero, specifico e costituire una manifestazione informata di volontàdell'interessato. Il consenso deve essere ottenuto prima che si proceda allaraccolta dei dati personali, in modo che gli interessati siano pienamenteconsapevoli del fatto che stanno esprimendo un consenso e dell'oggetto delmedesimo. Inoltre, il consenso deve poter essere revocato."

Invece di richiedere il consenso degli utenti, il codice EASA/IABpretende di fornire un modo di esercitare "la scelta". Di fatto si tratta diuna scelta di opt-out, poiché offre all'utente la possibilità di opporsi a chei suoi dati siano raccolti e poi trattati a fini di pubblicità comportamentale.

Tale "scelta" non è conforme all'articolo 5, paragrafo 3 delladirettiva modificata relativa alla vita privata e alle comunicazionielettroniche, perché i dati sono di fatto trattati senza il consensodell'utente e senza fornire a quest'ultimo le informazioni prima che avvenga iltrattamento. Pertanto, il rispetto del principio II non soddisfa il criteriodefinito dalla direttiva modificata relativa alla vita privata e allecomunicazioni elettroniche.

- Sito per la scelta dell'utente: www.youronlinechoices.eu

La prima applicazione pratica del codice EASA/IAB è il sito web www.youronlinechoices.eu, in cui ilmetodo selezionato per esprimere la "scelta" si basa sull'uso di vari cookiesdi "opt-out". Grazie a questo tipo di cookie una rete pubblicitaria puòregistrare il rifiuto dell'utente di ricevere ulteriormente pubblicitàcomportamentale online. Come illustrato di seguito, questa impostazionepotrebbe facilmente essere modificata per risultare conforme all'articolo 5,paragrafo 3 della direttiva mediante la creazione di cookies di "opt-in".

Il sito web contiene un elenco con vari nomi di reti pubblicitarie.Gli utenti possono indicare la loro preferenza qualora non desiderino riceverepubblicità mirata da una, più o tutte le reti. Selezionare una o più retipubblicitarie equivale all'installazione di uno o più cookies di opt-out daparte di queste reti.

Oltre a seguire un'impostazione di opt-out e quindi a nonrispettare il requisito del consenso informato preliminare quale previstodall'articolo 5, paragrafo 3 della direttiva modificata relativa alla vitaprivata e alle comunicazioni elettroniche, questa applicazione presenta iproblemi aggiuntivi di seguito descritti:

a)      pur impedendo l'ulteriorericevimento di pubblicità personalizzata, il cookie di opt- out non impediscealla rete pubblicitaria di accedere e di memorizzare informazioni nel terminaledell'utente. Al contrario, è stato dimostrato che, dopo l'installazione delcookie di opt-out, permane un continuo scambio tecnico di informazioni tral'apparecchiatura terminale dell'utente e la rete pubblicitaria;

b)      l'utente non è informato se ilcookie tracciante rimane o meno memorizzato nel suo computer e per quali scopi5;

c) l'installazione del cookie di opt-out non offre la possibilitàdi gestire e cancellare cookies traccianti installati in precedenza, mentrecrea allo stesso tempo l'erronea presunzione che l'opt-out disattivi iltracciamento del comportamento su internet.

Questo problema è aggravato dal fatto che lo stesso sito web www.youronlinechoices.eucontienelink verso una serie di funzioni Javascript che riescono a tracciare il singoloutente. Questo tracciamento interviene senza informarne l'utente e, in duecasi, senza alcuna possibilità di poterlo escludere6. Invitati a commentare questo espediente tecnico, lo IAB el'EASA si sono astenuti dal rispondere al Gruppo di lavoro, anche dopo diversisolleciti scritti.

 

II.3 Altri principi e settori problematici

 

II.3.A Segmentazione sensibile (principio IV). Particolareriferimento ai minori

Il codice prevede i 12 anni come soglia di età per il trattamentodei dati dei minori. Anche se positivo come principio, va notato che talesoglia non si basa su alcun fondamento giuridico. Sarebbe opportuno dichiarareesplicitamente nel codice che la soglia si applica "fatte salve diversecondizioni imperative previste dalla normativa nazionale".

Il Gruppo di lavoro considera positivamente la parte B delprincipio VI che richiede il consenso esplicito degli utenti prima di crearesegmenti ai fini di pubblicità comportamentale online o prima di indirizzareloro messaggi pubblicitari comportamentali che fanno uso di dati personalisensibili.

 

II.3.B Conformità al codice e rispetto delle sue norme(principio VI)

Il codice EASA/IAB include misure per garantire che le impresefirmatarie ne rispettino le norme, in particolare attraverso un processo diautocertificazione che sia oggetto di un audit indipendente e sia completato daun "marchio" di conformità rinnovabile periodicamente. Il Gruppo di lavororiconosce la necessità di norme interne che garantiscano la conformità delleimprese, ma intende evidenziare il fatto che il codice dovrebbe per principiorispettare il quadro legislativo europeo sulla protezione dei dati personali.In questo contesto, occorre ribadire che incombe alle autorità nazionali diregolazione la responsabilità in ultima istanza di valutare il rispetto dellenorme da parte dei fornitori di pubblicità comportamentale online e di adottarei provvedimenti di applicazione pertinenti.

 

II.3.C Periodo di conservazione dei dati raccolti

Come già illustrato nel parere 2/2010, "i fornitori di reti pubblicitariedovrebbero attuare politiche di conservazione dei dati che garantiscano lacancellazione automatica delle informazioni raccolte a ogni lettura del cookiedopo un periodo giustificato di tempo (il tempo necessario per le finalità deltrattamento)." Inoltre, la raccolta e il trattamento dei dati a fini dipubblicità comportamentale devono essere limitati al minimo indispensabile. Ilcodice EASA/IAB non prevede alcuna disposizione circa la quantità di datiraccolti e il periodo o periodi di conservazione per scopi specifici. Dalmomento che anche su questo problema il sito web non fornisce attualmentealcuna spiegazione, non è chiaro quanti siano i dati raccolti dalle varie retipubblicitarie, per quanto tempo siano memorizzati e per quali scopi sianotrattati. Questa è un'informazione assolutamente necessaria all'utente perpermettergli di prendere una decisione informata in merito al consenso a talecreazione di profilo. In generale, data la mancanza di trasparenza e diconsapevolezza del pubblico, è decisamente da evitare che ciascuna retepubblicitaria segua una politica di conservazione diversa a questo riguardo esarebbe stata molto utile un'iniziativa di autoregolamentazione. Una simileiniziativa dovrebbe quanto meno riguardare il periodo in cui il consenso possaconsiderasi valido e dopo il quale i dati debbano essere cancellati.

 

III. Alcuni chiarimenti rispetto ai cookies e al consenso

 

III.1 La pubblicità comportamentale implica il trattamentodi dati personali

In alcune parti del sito web www.youronlinechoices.eu si legge che "...nellamaggior parte dei casi, le informazioni utilizzate per gli annunci mirati nonsono personali, nel senso che non identificano l'utente nel mondo reale..." edanche che un cookie memorizza alcune informazioni di base, non personali sul PCdell'utente per migliorare alcune funzioni e personalizzare la navigazione suinternet. Queste argomentazioni sono usate per concludere che l'installazionedei cookies a fini di pubblicità comportamentale non è tenuta a rispettare lalegislazione sulla protezione dei dati. Il Gruppo di lavoro rinvia al parere2/2010 che illustra come la pubblicità comportamentale implichi il trattamentodi identificatori unici, che sia mediante l'uso di cookies o di qualsiasi altrotipo di dispositivo di identificazione. L'uso di tali identificatori uniciconsente di tracciare gli utenti di uno dato computer anche quando gliindirizzi IP vengono cancellati o resi anonimi. In altre parole, questiidentificatori unici permettono agli interessati di essere "distinti" ai finidel tracciamento del comportamento utente mentre navigano su vari siti web esono quindi da considerarsi dati personali.

Inoltre, il Gruppo di lavoro fa notare che l'articolo 5, paragrafo3, della direttiva modificata relativa alla vita privata e alle comunicazionielettroniche è applicabile a prescindere dal fatto che l'informazionememorizzata o a cui si accede nell'apparecchiatura terminale dell'utenteconsista o meno in dati personali.

 

III.2 Il consenso non è necessario per ogni tipo di cookie

L'EASA e lo IAB hanno sostenuto anche che l'installazione diciascun cookie necessita un consenso "esplicito" e quindi avrà un'incidenzanegativa sulla navigazione in rete. Il Gruppo di lavoro desidera chiarire cheil consenso non è necessario per ogni tipo di cookie, dato che esistono modidiversi di usare detti strumenti, per scopi diversi e a diverse condizioni. Aisensi dell'articolo 5, paragrafo 3, della direttiva modificata relativa allavita privata e alle comunicazioni elettroniche, un cookie può essere esentatodal consenso informato se è necessario al solo fine di effettuare latrasmissione di una comunicazione su una rete di comunicazione elettronica onella misura strettamente necessaria al fornitore di un servizio dellasocietà dell'informazione esplicitamente richiesto dall'abbonato o dall'utentea erogare tale servizio.

A titolo di esempio, sarebbero esentati dal consenso informato iseguenti cookies:

- il cookie di login sicuro. Questo tipo dicookie è costruito per identificare l'utente una volta che si sia connesso adun servizio della società dell'informazione7 e sia necessario riconoscerlo, mantenendo la consistenza dellacomunicazione con il server sulla rete di comunicazione;

- il cookie del paniere di acquisti. Su un sito webdi acquisti online questo tipo di cookie è tipicamente usato per memorizzare iriferimenti di articoli che l'utente ha selezionato cliccando su un bottone (adesempio, "aggiungi al mio carrello"). Questo cookie è quindinecessario per fornire un servizio della società dell'informazioneesplicitamente richiesto dall'utente;

- cookies di sicurezza. Si tratta di cookies che sonoessenziali ai fini del rispetto delle condizioni di sicurezza della direttiva95/46/CE o di altra normativa, per un servizio della società dell'informazioneesplicitamente richiesto dall'utente. Ad esempio, un cookie può essere usatoper memorizzare un identificatore unico al fine di consentire al servizio dellasocietà dell'informazione di fornire garanzie ulteriori quanto alriconoscimento degli utenti che accedono di nuovo al servizio. Tentativi diconnettersi a partire da dispositivi non identificati potrebbero portare adulteriori problemi di sicurezza.

Il Gruppo di lavoro osserva inoltre che, pur essendo alcunicookies esenti dal consenso informato richiesto dall'articolo 5, paragrafo 3,della direttiva modificata relativa alla vita privata e alle comunicazionielettroniche, questi possono comunque fare parte di un trattamento di dati chedeve rispettare la direttiva generale sulla protezione dei dati personali. Inparticolare, i fornitori di servizi della società dell'informazione devonocomunque rispettare l'obbligo di informare gli utenti. Le opportunità nonmancano di informare questi ultimi sull'uso dei cookies prima che venganoinstallati.

 

III.3 Un pop-up non è l'unico modo possibile per ricevere ilconsenso

Molti sono convinti che le schermate pop-up siano l'unico modo perottenere il consenso. Questo non è vero: sono tanti gli esempi di altremodalità per ottenere il consenso che sono di più facile uso per l'utente, tracui:

- un banner informativo statico in cima alla pagina del sitoin cui si richiede il consenso dell'utente per installare dei cookies, con unlink verso la dichiarazione di riservatezza contenente una spiegazione piùdettagliata dei vari responsabili del trattamento e dei relativi scopi. Un bannerdel genere è attualmente usato dall'autorità garante del Regno Unito8;

- una schermata di caricamento ("splash screen") al momentodell'entrata nel sito web che spieghi quali cookies saranno installati e daquali soggetti, se l'utente acconsente. Dette schermate di caricamentosono usate ad esempio dai produttori di birra che vogliono assicurarsi che iloro visitatori abbiano l'età sufficiente per visitare il loro sito;

- impostazioni predefinite che impediscano il trasferimentodei dati a soggetti esterni, per cui è necessario che l'utente clicchi perindicare il suo consenso ai fini del tracciamento. Una soluzionetecnica pratica9 è stata sviluppata dalla rivista elettronica tedesca Heiserispetto ai cookies installati e letti da Facebook grazie al bottone "Mipiace": come impostazione di default, il bottone appare grigio chiaro e solo sel'utente clicca sul bottone, questo si illuminerà e sarà in grado di installaree ricevere dati dell'utente10;

- impostazioni predefinite nei browser che impediscano laraccolta di dati comportamentali ("Non raccogliere"). Ilconsiderando 66 della direttiva modificata relativa alla vita privata e allecomunicazioni elettroniche suggerisce di usare le impostazioni del browser comemezzo per ottenere il consenso, purché ciò sia "tecnicamente fattibile edefficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE".Questa non è un'eccezione alla regola dell'articolo 5, paragrafo 3, mapiuttosto un richiamo al fatto che, in questo ambiente tecnologico, il consensopuò essere dato in vari modi, laddove tecnicamente possibile, efficace econforme alle altre condizioni rilevanti per il consenso valido.

Come minimo ciò significa che, per rispettare le condizioni postedalla direttiva 95/46/CE, non può considerarsi che gli interessati abbiano datoil loro consenso semplicemente perché si sono procurati/hanno usato un browsero un'altra applicazione che per difetto permette la raccolta e il trattamentodelle loro informazioni. Affinché i browser o qualunque altra applicazionesiano in grado di fornire un consenso valido ed efficace, essi devono obbligarel'interessato ad attivarsi per accettare sia l'installazione di cookies che latrasmissione continua delle informazioni in essi contenute da parte dideterminati siti web. A tal fine si potrebbe immaginare che siano sviluppate,da parte delle reti pubblicitarie, delle specifiche applicazioni software(plug-in o estensioni del browser), scaricate e installate dagli utenti perpermettere di modificare lo stato delle impostazioni del browser rispetto aicookies pubblicitari, per mezzo di interfacce di programmazione delleapplicazioni (API) o di altri strumenti messi a disposizione dai produttori dibrowser. Prima di installare lo specifico plug-in "pubblicità", gli utentidovrebbero ricevere le informazioni rilevanti sul trattamento dei dati. Sipotrebbe sostenere che la condizione affinché questo meccanismo di opt-infunzioni correttamente è che sia garantito che i cookies di terzi non sianoaccettati per difetto nelle impostazioni del browser.

Il Gruppo di lavoro si compiace delle recenti iniziative, da partedi fornitori di browser, di sviluppare soluzioni a tutela della vita privataquali Do Not Track 11, chepotrebbero spianare la via a meccanismi di espressione del consenso conformifondati sulle impostazioni del browser, a condizione che detti meccanismiconsentano davvero agli utenti di esprimere il loro consenso caso per caso,senza essere tracciati per difetto.

 

III.4 Cliccare attraverso molteplici pop-up per il consensonon è sempre necessario

Poiché molte pagine web includono cookies di reti pubblicitarieche necessiterebbero il consenso ai sensi dell'articolo 5, paragrafo 3, l'EASAe lo IAB hanno sostenuto che gli utenti dovranno continuamente cliccare surichieste di consenso andando da un sito all'altro. Tale affermazione non tieneconto del fatto che una volta che l'utente ha espresso il proprio consenso orifiuto, non vi è motivo per richiederlo ancora per un cookie avente lo stessoscopo e proveniente dallo stesso fornitore. Quindi, se una rete pubblicitariaterza riceve il consenso su un sito web per un cookie di pubblicitàcomportamentale online, detto consenso sarà valido non solo per altre paginedello stesso sito, ma anche per altri siti web della stessa rete di pubblicitàcomportamentale online. Di conseguenza, per un utente medio, il numero dirichieste di consenso diminuirà nella misura in cui naviga e fa le sue scelte.

Una volta che l'utente ha acconsentito a ricevere un dato cookie,la presenza di quest'ultimo può essere usata come marcatore del suo consenso.Perciò, l'attuale tecnologia di opt-out usata dalle reti pubblicitarieaffiliate al sito web www.youronlinechoices.eu potrebbe essere riprogettata allaluce di un approccio di opt-in. A titolo esemplificativo, possiamo immaginareil seguente schema:

1) la prima volta che un utente entra in contatto con un fornitoredi pubblicità comportamentale online (attraverso la visita di un sito web) nonviene installato alcun cookie e quindi non ne verrà inviato alcuno al fornitoredella rete pubblicitaria. Il fornitore pubblicitario può affiggere un messaggioin qualunque spazio di informazione (compreso quello in cui apparirebbe ilmessaggio pubblicitario) al fine di proporre all'utente la scelta fra:

€   accettare un cookie di opt-in ai fini di future pubblicitàcomportamentali;

€   rifiutare i cookies a fini di pubblicità comportamentale,accettando al contempo un cookie contenente la parola "RIFIUTO" inmodo da poter permettere la registrazione di tale rifiuto nel prosieguo12;

€   non memorizzare alcun cookie. In questo caso, all'utenteverrà nuovamente richiesto di scegliere alla prossima visita;

2) quando l'utente entrasse in contatto nuovamente con lo stessofornitore di pubblicità comportamentale online, il fornitore pubblicitariopotrebbe adattare il proprio atteggiamento secondo tre possibili situazioni:

€   se vi è un cookie di opt-in, il fornitore di pubblicitàcomportamentale online può avere accesso e memorizzare dei cookies sulterminale dell'utente e fornire pubblicità comportamentale;

€   se vi è un cookie di "rifiuto", il fornitore saprà chel'utente rifiuta cookies futuri (e quindi pubblicità comportamentale) e dovràlimitarsi ad annunci non mirati;

€   se non vi è alcun cookie, il fornitore potrà considerare chesi tratta del primo contatto con l'utente e sarà tenuto a chiedergli quale siala sua scelta.

Per gli attori rilevanti del mercato può valere la pena analizzareulteriormente questo esempio di metodo per ottenere il consenso.

Infine, il sito web www.youronlinechoices.eu dimostrachiaramente che le opzioni in merito alla pubblicità comportamentale onlinepossono essere presentate in un'unica pagina in cui l'utente può cliccare peresprimere le proprie scelte rispetto a ciascun fornitore individuale dipubblicità comportamentale online. Quando un sito web utilizza vari fornitoripubblicitari, una presentazione del genere è possibile per raggruppare tutte lerichieste di consenso necessarie all'utente in una sola pagina o spazioinformativo, riducendo ulteriormente il numero necessario di pop-up o di spaziinformativi.

 

IV. CONCLUSIONI

Come affermato nel parere 2/2010, il Gruppo di lavoro non mette indiscussione i benefici economici che possono derivare dalla pubblicitàcomportamentale, ma è sua ferma convinzione che tali pratiche non debbanoessere utilizzate a scapito dei diritti individuali al rispetto della vitaprivata e della protezione dei dati personali. Il quadro regolamentare europeoper la protezione dei dati personali prevede specifiche garanzie che devonoessere rispettate.

L'adesione al codice EASA/IAB relativo alla pubblicitàcomportamentale online e la partecipazione al sito web www.youronlinechoices.eunonrisultano conformi all'attuale direttiva relativa alla vita privata e allecomunicazioni elettroniche. Inoltre, il codice e il sito web creano lapresunzione erronea che sia possibile scegliere di non essere tracciati mentresi naviga in rete. Tale erronea presunzione può pregiudicare non solo gliutenti ma anche le imprese nella misura in cui queste raggiungano ilconvincimento che, applicando il codice, rispettano gli obblighi delladirettiva.

L'industria pubblicitaria deve rispettare i precisi obblighi delladirettiva relativa alla vita privata e alle comunicazioni elettroniche e ilpresente parare mostra che esistono varie soluzioni pratiche per garantire, daun lato, un livello adeguato di rispetto delle norme e, dall'altro, chenavigare in rete resti un'esperienza positiva per l'utente.

Fatto a Bruxelles, l'8 dicembre 2011

Per il Gruppo di lavoro

Il Presidente Jacob KOHNSTAMM

 

NOTE

1 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_it.pdf

2 http://www.easa-alliance.org/binarydata.aspx?type=doc/EASA_BPR_OBA_12_APRIL_2011_CLEAN.pdf/download

3 Lettera del Gruppo di lavoro "articolo 29" indirizzataall'industria della pubblicità comportamentale online relativa al quadro diautoregolamentazione, 3 agosto 2011 http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2011/20110803_letter_to_oba_annexes.pdf

4 Comunicato stampa del Gruppo dilavoro "articolo 29" del 14 settembre 2011

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20110914_press_release_oba_industry_final_en.pdf

5 "Se decidi di disattivare la pubblicità comportamentale nonsignifica che non riceverai più pubblicità su internet. Tuttavia, significa chei banner che visualizzerai sui siti potrebbero non rispecchiare i tuoiinteressi o le tue preferenze sul browser che stai attualmente utilizzando."Fonte: http://www.youronlinechoices.com/it/le-tue-scelte/

6 Il sito web contiene funzioni JavaScript da cinque diversi soggetti terzi esterni. Tali script possonoraccogliere informazioni sull'utente quali l'indirizzo IP, il referrer e laconfigurazione unica del browser.

7 Tale definizione ricopre qualsiasi servizio prestato normalmentedietro retribuzione, a distanza, per via elettronica, mediante apparecchiatureelettroniche di elaborazione (compresa la compressione digitale) e dimemorizzazione di dati, e a richiesta individuale di un destinatario diservizi.

8 http://www.ico.gov.uk

9 Perché possa permettere un consensoinformato, tale soluzione deve essere accompagnata da un'adeguata informazione.

10 Il codice specifico è disponibilealla pagina web http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-

Datenschutz-1333879.html

11 http://www.w3.org/2011/tracking-protection/

12 L'uso di un cookie per registrare il "rifiuto" dell'utente ècompatibile con l'articolo 5, paragrafo 3, dal momento che all'utente èrichiesto il consenso anche per questo cookie.