La pubblicità comportamentale prevede il tracciamento degli utenti durante la navigazione in rete e, nel tempo, la creazione di profili che vengono successivamente utilizzati per fornire agli utenti contenuti pubblicitari che rispondono ai loro interessi. Pur senza mettere in discussione i vantaggi economici derivanti dalla pubblicità comportamentale a favore delle parti interessate, il Gruppo di lavoro articolo 29 è del fermo parere che tale pratica non debba essere attuata a spese del diritto della persona al rispetto della vita privata e alla protezione dei dati. Il quadro normativo dell’Unione europea in materia di protezione dei dati, che stabilisce garanzie specifiche, deve essere rispettato. Al fine di agevolare e promuovere l’ottemperanza a tali norme, il presente parere precisa il quadro giuridico applicabile ai soggetti coinvolti nella pubblicità comportamentale.

In particolare, nel parere si rileva che i fornitori di reti pubblicitarie sono vincolati all’articolo 5, paragrafo 3, della direttiva relativa alla vita privata e alle comunicazioni elettroniche (“direttiva e-privacy”), secondo il quale la collocazione di marcatori (“cookie”) o di dispositivi analoghi nelle apparecchiature terminali degli utenti oppure la raccolta di informazioni mediante detti dispositivi è consentita solo previo consenso informato degli utenti. Si sottolinea che le impostazioni dei motori di ricerca ("browser") e i meccanismi di “opt-out” attualmente disponibili trasmettono il consenso soltanto in circostanze assai limitate.

Si invitano quindi i fornitori di reti pubblicitarie a provvedere alla creazione di meccanismi di “opt-in” preliminare che richiedano un'azione positiva dell'interessato da cui risulti la volontà di ricevere cookie o dispositivi analoghi e di accettare il conseguente monitoraggio del comportamento di navigazione ai fini della trasmissione di pubblicità personalizzata. Nel parere si ritiene che l’accettazione dei singoli utenti a ricevere un cookie possa comportare anche l’accettazione delle letture successive del cookie e, quindi, del monitoraggio del comportamento di navigazione in rete. Pertanto, al fine di soddisfare i requisiti di cui all’articolo 5, paragrafo 3, non sarebbe necessario chiedere il consenso per ogni lettura dei cookie. Tuttavia, affinché gli interessati siano costantemente tenuti al corrente del monitoraggio, i fornitori di reti pubblicitarie dovrebbero: i) limitare nel tempo la portata del consenso; ii) offrire la possibilità di revocarlo con facilità; iii) creare strumenti visibili che appaiano durante il monitoraggio. Questo approccio consentirebbe di risolvere il problema del sovraccarico di messaggi agli utenti, assicurando nel contempo che l’invio dei cookie e il conseguente monitoraggio del comportamento di navigazione in rete ai fini della trasmissione di pubblicità personalizzata abbiano luogo solo con il consenso informato dell'interessato.

Poiché la pubblicità comportamentale si fonda sull’uso di identificatori che consentono la creazione di profili utente molto dettagliati, considerati nella maggior parte dei casi dati personali, si applica anche la direttiva 95/46/CE. Il presente parere contiene indicazioni sul modo in cui i fornitori di reti pubblicitarie dovrebbero conformarsi agli obblighi derivanti da tale direttiva, con specifico riferimento ai diritti di accesso, rettifica, cancellazione, conservazione, ecc. Dato che gli editori possono assumere alcune responsabilità per il trattamento dei dati effettuato ai fini della pubblicità comportamentale, nel parere si invitano gli editori a condividere con i fornitori di reti pubblicitarie la responsabilità di informare gli interessati, e si incoraggiano creatività e innovazione in questo settore. Considerata la natura della pubblicità comportamentale, il rispetto dei requisiti di trasparenza è una condizione essenziale affinché le persone possano esprimere il consenso alla raccolta e al trattamento dei loro dati personali ed effettuare una scelta reale. Il parere stabilisce gli obblighi informativi dei fornitori di reti pubblicitarie e degli editori nei confronti degli interessati, con riferimento, in particolare, alla direttiva e-privacy, la quale esige che l’utente sia informato “in modo chiaro e completo”.

La pubblicità online è una fonte di guadagno importante per un’ampia serie di servizi online e costituisce un fattore di primo piano per la crescita e l’espansione dell’economia legata a Internet. Tuttavia, la pratica specifica della pubblicità comportamentale solleva preoccupazioni significative in termini di protezione dei dati e della vita privata. Le tecnologie di base di Internet consentono ai fornitori di reti pubblicitarie di tracciare gli interessati attraverso diversi siti web nel corso del tempo. Le informazioni raccolte sul comportamento di navigazione in rete degli interessati vengono analizzate per costruire profili dettagliati dei loro interessi. Tali profili possono essere impiegati per trasmettere agli interessati messaggi pubblicitari personalizzati.

Considerato il crescente ricorso alla pubblicità comportamentale, che si basa sull’impiego di marcatori ("cookie") e di altri dispositivi analoghi, e il suo alto livello di intrusione nella vita privata, il Gruppo di lavoro articolo 29 ha deciso di dedicare il presente parere all'analisi della pubblicità comportamentale online in vari siti web, fatti salvi eventuali pareri futuri su altre tecnologie pubblicitarie.

Con il presente parere, il Gruppo di lavoro articolo 29 intende precisare il quadro giuridico applicabile ai soggetti coinvolti nella pubblicità comportamentale. Inoltre invita il settore interessato a proporre strumenti tecnici e di altro tipo per conformarsi quanto prima al quadro normativo descritto nel presente documento, e ad avviare un dialogo con il Gruppo di lavoro articolo 29 riguardo a tali strumenti. Infine, il Gruppo di lavoro articolo 29 valuterà la situazione e adotterà le misure eventualmente necessarie e appropriate per garantire la conformità al quadro normativo descritto nel presente documento.

La pubblicità mediatica interattiva comprende un’ampia gamma di metodi per creare messaggi pubblicitari più mirati. Tali metodi possono essere suddivisi in varie categorie, tra cui la pubblicità contestuale, la pubblicità segmentata e la pubblicità comportamentale.

La pubblicità comportamentale si basa sull’osservazione del comportamento delle persone nel tempo. Questo tipo di pubblicità cerca di studiare le caratteristiche del comportamento delle persone attraverso le loro azioni (frequentazione ripetuta di certi siti, interazioni, parole chiave, produzione di contenuti online, ecc.) al fine di elaborare un profilo specifico e quindi inviare messaggi pubblicitari che corrispondano perfettamente agli interessi dedotti. Mentre la pubblicità contestuale² e la pubblicità segmentata³ ricorrono a “istantanee” di ciò che gli interessati visualizzano o fanno su un particolare sito web, oppure a caratteristiche note degli utenti, la pubblicità comportamentale potenzialmente offre agli inserzionisti un quadro molto dettagliato dell’attività online dell'interessato, indicando molti dei siti web e delle pagine specifiche visitate, la durata della visualizzazione di determinati articoli o elementi, l’ordine di visualizzazione, ecc.

La pubblicità comportamentale implica l’intervento dei seguenti attori: a) fornitori di reti pubblicitarie, che sono i più importanti distributori di pubblicità comportamentale, in quanto mettono in contatto gli editori con gli inserzionisti; b) inserzionisti, che vogliono promuovere un prodotto o un servizio presso un determinato pubblico; c) editori, ovvero i proprietari di siti web, che cercano di realizzare guadagni attraverso la vendita di spazi pubblicitari sul loro sito o sui loro siti⁴.

La trasmissione di messaggi pubblicitari attraverso le reti pubblicitarie funziona sostanzialmente nel modo seguente: l’editore riserva sul proprio sito web uno spazio per la visualizzazione di un messaggio pubblicitario e lascia che uno o più fornitori di reti pubblicitarie provvedano al resto. I fornitori di reti pubblicitarie si occupano della distribuzione dei messaggi pubblicitari agli editori cercando di ottenere il maggior effetto possibile e controllano la tecnologia di targeting e le banche dati connesse. Più vasta è la rete pubblicitaria, maggiori sono le risorse a disposizione del fornitore di reti pubblicitarie per monitorare gli utenti e “tracciare” il loro comportamento⁵. L’inserzionista in genere negozia con una o più reti pubblicitarie e non è necessariamente al corrente dell’identità di tutti gli eventuali editori che distribuiranno i suoi messaggi pubblicitari. Nel contempo, un editore può sottoscrivere più contratti con varie reti pubblicitarie, per esempio riservando spazi diversi del sito per reti pubblicitarie diverse.

Tra le reti pubblicitarie è sempre più diffusa la prassi di collaborare attraverso un sistema di

appalti⁶.

La maggior parte delle tecnologie pubblicitarie e di tracciamento usate per la trasmissione di messaggi pubblicitari comportamentali si basa su forme di elaborazione lato client. Questo procedimento si serve delle informazioni provenienti dal motore di ricerca ("browser") e dall’apparecchiatura terminale dell’utente. Nello specifico, la principale tecnologia di tracciamento utilizzata per monitorare gli utenti in rete si fonda sui "tracking cookie", che offrono uno strumento per tracciare la navigazione di un utente nell’arco di un periodo di tempo prolungato e, in teoria, in domini diversi⁷.

In genere, il sistema funziona nel modo seguente: di norma, il fornitore di rete pubblicitaria colloca un tracking cookie nell’apparecchiatura terminale dell'interessato⁸ la prima volta che questo accede a un sito web che trasmette un messaggio pubblicitario della sua rete. Il cookie consiste in un breve testo alfanumerico che viene archiviato (e successivamente recuperato) da un fornitore di rete nell’apparecchiatura terminale dell'interessato⁹ . Nell'ambito della pubblicità comportamentale, il cookie consentirà al fornitore di rete pubblicitaria di riconoscere un visitatore che ritorna su quel sito web o visita un qualsiasi altro sito web partner di quella rete pubblicitaria. Le visite ripetute consentiranno al fornitore di rete pubblicitaria di creare un profilo del visitatore, che sarà usato per la trasmissione di messaggi pubblicitari personalizzati. Poiché i tracking cookie sono collocati da un soggetto terzo, diverso dal web server che pubblica il contenuto principale della pagina web (ossia l’editore), essi sono spesso definiti “cookie di terzi”.

I cookie sono legati a un dominio: un cookie può essere letto o modificato solo da un sito web riconducibile a un dominio simile¹⁰ (per esempio, un cookie collocato dal fornitore di rete pubblicitaria a.miosito.com può essere letto da b.miosito.com, ma non da un altro fornitore tipo c.altro.com). I cookie possono avere una durata diversa, che può essere prolungata a seguito di ulteriori visite allo stesso sito cui sono collegati (questa decisione è presa dal programmatore al momento della loro creazione). I “cookie persistenti” hanno una scadenza precisa lontana nel tempo oppure rimangono attivi fino a quando non sono cancellati manualmente.

La maggior parte dei browser Internet offre la possibilità di bloccare i cookie di terzi. Alcuni browser consentono l’esecuzione di sessioni di navigazione “private”, che distruggono automaticamente tutti i cookie creati al momento della chiusura della finestra del browser¹¹.

Alcune reti pubblicitarie stanno provvedendo a sostituire o integrare i tracking cookie tradizionali con nuove tecnologie di tracciamento avanzate, come i “flash cookie” (oggetti locali condivisi)¹². I “flash cookie” non possono essere cancellati mediante le tradizionali impostazioni di privacy di un web browser. Secondo alcune segnalazioni, i “flash cookie” verrebbero usati appositamente come strumento per ripristinare i “cookie tradizionali” respinti o cancellati dall'interessato¹³.

Questa pratica è nota con il termine di “respawning”. Nel presente parere, il termine “cookie” verrà impiegato con riferimento a tutte le tecnologie basate sul principio dell’archiviazione e dell’accesso a informazioni sull’apparecchiatura terminale dell’utente, salvo non diversamente specificato.

Come si è spiegato in precedenza, un’unica rete pubblicitaria in genere può monitorare solo parte del comportamento di navigazione in rete dell'interessato, poiché la sua capacità di tracciamento è limitata all'insieme di editori cui è collegata. Tuttavia, in tempi recenti è stato testato un altro approccio, in base al quale la rete pubblicitaria avvia un partenariato con un fornitore di servizi Internet per monitorare il contenuto della navigazione dell’utente e inserire tracking cookie in tutto il traffico web non criptato¹⁴. Il Gruppo di lavoro articolo 29 non è a conoscenza di altre attuali applicazioni di questa tecnologia nell’Unione europea, ma ritiene che il suo impiego sollevi complesse questioni giuridiche che vanno ben oltre il trattamento dei dati personali, a prescindere dallo scopo per cui i dati vengono utilizzati. L’analisi di questa tecnologia pubblicitaria non rientra nel campo di indagine del presente parere.

Per costruire il profilo degli utenti vi sono due metodi principali: i) i profili predittivi sono stabiliti per deduzione attraverso l’osservazione del comportamento individuale e collettivo dell’utente nel corso del tempo, in particolare monitorando le pagine visitate e i messaggi pubblicitari visualizzati o cliccati; ii) i profili espliciti sono creati a partire da dati personali che l'interessato stesso ha fornito a un servizio web, per esempio all’atto della registrazione. I due metodi possono essere combinati. I profili predittivi, inoltre, possono divenire espliciti in un secondo momento, quando l'interessato fornisce i dati per la connessione a un sito web¹⁵.

Le reti pubblicitarie costruiscono i profili predittivi combinando tecniche di tracciamento, tecnologie basate sui cookie e software di estrapolazione dati. Il sesso e la fascia di età possono essere dedotti dall’analisi delle pagine visitate dall'interessato e dai messaggi pubblicitari da cui è attratto. Il profilo basato sull’analisi dei cookie archiviati nell’apparecchiatura terminale dell’interessato può essere arricchito con dati aggregati dedotti dal comportamento di interessati che mostrano tratti comportamentali analoghi in altri contesti. I sistemi di pubblicità online spesso classificano gli interessati in segmenti a seconda delle loro aree di interesse o delle categorie di marketing (per esempio, “giardinaggio”, “cura del corpo”, “elettronica”, ecc).

Anche l’ubicazione dell'interessato è un’informazione fondamentale per definire il profilo del target. Può essere dedotta, per esempio, dall’indirizzo IP dei terminali e dai punti di accesso WiFi¹⁶.

L’articolo 5, paragrafo 1, della direttiva 2002/58/CE¹⁷ protegge la riservatezza delle comunicazioni in senso lato. Nel caso concreto dell’uso dei cookie e di dispositivi analoghi la protezione della riservatezza delle comunicazioni è stabilita essenzialmente dall’articolo 5, paragrafo 3. Il presente parere si riferisce alla direttiva 2002/58/CE modificata (di seguito, “direttiva e-privacy” o “direttiva e-privacy modificata”). Gli Stati membri non sono tenuti a recepire la direttiva e-privacy modificata nella legislazione nazionale prima di maggio 2011. Tuttavia, il Gruppo di lavoro articolo 29 fa già riferimento alla direttiva e-privacy modificata perché vuole che il presente parere sia valido anche dopo l’attuazione della direttiva e, più specificamente, perché intende con ciò avvisare le parti interessate della necessità di conformarsi pienamente all’articolo 5, paragrafo 3, modificato. In questo contesto sono altresì pertinenti il considerando 66, adottato con la modifica della direttiva e-privacy del 2009, e i considerando 24 e 25 della medesima direttiva.

Considerata la rilevanza dell’articolo 5, paragrafo 3, è utile riportare qui di seguito il testo modificato, mettendo in evidenza i cambiamenti rispetto alla versione precedente:

Gli Stati membri assicurano che l’uso di reti di comunicazione elettronica per archiviare l’archiviazione di informazioni o per avere oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere sia stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

Oltre alla direttiva e-privacy, la direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito, “direttiva 95/46/CE”) si applica nei casi non specificamente coperti dalla direttiva eprivacy ogniqualvolta si procede al trattamento dei dati personali¹⁸.

Per chi si occupa di pubblicità comportamentale è utile sapere cosa determina l’obbligo di conformarsi rispettivamente all’articolo 5, paragrafo 3, della direttiva e-privacy e alla direttiva 95/46/CE. È pertanto necessario illustrare il campo di applicazione dei due strumenti. In particolare, dapprima si esamineranno il campo di applicazione materiale di entrambe le direttive (sezioni 3.2.1 e 3.2.2) e la loro interazione (sezione 3.2.3), e successivamente si considererà il loro campo di applicazione territoriale (sezione 3.2.4).

Ai sensi dell’articolo 5, paragrafo 3, per archiviare lecitamente informazioni o accedere a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente è necessario ottenere il consenso informato¹⁹ dell'interessato. Considerato che i) i tracking cookie sono “informazioni” archiviate nell’apparecchiatura terminale dell'interessato, e che ii) i fornitori di reti pubblicitarie accedono a tali cookie quando l'interessato visita un sito web partner, l’articolo 5, paragrafo 3, trova piena applicazione. Pertanto, ogni operazione di archiviazione di cookie o di dispositivi analoghi (a prescindere dal tipo) ²⁰ e qualsiasi successivo utilizzo di cookie precedentemente archiviati per accedere alle informazioni dell'interessato dovranno essere conformi all’articolo 5, paragrafo 3.

L’articolo 5, paragrafo 3, si applica alle “informazioni” (archiviate o alle quali si accede), e non specifica il tipo di informazioni. Ai fini dell’applicazione di questa disposizione non è necessario che le informazioni siano dati personali ai sensi della direttiva 95/46/CE. Il considerando 24 coglie appieno la logica di questo approccio affermando che “le apparecchiature terminali degli utenti […] e qualsiasi informazione archiviata in tali apparecchiature fanno parte della sfera privata dell’utente, che deve essere tutelata ai sensi della convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali”. Ciò che determina l’obbligo di cui all’articolo 5, paragrafo 3, è la protezione di un aspetto che si ritiene appartenente alla sfera privata dell'interessato, non il fatto che le informazioni siano o meno dati personali.

Il Gruppo di lavoro ha già sottolineato nel parere WP 148 1/2008²¹ che l’articolo 5, paragrafo 3, è una disposizione generale applicabile non solo ai servizi di comunicazione elettronica, ma anche a ogni altro servizio che si avvalga di tali tecniche. Inoltre, l’articolo 5, paragrafo 3, si applica indipendentemente dal fatto che l’entità che colloca il cookie sia un responsabile del trattamento o un incaricato del trattamento.

Quando le informazioni raccolte collocando un cookie o un dispositivo simile e recuperando così le informazioni possono essere considerate dati personali, oltre all’articolo 5, paragrafo 3, si applica anche la direttiva 95/46/CE.

Il Gruppo di lavoro articolo 29 osserva che i metodi utilizzati nella pubblicità comportamentale descritti nel presente parere spesso contemplano il trattamento di dati personali quali definiti all’articolo 2 della direttiva 95/46/CE e interpretati dal Gruppo stesso²². Ciò si deve a diverse ragioni: i) la pubblicità comportamentale in genere prevede la raccolta di indirizzi IP e il trattamento di identificatori unici (attraverso il cookie). L’impiego di tali dispositivi con un identificatore unico consente di tracciare gli utenti di un determinato computer anche se sono usati indirizzi IP dinamici. In altre parole, detti dispositivi consentono di individuare gli interessati, anche se i loro veri nomi non sono conosciuti; ii) inoltre, le informazioni raccolte nel contesto della pubblicità comportamentale riguardano le caratteristiche o il comportamento di una persona e vengono utilizzate per influenzarla²³. Questa opinione viene ulteriormente confermata dalla possibilità di collegare in qualsiasi momento i profili a informazioni direttamente identificabili fornite dall'interessato, quali quelle fornite durante la registrazione a un sito. Altre situazioni che possono determinare l’identificabilità sono le fusioni, le perdite di dati e la crescente disponibilità su Internet di dati personali associati a indirizzi IP.

Si tratta di un’applicazione della dottrina secondo cui una legge che disciplina una questione specifica (lex specialis) è sopraordinata rispetto a una legge che disciplina solamente una questione generale (lex generalis).

In linea con quanto sopra, trova diretta applicazione l’articolo 5, paragrafo 3, della direttiva e-privacy, relativo al consenso informato. La direttiva 95/46/CE è pienamente applicabile fatte salve le disposizioni specificamente trattate nella direttiva e-privacy, che corrispondono essenzialmente all’articolo 7 della direttiva 95/46/CE sui motivi che legittimano il trattamento dei dati²⁴. Le altre disposizioni della direttiva 95/46/CE, compresi i principi relativi alla qualità dei dati, ai diritti dell'interessato (diritto di accesso, di cancellazione, di opposizione), alla riservatezza e alla sicurezza del trattamento e del trasferimento internazionale di dati, sono pienamente applicabili.

Il campo di applicazione territoriale del quadro normativo illustrato è determinato da una combinazione dell’articolo 3, paragrafo 1, della direttiva e-privacy ²⁵ e dell’articolo 4, paragrafo 1, lettere a) e c), della direttiva 95/46/CE²⁶.

Nei pareri precedenti, il Gruppo di lavoro articolo 29 ha fornito orientamenti circa il concetto di stabilimento e l’uso degli strumenti di cui all’articolo 4, paragrafo 1, lettere a) e c), in quanto fattori determinanti per l’applicazione della direttiva 95/46/CE²⁷. Tali orientamenti sono pienamente applicabili ai fornitori di servizi di reti pubblicitarie.

Come si è detto, la pubblicità comportamentale prevede l’interazione di diversi attori, segnatamente i fornitori di reti pubblicitarie, gli editori e gli inserzionisti. Al fine di stabilire i loro obblighi ai sensi della normativa vigente in materia di protezione dei dati, è importante esaminare il loro ruolo. A questo proposito, il Gruppo di lavoro articolo 29 osserva quanto segue:

Fornitori di reti pubblicitarie:

In primo luogo, gli obblighi di cui all’articolo 5, paragrafo 3, della direttiva e-privacy si applicano a chi colloca cookie e/o recupera informazioni da cookie già archiviati nell’apparecchiatura terminale degli interessati. Ai sensi dell’articolo 5, paragrafo 3, è irrilevante che l’entità che colloca o legge il cookie sia un responsabile del trattamento o un incaricato del trattamento. Nell’ambito della pubblicità comportamentale, questa interpretazione impone ai fornitori di reti pubblicitarie l’obbligo di ottenere il consenso informato.

In secondo luogo, quando la pubblicità comportamentale implica il trattamento di dati personali i fornitori di reti pubblicitarie ricoprono anche il ruolo di responsabili del trattamento. Questo punto è molto importante, in quanto determina l'insorgere di ulteriori obblighi derivanti dall’applicazione della direttiva 95/46/CE. I fornitori di reti pubblicitarie hanno il controllo totale sulle finalità e sugli strumenti del trattamento.

Essi “affittano” spazi sui siti web degli editori per inserire messaggi pubblicitari; fissano e leggono le informazioni collegate ai cookie e, nella maggior parte dei casi, raccolgono gli indirizzi IP ed eventuali altri dati individuati dal browser. Inoltre, i fornitori di reti pubblicitarie usano le informazioni raccolte sul comportamento di navigazione degli utenti per costruire profili e selezionare e trasmettere i messaggi pubblicitari da far apparire in funzione del profilo. In questo contesto, essi fungono chiaramente da responsabili del trattamento.

Editori:

Gli editori, tra l'altro, affittano spazi sui propri siti web affinché le reti pubblicitarie vi inseriscano messaggi pubblicitari. Essi predispongono i siti web in modo tale che i browser dei visitatori siano automaticamente rediretti alla pagina web del fornitore di rete pubblicitaria (che quindi provvederà a inviare un cookie e a trasmettere pubblicità personalizzata). Sorge quindi la questione della loro responsabilità rispetto al trattamento dei dati.

Come recentemente sottolineato dal Gruppo di lavoro articolo 29²⁸, la possibilità che un editore possa essere considerato corresponsabile del trattamento assieme al fornitore di rete pubblicitaria dipende dalle condizioni della collaborazione tra le due parti. In questo contesto, il Gruppo di lavoro articolo 29 osserva che, in una situazione tipica in cui i fornitori di reti pubblicitarie trasmettono messaggi pubblicitari personalizzati, gli editori offrono il proprio contributo predisponendo i loro siti web in modo tale che quando un utente visita il sito web di un editore il suo browser sia automaticamente rediretto alla pagina web del fornitore di rete pubblicitaria. Così facendo, il browser dell’utente trasmetterà il suo indirizzo IP al fornitore di rete pubblicitaria, il quale provvederà a inviare il cookie e la pubblicità personalizzata. In questo contesto è importante osservare che gli editori non trasferiscono l’indirizzo IP del visitatore al fornitore di rete pubblicitaria. È il browser del visitatore che automaticamente trasferisce queste informazioni al fornitore di rete pubblicitaria. Tuttavia, ciò avviene solamente perché l’editore ha predisposto il proprio sito web in modo tale che il visitatore del sito sia automaticamente rediretto al sito web del fornitore di rete pubblicitaria. In altre parole, l’editore determina il trasferimento dell’indirizzo IP, primo passo necessario per il successivo trattamento da parte del fornitore di rete pubblicitaria al fine di trasmettere messaggi pubblicitari mirati. Perciò, anche se tecnicamente il trasferimento di dati dell’indirizzo IP è effettuato dal browser della persona che visita il sito web dell’editore, non è la persona a determinare tale trasferimento. Quest'ultima intendeva soltanto visitare il sito web dell’editore, e non quello del fornitore di rete pubblicitaria. Allo stato attuale questa situazione è assai comune.

Alla luce di tali premesse, il Gruppo di lavoro articolo 29 ritiene che gli editori siano in una certa misura responsabili del trattamento dei dati, ai sensi della normativa nazionale di attuazione della direttiva 95/46/CE e/o di altre disposizioni nazionali²⁹. Tale responsabilità non copre tutte le attività di trattamento necessarie ai fini della pubblicità comportamentale, come, per esempio, il trattamento effettuato dal fornitore di rete pubblicitaria consistente nella creazione di profili che vengono poi utilizzati per diffondere messaggi pubblicitari personalizzati. Tuttavia, la responsabilità degli editori interessa la prima fase, cioè la parte iniziale del trattamento dei dati, ossia il trasferimento dell’indirizzo IP quando le persone visitano i loro siti web. Gli editori infatti agevolano il trasferimento e contribuiscono a determinare le finalità per cui viene effettuato, ossia inviare ai visitatori pubblicità personalizzata. In sintesi, per questi motivi, gli editori hanno una parte di responsabilità in quanto responsabili del trattamento per tali azioni. Detta responsabilità non può tuttavia imporre il rispetto della maggior parte degli obblighi previsti dalle direttive.

Al riguardo, è necessario interpretare il quadro giuridico in modo flessibile, applicando solo le disposizioni pertinenti. Gli editori non conservano informazioni personali; pertanto, l’applicazione di alcuni obblighi della direttiva, quale il diritto di accesso, non avrebbe alcun senso. Tuttavia, come si spiegherà in seguito, l’obbligo di informare le persone del trattamento dei dati è pienamente applicabile agli editori.

Inoltre, come precisato nel parere del Gruppo di lavoro articolo 29 citato in precedenza, gli editori sono corresponsabili del trattamento se raccolgono e trasmettono al fornitore di rete pubblicitaria dati personali riguardanti i visitatori, come nome, indirizzo, età, ubicazione, ecc. Fintantoché gli editori agiscono quali responsabili del trattamento, essi sono tenuti a rispettare gli obblighi derivanti dalla direttiva 95/46/CE in merito alla parte del trattamento dei dati sotto il loro controllo. Al riguardo, assieme ai fornitori di reti pubblicitarie, gli editori “devono assicurare che la complessità e le peculiarità tecniche del sistema di pubblicità comportamentale non impediscano loro di trovare adeguate modalità di adempimento dei loro obblighi e di garantire i diritti degli interessati”³⁰.

In sintesi, gli editori devono essere consapevoli del fatto che, sottoscrivendo un contratto con i fornitori di reti pubblicitarie secondo il quale i dati personali dei visitatori sono messi a disposizione dei fornitori di reti pubblicitarie, essi assumono parte della responsabilità nei confronti dei loro visitatori. La portata della loro responsabilità e la misura in cui essi diventano responsabili del trattamento devono essere esaminati caso per caso a seconda delle specifiche condizioni del rapporto di collaborazione con i fornitori di reti pubblicitarie stabilite nel contratto di servizio. Di conseguenza, i contratti di servizio tra editori e fornitori di reti pubblicitarie dovrebbero fissare i ruoli e le responsabilità di entrambe le parti in considerazione della loro collaborazione, quale definita nel contratto.

Inserzionisti:

Quando un interessato clicca su un messaggio pubblicitario e visita il sito web dell’inserzionista, quest’ultimo può rintracciare la campagna pubblicitaria che ha indotto la persona a cliccare sulla pubblicità. Se l’inserzionista ricava le informazioni di targeting (per esempio, determinati dati demografici, quali “giovani madri”, o un gruppo di interesse come “fan degli sport estremi”) e combina queste informazioni con il comportamento di navigazione dell'interessato all’interno del sito o con i dati forniti all’atto della registrazione, l’inserzionista è un responsabile del trattamento indipendente per quanto riguarda questa parte del trattamento dei dati.

Il presente parere si concentra sulle operazioni di trattamento dei dati effettuate dal fornitore di rete pubblicitaria e dall’editore ai fini della trasmissione di pubblicità mirata, senza pronunciarsi sulle eventuali ulteriori operazioni di trattamento che possono essere eseguite dagli inserzionisti.

La norma generale di cui all’articolo 5, paragrafo 3, prima frase, impone agli Stati membri di assicurare: “che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento”. Questo articolo è stato modificato nel 2009 a seguito della modifica della direttiva e-privacy. Le modifiche apportate chiariscono e ribadiscono la necessità del previo consenso informato dell’utente³¹.

Il Gruppo di lavoro articolo 29 ritiene che l’analisi giuridica di seguito effettuata sia pertinente e valida sia per la versione attuale sia per la versione modificata dell’articolo 5, paragrafo 3.

La sezione successiva analizza varie modalità per soddisfare i requisiti di cui all’articolo 5, paragrafo 3. Dopo la discussione sul consenso, seguono ulteriori orientamenti sull’obbligo di informazione.

Ai sensi dell’articolo 5, paragrafo 3, il fornitore di rete pubblicitaria che intende archiviare o accedere a informazioni archiviate nell’apparecchiatura terminale di un utente può farlo a condizione che: i) abbia informato l’utente in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento, e ii) abbia ottenuto il consenso dell’utente all’archiviazione o all’accesso a informazioni contenute nella sua apparecchiatura terminale, dopo aver fornito le informazioni di cui al punto i).

Dalla lettera dell’articolo 5, paragrafo 3, risulta che: i) il consenso, che di norma è denominato “previo consenso”, deve essere ottenuto prima del collocamento del cookie e/o della raccolta delle informazioni archiviate nell’apparecchiatura terminale dell’utente, e ii) il consenso informato può essere ottenuto soltanto se all’utente sono state fornite informazioni preventive circa l’invio e le finalità del cookie. In questo contesto è importante considerare che, affinché il consenso sia valido indipendentemente dalle circostanze in cui è stato espresso, esso deve essere libero, specifico e costituire una manifestazione informata di volontà dell'interessato. Il consenso deve essere ottenuto prima che si proceda alla raccolta dei dati personali, in modo che gli interessati siano pienamente consapevoli del fatto che stanno esprimendo un consenso e dell’oggetto del medesimo. Inoltre, il consenso deve poter essere revocato.

Le sottosezioni successive analizzano se il consenso espresso mediante le impostazioni del browser e le opzioni di “opt-out” offerte dai fornitori di reti pubblicitarie soddisfano o meno i requisiti di cui all’articolo 5, paragrafo 3.

Gli editori e i fornitori di reti pubblicitarie che si occupano di pubblicità comportamentale collocano tracking cookie nell’apparecchiatura terminale dell'interessato quando questi accede a un sito web che fa parte della rete pubblicitaria, salvo che il browser dell’utente sia impostato in modo tale da respingere i cookie. In pratica, una volta che il cookie è collocato e l'interessato visualizza la pagina web in cui il messaggio pubblicitario è stato trasmesso, l'interessato viene messo in grado di ottenere informazioni sui cookie e sul modo in cui impostare il browser per controllarli. Tali informazioni sono fornite dagli editori e dai fornitori di reti pubblicitarie. Di norma questi responsabili del trattamento offrono informazioni sui cookie di terzi utilizzati ai fini della pubblicità comportamentale nelle loro condizioni generali e/o nell'informativa sulla privacy. Tali informazioni possono comprendere gli usi/scopi fondamentali dei cookie e il modo in cui evitarli mediante le impostazioni del browser. Tuttavia, tale pratica non soddisfa i requisiti di cui all’articolo 5, paragrafo 3, specie nella sua versione modificata, che sottolinea la necessità di offrire informazioni preliminari e di ottenere il previo consenso (prima dell’avvio del trattamento).

Il considerando 66 della direttiva 2009/136/CE che modifica la direttiva e-privacy precisa che il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca (browser) o di un’altra applicazione “qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE”. Tale disposizione, più che costituire una deroga all’articolo 5, paragrafo 3, ricorda piuttosto che in questo ambiente tecnologico il consenso può essere espresso in modalità diverse, qualora ciò si riveli tecnicamente fattibile ed efficace e sia conforme agli altri requisiti pertinenti per un valido consenso. In questo contesto, è importante determinare le condizioni alle quali le impostazioni del browser soddisfano i requisiti di cui alla direttiva 95/46/CE e costituiscono pertanto un valido consenso “conformemente alla direttiva 95/46/CE”. Il Gruppo di lavoro articolo 29 ritiene che ciò si verifichi in circostanze molto limitate per i motivi di seguito esposti.

In primo luogo, sulla base della definizione e dei requisiti per un valido consenso di cui all’articolo 2, lettera h), della direttiva 95/46/CE, in generale non si può ritenere che l'interessato abbia espresso il proprio consenso semplicemente perché ha acquisito/usato un browser o un’altra applicazione che di default consente la raccolta e il trattamento dei dati.

L'interessato medio non è consapevole del tracciamento del suo comportamento in rete né conosce le finalità del tracciamento, ecc. Non sempre è a conoscenza del modo in cui usare le impostazioni del browser per respingere i cookie, sebbene tali informazioni siano contenute nell'informativa sulla privacy. È erroneo ritenere che l’inattività dell'interessato (ovvero il fatto che questi non provveda a impostare il browser per respingere i cookie) fornisca una manifestazione chiara e univoca delle sue intenzioni. Come sottolineato dal Gruppo di lavoro articolo 29 nel richiamato parere 1/2008, “la responsabilità in relazione a questo trattamento [dei cookie] non può ridursi alla responsabilità dell’utente che prende o non prende precise precauzioni a livello dei parametri del browser”. Attualmente, soltanto uno dei quattro maggiori browser blocca di default i cookie di terzi dal momento della sua installazione. Gli altri tre, invece, accettano tutti i cookie come impostazione di default. In questi casi, si procede all’invio dei cookie e alla raccolta delle informazioni prima dell’ottenimento del consenso, in contrasto, quindi, con la necessità del previo consenso³².

In secondo luogo, affinché le impostazioni del browser siano idonee a trasmettere un consenso informato, non si dovrebbe poter eludere la scelta effettuata dall’utente all’atto dell’impostazione del browser. Tuttavia, nella prassi accade che i cookie eliminati possano essere facilmente recuperati (fenomeno del “respawning”) dai cosiddetti “flash cookie”, che consentono ai fornitori di reti pubblicitarie di continuare a monitorare l’utente. La disponibilità e il crescente utilizzo di questa tecnologia mettono in discussione l'idoneità delle impostazioni del browser a trasmettere un consenso informato, valido ed efficace. Infine, il consenso a ricevere cookie in massa, espresso mediante le impostazioni del browser, implica che l'utente accetti qualsiasi trattamento futuro, eventualmente senza conoscere le finalità o gli usi dei cookie. Il consenso in massa a qualsiasi trattamento futuro senza conoscere le circostanze del trattamento non può essere considerato un consenso valido ³³.

Pertanto, affinché i browser o qualsiasi altra applicazione siano idonei a “trasmettere” un consenso valido, è necessario risolvere questi problemi. In termini pratici, ciò significa che:

a) i browser o le altre applicazioni che di default respingono i cookie di terzi e che impongono all’interessato di compiere un’azione positiva per accettare l’impostazione e la continua trasmissione di informazioni contenute nei cookie da parte di determinati siti web sono idonei a trasmettere un consenso valido ed efficace. Per contro, se il browser è stato precedentemente impostato in modo tale da accettare tutti i cookie, il consenso non sarà conforme all’articolo 5, paragrafo 3, in quanto, in generale, esso non può costituire una vera manifestazione di volontà dell'interessato. Tale consenso non sarebbe né specifico né preliminare (al trattamento). Pur ammettendo che l'interessato possa aver deciso di mantenere le impostazioni di accettazione di tutti i cookie di terzi, i fornitori di reti pubblicitarie non possono realisticamente ritenere che la maggior parte degli interessati i cui browser sono impostati in modo da accettare i cookie abbia effettivamente esercitato questa scelta;

b) i browser, assieme o combinati con altri strumenti di informazione, compresa la collaborazione tra fornitori di reti pubblicitarie ed editori, dovrebbero trasmettere informazioni chiare, complete e interamente visibili per garantire che il consenso sia pienamente informato. Al fine di soddisfare i requisiti di cui alla direttiva 95/46/CE, i browser dovrebbero trasmettere, a nome del fornitore di rete pubblicitaria, informazioni pertinenti circa le finalità dei cookie e l’ulteriore trattamento. Pertanto, avvisi generici senza espliciti riferimenti alla rete pubblicitaria responsabile del collocamento del cookie non sono soddisfacenti.

Il Gruppo di lavoro articolo 29 ritiene che, a meno che i suddetti requisiti siano soddisfatti, il fornire informazioni e, in una certa misura, il facilitare l’utente ad avvalersi della possibilità di respingere i cookie (spiegandogli il modo in cui procedere) non possono essere considerati, in genere, “consenso informato” ai sensi dell’articolo 5, paragrafo 3, della direttiva e-privacy, e dell’articolo 2, lettera h), della direttiva 95/46/CE.

Considerata l'importanza delle impostazioni del browser nel garantire che gli interessati esprimano in modo efficace il proprio consenso all’archiviazione di cookie e al trattamento dei loro dati, è di estrema importanza che i browser siano dotati di impostazioni di default a tutela della privacy o, in altre parole, che siano provvisti dell’impostazione di “non accettazione e non trasmissione di cookie di terzi”. A integrazione di ciò e ai fini di una maggiore efficacia, i browser dovrebbero richiedere all’utente di seguire una procedura guidata relativa alla privacy alla prima installazione o al momento dell’aggiornamento e prevedere un modo semplice per esercitare la scelta durante l’uso. Il Gruppo di lavoro articolo 29 invita i produttori di browser ad adottare provvedimenti urgenti e a coordinarsi con i fornitori di reti pubblicitarie.

Sempre più frequentemente i fornitori di reti pubblicitarie offrono meccanismi di “opt-out” che consentono agli utenti di opporsi alla ricezione di pubblicità mirata³⁴. Per attivare questo meccanismo l'interessato deve andare sul sito web del fornitore o dei fornitori di reti pubblicitarie e indicare che non vuole essere tracciato ai fini della pubblicità mirata. Tali meccanismi intendono integrare e, in certa misura, risolvere i problemi sopra descritti in merito al consenso espresso mediante le impostazioni del browser.

Questi meccanismi di “opt-out” basati sui cookie, oltre a essere visti con favore, devono essere incoraggiati in quanto semplificano le possibilità tecniche attualmente offerte all'interessato per rifiutare la pubblicità. In linea di principio, tuttavia, questi meccanismi di “opt-out” non trasmettono il consenso dell'interessato. Soltanto in casi singoli e assai specifici si potrebbe parlare di consenso implicito, come quando un utente avanzato che conosce la pratica della pubblicità comportamentale e sa di poterla rifiutare sceglie volontariamente di non farlo (specialmente se ciò accade prima dell’invio di un cookie). Tuttavia, questo meccanismo non è adeguato al fine di ottenere il consenso informato dell’utente medio. I motivi sono analoghi a quelli indicati nel contesto delle impostazioni del browser, e precisamente:

In primo luogo, gli utenti generalmente non dispongono di conoscenze di base circa la raccolta di dati, l'uso dei dati, il funzionamento della tecnologia e, soprattutto, le modalità per esprimere il dissenso (“opt-out”). Di conseguenza, in pratica, sono pochissime le persone che esercitano l’opzione di “opt-out”, e questo non perché hanno preso la decisione informata di accettare la pubblicità comportamentale, bensì perché non si rendono conto che il mancato ricorso all’“opt-out” di fatto comporta un’accettazione.

In secondo luogo, il consenso implica la partecipazione attiva dell'interessato prima della raccolta e del trattamento dei dati. Il meccanismo di “opt-out” spesso fa riferimento a una mancata reazione dell'interessato dopo l'inizio del trattamento. Inoltre, il meccanismo di “optout” non presuppone alcuna partecipazione attiva; semplicemente l’intenzione dell'interessato è presunta o implicita. In questo modo non si soddisfano i requisiti per un consenso giuridicamente valido.

Alla luce di quanto precede, il Gruppo di lavoro articolo 29 ritiene che i meccanismi di “optout” basati sui cookie non forniscano all’utente medio strumenti efficaci per esprimere il consenso a ricevere pubblicità comportamentale. In questo senso, essi non soddisfano i requisiti di cui all’articolo 5, paragrafo 3.

Il Gruppo di lavoro articolo 29 ritiene che i meccanismi di “opt-in” preliminare, che richiedono un’azione positiva dell'interessato per esprimere il consenso prima dell'invio del cookie, siano maggiormente in linea con l’articolo 5, paragrafo 3. Facendo riferimento al consenso quale base giuridica del trattamento, il Gruppo di lavoro articolo 29 ha recentemente confermato tale opinione: “Gli sviluppi tecnologici invitano inoltre a un esame attento del consenso. In pratica, l’articolo 7 della direttiva 95/46/CE non è sempre applicato correttamente, specie nel contesto di Internet, in cui un consenso implicito non sempre comporta un consenso inequivocabile (come richiesto dall’articolo 7, lettera a), della direttiva). Per permettere agli interessati di esprimersi chiaramente ex ante, prima cioè che avvenga il trattamento dei dati personali da parte di terzi, è necessario un consenso esplicito (quindi, un “opt-in”) per tutte le operazioni di trattamento basate sul consenso”.³⁵

In un precedente parere su questo argomento, il Gruppo di lavoro articolo 29³⁶ raccomandava l’uso di messaggi specifici: “Nel caso di cookies […] l’utente dovrà essere informato quando un cookie dovrebbe essere ricevuto, memorizzato o spedito […]. Il messaggio dovrebbe specificare, in un linguaggio generalmente comprensibile, quali informazioni si intendono memorizzare nel cookie, ed a quale fine, nonché il periodo di validità del cookie stesso”.

Dopo aver ricevuto tali informazioni, l'interessato dovrebbe avere la possibilità di precisare se vuole che si crei o meno un suo profilo per scopi di pubblicità comportamentale.

Il Gruppo di lavoro articolo 29 è consapevole dei problemi pratici attualmente connessi all’ottenimento del consenso, specie se il consenso è necessario ogniqualvolta un cookie sia letto ai fini della trasmissione di pubblicità mirata. Per evitare questo problema, in conformità al considerando 25 della direttiva e-privacy (“[L’offerta] del diritto di opporsi [ai cookie] può essere fornita una sola volta per l’uso dei vari dispositivi da installare sull'attrezzatura terminale dell’utente […] durante successive connessioni”), l’accettazione di un cookie da parte dell'utente potrebbe essere considerata valida non solo per l'invio del cookie, ma anche per la successiva raccolta dei dati generati dal cookie. In altre parole, il consenso al collocamento del cookie e all’utilizzo di informazioni ai fini della trasmissione di pubblicità mirata si estenderebbe alle “letture” successive del cookie ogniqualvolta l’utente visiti un sito web partner del fornitore di rete pubblicitaria che ha provveduto inizialmente al collocamento del cookie.

Tuttavia, se si considera che i) questa pratica significherebbe che le persone accettano di essere monitorate “una volta per tutte” e che ii) le persone potrebbero semplicemente “dimenticare”, per esempio, di avere acconsentito al monitoraggio un anno prima, il Gruppo di lavoro articolo 29 ritiene che si dovrebbero introdurre alcune garanzie. In particolare, il Gruppo propone tre misure:

In primo luogo, limitare la portata temporale del consenso. Il consenso a essere monitorati non dovrebbe essere valido “una volta per tutte”, ma solo per un periodo di tempo limitato, per esempio un anno. Dopodiché i fornitori di reti pubblicitarie dovrebbero ottenere un nuovo consenso. Ciò sarebbe possibile se i cookie, dopo essere stati collocati nell’apparecchiatura terminale dell’utente, avessero una durata limitata (e la data di scadenza non potesse essere prorogata).

In secondo luogo, ridurre ulteriormente i rischi sopra illustrati mediante ulteriori misure di informazione, approfondite di seguito alla sezione 4.2.1.

In terzo luogo, permettere di revocare in qualsiasi momento il consenso liberamente prestato.

Gli interessati dovrebbero avere la possibilità di revocare con facilità il consenso a essere monitorati ai fini della pubblicità comportamentale. A tale proposito, è fondamentale fornire informazioni chiare su questa possibilità e sul modo in cui esercitarla (cfr. sezione 4.2).

Il Gruppo di lavoro articolo 29 invita l'industria della pubblicità ad adottare le misure sopra descritte o altre misure alternative che prevedano una previa azione positiva degli utenti finalizzata all’accettazione i) dell’archiviazione dei cookie e ii) dell’utilizzo dei cookie per il tracciamento durante la navigazione in rete ai fini della trasmissione di pubblicità comportamentale. Tali metodi possono includere anche la progettazione di browser e della tecnologia di browser.

Nel parere 2/2009 il Gruppo di lavoro articolo 29 si è occupato della protezione dei dati personali dei minori ³⁷ , approfondendo ulteriormente le problematiche connesse all’ottenimento del consenso informato con riferimento ai minori. Accanto ai requisiti descritti sopra (e di seguito) per la validità del consenso, in alcuni casi è necessario che i genitori o le altre persone che li rappresentano legalmente esprimano il consenso per conto dei minori. Nella fattispecie ciò significa che i fornitori di reti pubblicitarie dovrebbero informare i genitori della raccolta e dell’uso dei dati dei minori e ottenere il loro consenso prima di procedere alla raccolta e all’ulteriore utilizzo dei dati ai fini del targeting comportamentale di minori³⁸.

A fronte di ciò e in considerazione altresì della vulnerabilità dei minori, il Gruppo di lavoro articolo 29 ritiene che i fornitori di reti pubblicitarie non dovrebbero offrire categorie di interesse volte a trasmettere pubblicità comportamentale o a influenzare i minori.

La trasparenza è essenziale per permettere alle persone di esprimere il consenso alla raccolta e all’ulteriore trattamento dei dati che le riguardano. Come illustrato in precedenza, nel contesto della pubblicità comportamentale può accadere che gli utenti non conoscano o non comprendano la tecnologia a supporto della pubblicità comportamentale o persino che non sappiano di essere i destinatari specifici di tali tipologie di pubblicità. Pertanto, è di fondamentale importanza assicurare che siano fornite informazioni sufficienti ed efficaci che raggiungano gli utenti di Internet. Gli interessati potranno effettuare una scelta solo se sono informati.

L’articolo 5, paragrafo 3, stabilisce che l’utente deve essere informato “a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento”. L’articolo 10 della direttiva 95/46/CE disciplina la fornitura di queste informazioni³⁹.

Nell’ambito della pubblicità comportamentale, gli interessati devono essere informati, tra l’altro, sull’identità del fornitore di rete pubblicitaria e sulle finalità del trattamento.

L'interessato deve essere informato in modo chiaro riguardo al fatto che il cookie consentirà al fornitore di pubblicità di raccogliere informazioni sulle visite ad altri siti web, sui messaggi pubblicitari proposti, su quelli cliccati, sui tempi di visualizzazione ecc.

Dovrebbe inoltre essere fornita una semplice spiegazione sugli usi del cookie per creare profili ai fini della pubblicità mirata. Il considerando 25 della direttiva e-privacy prevede che le informazioni debbano essere fornite in modo “chiaro e completo”, per cui affermazioni del tipo “inserzionisti e parti terze possono inoltre utilizzare i propri cookie o action tag” sono evidentemente insufficienti.

Per quanto riguarda le modalità di comunicazione delle informazioni, il considerando 25 raccomanda che siano “il più possibile chiare e comprensibili”. Il Gruppo di lavoro articolo 29 ritiene che il modo più efficace per soddisfare questo principio sia comunicare un minimo di informazioni direttamente sullo schermo, in modo interattivo, facilmente visibile e comprensibile⁴⁰. È importante che le informazioni siano facilmente accessibili e ben visibili.

Tali informazioni essenziali non possono quindi essere nascoste nelle condizioni generali e/o nell'informativa sulla privacy.

Il Gruppo di lavoro articolo 29 riconosce che tecnicamente possono esistere modi diversi per fornire informazioni e fa appello alla creatività in questo settore. È a conoscenza del fatto che alcuni fornitori di reti pubblicitarie hanno iniziato a elaborare nuovi metodi per fornire informazioni e si compiace di questi sviluppi. Le icone posizionate attorno ai messaggi pubblicitari sul sito web dell’editore con collegamenti a ulteriori informazioni sono un esempio degli sviluppi che il Gruppo di lavoro giudica tanto positivi quanto necessari.

Tenuto conto della possibilità, illustrata alla sezione 4.1.3, che le persone, accettando il monitoraggio una volta, autorizzino anche le letture successive del cookie, il Gruppo di lavoro articolo 29 ritiene fondamentale che i fornitori di reti pubblicitarie elaborino modalità per informare periodicamente le persone del monitoraggio in corso. Se non vengono inviati avvisi chiari e inequivocabili, con mezzi semplici, per ricordare il monitoraggio in corso, è probabile che dopo un certo periodo di tempo gli interessati dimentichino di essere monitorati e di avervi acconsentito. A tale proposito, il Gruppo di lavoro articolo 29 è favorevole alla creazione di un simbolo e di messaggi associati che avvisino i consumatori del fatto che un fornitore di reti pubblicitarie sta monitorando il loro comportamento di navigazione al fine di trasmettere pubblicità mirata. Questo simbolo sarebbe di grande utilità non solo per ricordare alle persone che il monitoraggio è in corso, ma anche per verificare se intendono continuare a essere monitorate o se desiderano revocare il consenso.

Un’altra questione pertinente è stabilire chi dovrebbe fornire le informazioni: l’editore, il fornitore di reti pubblicitarie o entrambi? L'obiettivo è fornire agli interessati informazioni facilmente accessibili e ben visibili. Come illustrato più avanti, a tal fine è essenziale la cooperazione tra fornitori di reti pubblicitarie ed editori.

Il Gruppo di lavoro articolo 29 osserva che, ai sensi dell’articolo 5, paragrafo 3, della direttiva e-privacy, l’obbligo di fornire le informazioni necessarie e di ottenere il consenso degli interessati incombe in ultima analisi all’entità che invia e legge il cookie, vale a dire, nella maggior parte dei casi, al fornitore di rete pubblicitaria. Quando gli editori sono corresponsabili del trattamento, per esempio nei casi in cui trasferiscono direttamente le informazioni identificabili ai fornitori di reti pubblicitarie, anch’essi sono soggetti all’obbligo di fornire agli interessati informazioni sul trattamento dei dati.

Inoltre, come anticipato alla sezione 3.3, gli editori condividono con i fornitori di reti pubblicitarie parte della responsabilità per il trattamento che viene effettuato nel contesto della trasmissione di pubblicità comportamentale. Nello specifico, detta responsabilità interessa la prima fase del trattamento, ossia il trasferimento dell'indirizzo IP ai fornitori di reti pubblicitarie, che avviene quando gli interessati visitano i loro siti web e sono reindirizzati al sito web del fornitore di rete pubblicitaria.

A fronte di questa responsabilità, gli editori hanno determinati obblighi verso gli interessati, derivanti principalmente dalla direttiva 95/46/CE⁴¹. In particolare, il Gruppo di lavoro articolo 29 ritiene che gli editori abbiano l’obbligo di fornire agli interessati informazioni sul trattamento dei dati conseguente al reindirizzamento del loro browser e sulle finalità del successivo utilizzo dei dati da parte dei fornitori di reti pubblicitarie. Tali informazioni devono riferirsi non solo al trasferimento dell’indirizzo IP a fini pubblicitari, ma anche all’ulteriore trattamento dei dati effettuato dai fornitori di reti pubblicitarie, compresa la collocazione di cookie.

Naturalmente, il Gruppo di lavoro articolo 29 non intende affermare che le informazioni devono essere fornite due volte (la prima volta dal fornitore di rete pubblicitaria e la seconda dall’editore). Esso ritiene che, in questo settore, è evidente la necessità di una collaborazione tra fornitori di reti pubblicitarie ed editori affinché le due parti decidano chi deve fornire le informazioni e in quale modo. Il Gruppo, pertanto, invita i fornitori di reti pubblicitarie e gli editori a impegnarsi a fondo per offrire le informazioni nel modo più efficace e garantire il massimo livello di consapevolezza tra gli utenti di Internet sul funzionamento della pubblicità comportamentale in ogni situazione specifica. La necessità di questa interazione è ancor più evidente se si tiene conto del fatto che i fornitori di reti pubblicitarie sono, in linea di principio, invisibili agli occhi degli interessati. Gli utenti, infatti, interagiscono con il sito web che visitano, ossia con il sito dell’editore. Per questo motivo, nell’ottica dell'utente, è più intuitivo ricevere comunicazioni dal sito web dell’editore. Ciò può avvenire in modi diversi: l’editore, per esempio, può prevedere sul suo sito uno spazio in cui i fornitori di reti pubblicitarie possono posizionare le informazioni richieste.

Le autorità di protezione dei dati, nell’esercizio delle loro funzioni, prenderanno in considerazione adeguate misure per far conoscere agli utenti queste pratiche e i loro diritti.

Oltre all’articolo 5, paragrafo 3, i responsabili del trattamento dei dati devono assicurare il rispetto di tutti gli obblighi derivanti dalla direttiva 95/46/CE che non siano già previsti dal suddetto articolo. In particolare:

I dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati relativi alla salute e alla vita sessuale sono considerati sensibili ai sensi dell’articolo 8 della direttiva 95/46/CE. Il Gruppo di lavoro articolo 29 ritiene che l'uso di questo tipo di informazioni ai fini della pubblicità comportamentale comporta gravi rischi per la riservatezza dei dati personali. Il targeting degli interessati sulla base di informazioni sensibili può costituire un abuso. Inoltre, dato il carattere sensibile di tali informazioni e considerate le situazioni imbarazzanti che si possono verificare qualora gli interessati ricevano messaggi pubblicitari che rivelano, per esempio, le loro preferenze sessuali o l’attività politica, è opportuno scoraggiare l’offerta/l’utilizzo di categorie di interesse che rivelano dati sensibili.

Se, ciò nonostante, i fornitori di reti pubblicitarie offrono e utilizzano categorie di interesse che rivelano informazioni sensibili, devono rispettare le disposizioni di cui all’articolo 8 della direttiva 95/46/CE. Per esempio, se un fornitore di rete pubblicitaria procede al trattamento del comportamento di una persona al fine di “collocarla” in una categoria di interesse che indica una particolare preferenza sessuale, effettua un trattamento di dati sensibili ai sensi dell’articolo 8 della direttiva 95/46/CE. Questo articolo vieta il trattamento di dati sensibili, salvo in determinate circostanze specifiche. In questo contesto, l’unica base giuridica che potrebbe giustificare il trattamento di tali dati sarebbe il previo consenso esplicito e distinto (“opt-in”) dell’interessato, ai sensi dell’articolo 8, paragrafo 2, lettera a). L'esigenza di una manifestazione specifica, positiva e preventiva del consenso dell'interessato implica che un meccanismo di consenso “opt-out” non sarebbe in alcun caso conforme ai requisiti di legge, e che il consenso non potrebbe essere ottenuto attraverso l’impostazione delle preferenze del browser. Per raccogliere e trattare lecitamente questo tipo di informazioni, i fornitori di reti pubblicitarie dovrebbero predisporre meccanismi atti a ottenere il previo consenso esplicito, distinto da quello per il trattamento dei dati in generale.

L’articolo 6 della direttiva 95/46/CE elenca vari principi che devono essere rispettati dal responsabile del trattamento. In questo contesto, rivestono particolare importanza i punti di seguito illustrati.

Il Gruppo di lavoro articolo 29 è consapevole del fatto che i profili raccolti e utilizzati per la pubblicità comportamentale potrebbero potenzialmente essere usati per scopi diversi da quelli pubblicitari, per esempio, per lo sviluppo di nuovi servizi la cui natura è ancora da determinare.

Questa possibilità è tuttavia subordinata al rispetto dell’articolo 6, paragrafo 1, lettera b), che stabilisce il principio di limitazione delle finalità. Tale principio vieta qualunque trattamento dei dati personali incompatibile con le finalità che hanno legittimato la raccolta iniziale dei dati. In altre parole, un utilizzo secondario e incompatibile delle informazioni raccolte e archiviate ai fini della pubblicità comportamentale sarebbe contrario all’articolo 6, lettera b), della direttiva 95/46/CE. Per esempio, se le reti pubblicitarie fanno parte di un gruppo di società che fornisce molteplici servizi, in linea di principio esse non possono usare i dati raccolti ai fini della pubblicità comportamentale per altri servizi (salvo che possa essere dimostrato che le finalità sono compatibili). Per le stesse ragioni, le reti pubblicitarie non possono arricchire con altre informazioni i dati raccolti ai fini della pubblicità comportamentale.

Se i fornitori di reti pubblicitarie intendono usare informazioni raccolte ai fini della pubblicità comportamentale per finalità secondarie e incompatibili, per esempio per più servizi, devono invocare altre basi giuridiche a norma dell’articolo 7 della direttiva 95/46/CE. Pertanto, dovranno informare gli interessati e, nella maggior parte dei casi, ottenerne il consenso ai sensi dell’articolo 7, lettera a).

L’articolo 6, paragrafo 1, lettera e), dispone che i dati siano cancellati quando non sono più necessari per la finalità per cui sono stati raccolti (principio della conservazione). Il rispetto di questo principio impone di limitare temporalmente l’archiviazione delle informazioni. Di conseguenza, le società devono indicare e rispettare i periodi di conservazione dei dati.

A fronte di ciò, le informazioni sul comportamento degli utenti devono essere eliminate se non sono più necessarie all’elaborazione di un profilo. Periodi di conservazione indefiniti o eccessivamente lunghi contrastano con l’articolo 6, paragrafo 1, lettera e), della direttiva. Il Gruppo di lavoro articolo 29 ha osservato che i periodi di conservazione dei dati dei principali fornitori di reti pubblicitarie sono di durata diversa; alcune società propendono per un periodo indefinito e altre limitano tale periodo a tre mesi.

Pertanto, il Gruppo di lavoro articolo 29 invita i fornitori di reti pubblicitarie ad attuare politiche che garantiscano che le informazioni raccolte a ogni lettura del cookie siano cancellate o rese anonime non appena venga meno la necessità di conservarle. Ciascun responsabile del trattamento deve essere in grado di giustificare la necessità di un determinato periodo di conservazione. Il Gruppo di lavoro articolo 29 invita pertanto i fornitori di reti pubblicitarie a indicare i motivi che giustificano il periodo di conservazione che ritengono necessario alla luce delle finalità perseguite dal trattamento dei dati.

Se una persona chiede la cancellazione del proprio profilo o esercita il diritto di revocare il consenso, il fornitore di rete pubblicitaria è tenuto a cancellare o eliminare immediatamente le informazioni relative all'interessato, in quanto viene meno la base giuridica necessaria (ossia il consenso) che autorizza il trattamento.

I responsabili del trattamento devono consentire all'interessato di esercitare i diritti di accesso, rettifica, cancellazione e opposizione previsti dagli articoli 12 e 14 della direttiva sulla protezione dei dati.

Il Gruppo di lavoro articolo 29 è a conoscenza delle iniziative dei fornitori di reti pubblicitarie volte a consentire l'accesso dell'interessato alle categorie di interesse a cui è stato associato sulla base del numero identificativo del cookie⁴². Questi nuovi strumenti permettono agli utenti non solo di accedere alle categorie di interesse a essi connesse, ma anche di modificarle e cancellarle.

Il Gruppo di lavoro articolo 29 accoglie con favore queste iniziative che contribuiscono a rendere effettivo il diritto degli interessati di accedere agevolmente ai propri dati personali e di modificarli. Inoltre, il Gruppo sollecita i fornitori di reti pubblicitarie ad attuare procedure finalizzate a informare le persone su questi strumenti e a renderli il più possibile visibili per gli interessati, affinché l'utente medio sia effettivamente in grado di usarli.

L’articolo 17 della direttiva impone al responsabile e all'incaricato del trattamento l’obbligo di attuare misure tecniche e organizzative per garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla diffusione e da qualsiasi altra forma illecita di trattamento. Il rispetto degli obblighi in materia di sicurezza richiede che i fornitori di reti pubblicitarie attuino misure tecniche e organizzative all'avanguardia per garantire la sicurezza e la riservatezza delle informazioni.

A norma dell’articolo 18 della direttiva 95/46/CE, il responsabile del trattamento può essere tenuto a notificare il trattamento dei dati personali alle autorità di controllo, salvo che sia prevista una deroga. Di conseguenza, se richiesto dalla legislazione nazionale, i fornitori di reti pubblicitarie devono notificare il trattamento dei dati. Inoltre, in caso di trasferimento dei dati al di fuori dell’UE (per esempio, a server situati in paesi terzi) i fornitori di reti pubblicitarie devono garantire il rispetto delle disposizioni relative al trasferimento di dati personali verso paesi terzi (articoli 25 e 26 della direttiva 95/46/CE).

Le tecniche utilizzate dalla pubblicità comportamentale consentono agli inserzionisti, principalmente fornitori di pubblicità, di tracciare le persone durante la navigazione in rete, di creare profili e di usarli per trasmettere agli utenti messaggi pubblicitari personalizzati. Nella maggior parte dei casi tutto ciò avviene all'insaputa degli interessati.

Il Gruppo di lavoro articolo 29 nutre grande preoccupazione per le conseguenze che questa pratica sempre più diffusa può avere sulla protezione dei dati e della vita privata. Sebbene la legislazione in materia di protezione dei dati imponga, tra l'altro, di ottenere il consenso informato dell'interessato per ricorrere a questa pratica, nella realtà dei fatti pare molto dubbio che l’utente medio sia consapevole di essere monitorato ai fini della trasmissione di pubblicità mirata, e, ancor più, che abbia espresso il proprio consenso.

I metodi finora adottati dall'industria per fornire informazioni e consentire alle persone di decidere se accettare o meno il monitoraggio non hanno funzionato. Le informazioni fornite nelle condizioni generali e/o nell'informativa sulla privacy, spesso redatte in modo poco chiaro, non sono conformi ai requisiti della normativa sulla protezione dei dati. In alcuni Stati membri l'industria si è impegnata a integrare le norme vigenti con disposizioni di autoregolamentazione. Questi sforzi sono apprezzati in quanto attuano i principi generali contenuti nel quadro normativo. Tuttavia, il Gruppo di lavoro articolo 29 ritiene che vi sia ancora molta strada da fare. Il settore deve impegnarsi maggiormente per rispettare le norme applicabili rafforzate.

Con il presente parere, il Gruppo di lavoro articolo 29 intende aiutare le parti interessate, in particolare i fornitori di reti pubblicitarie e gli editori, a conformarsi al quadro normativo applicabile quale interpretato in questo documento. A tal fine, il presente parere espone le opinioni del Gruppo di lavoro articolo 29 sul modo in cui interpretare la normativa applicabile in materia di protezione dei dati nella pratica della pubblicità comportamentale. Inoltre invita l'industria a proporre strumenti tecnici e di altro tipo per conformarsi al quadro normativo descritto nel presente documento, e a scambiare punti di vista con il Gruppo di lavoro articolo 29 su tali strumenti. Al termine di questo periodo di "discussione", il Gruppo di lavoro articolo 29 valuterà la situazione e adotterà i provvedimenti che riterrà necessari e adeguati. Nel frattempo, il Gruppo di lavoro articolo 29 invita le parti interessate ad attuare le raccomandazioni descritte di seguito.

• Il quadro normativo dell’UE relativo all’uso dei cookie è costituito in via principale dall’articolo 5, paragrafo 3, della direttiva e-privacy⁴³.

• L’articolo 5, paragrafo 3, si applica quando “informazioni”, come i cookie, sono archiviate o recuperate dall’apparecchiatura terminale di un utente di Internet. Non è necessario che dette informazioni siano dati personali.

• Inoltre, la direttiva 95/46/CE si applica agli aspetti non specificamente coperti dalla direttiva e-privacy ogniqualvolta si proceda al trattamento di dati personali. La pubblicità comportamentale si basa sull’uso di identificatori che consentono la creazione di profili utente molto dettagliati, i quali sono considerati nella maggior parte dei casi dati personali.

• La direttiva 95/46/CE si applica al trattamento dei dati effettuato quando gli editori e i fornitori di reti pubblicitarie si occupano di pubblicità comportamentale, ai sensi dell’articolo, 4, paragrafo 1, lettere a) e c), della medesima direttiva e dell’articolo 3 della direttiva e-privacy. Gli orientamenti già adottati dal Gruppo di lavoro articolo 29 in relazione a questo argomento sono pienamente applicabili.

• I fornitori di reti pubblicitarie sono soggetti agli obblighi di cui all’articolo 5, paragrafo 3, della direttiva e-privacy, nella misura in cui collocano cookie e/o recuperano informazioni da cookie già archiviati nell’apparecchiatura terminale degli interessati. Essi sono anche responsabili del trattamento, nella misura in cui determinano le finalità e gli strumenti essenziali del trattamento dei dati.

• Gli editori hanno alcune responsabilità che incombono ai responsabili del trattamento per quanto riguarda la fase iniziale del trattamento, ossia quando tramite la modalità di impostazione dei loro siti web determinano il trasferimento dell’indirizzo IP verso i fornitori di reti pubblicitarie (consentendo l’ulteriore trattamento). Tale responsabilità comporta alcuni obblighi limitati in materia di protezione dei dati (cfr. oltre). Inoltre, quando/se gli editori trasferiscono direttamente e personalmente dati personali identificabili ai fornitori di reti pubblicitarie sono considerati corresponsabili del trattamento.

Fornitori di reti pubblicitarie:

• L’articolo 5, paragrafo 3, della direttiva e-privacy, che stabilisce l’obbligo di ottenere il previo consenso informato, si applica ai fornitori di reti pubblicitarie.

• Le impostazioni del browser sono idonee a trasmettere il consenso soltanto in circostanze assai limitate, in particolare quando il browser è impostato di default in modo tale da respingere tutti i cookie e l’utente ha modificato le impostazioni per accettare i cookie dopo essere stato pienamente informato del nome del responsabile del trattamento, delle finalità del trattamento e dei dati che vengono raccolti. Pertanto, il browser, da solo o in combinazione con altri strumenti, deve trasmettere efficacemente informazioni chiare, complete e pienamente visibili riguardo al trattamento.

• I fornitori di reti pubblicitarie dovrebbero incoraggiare i produttori/gli sviluppatori di browser e collaborare con loro al fine di garantire la tutela della vita privata fin dalla progettazione di questi dispositivi.

• In generale, i meccanismi di “opt-out” basati sui cookie non costituiscono un meccanismo adeguato per ottenere il consenso informato dell’utente. Nella maggior parte dei casi, infatti, se l'utente non esercita l'opzione di "opt-out" il consenso è considerato implicito. Tuttavia, nella pratica, sono pochissime le persone che esercitano l’opzione di “opt-out”, e questo non perché hanno preso la decisione informata di accettare la pubblicità comportamentale, bensì perché non sono consapevoli del trattamento in corso e ancor meno sanno come esercitare l’opzione di “opt-out”.

• I fornitori di reti pubblicitarie dovrebbero abbandonare quanto prima i meccanismi di “opt-out” e creare meccanismi di “opt-in” preliminare. I meccanismi atti a trasmettere un consenso valido e informato dovrebbero richiedere un’azione positiva dell'interessato da cui risulti la volontà di ricevere cookie e di accettare il conseguente monitoraggio del comportamento di navigazione ai fini della trasmissione di pubblicità mirata.

• In conformità al considerando 25 della direttiva e-privacy, l’accettazione di un utente a ricevere un cookie può comportare anche l'accettazione delle letture successive del cookie e, quindi, del monitoraggio del comportamento di navigazione. Non sarebbe necessario chiedere il consenso per ogni lettura del cookie. Tuttavia, affinché gli interessati siano costantemente tenuti al corrente del monitoraggio, i fornitori di reti pubblicitarie dovrebbero: i) limitare nel tempo la portata del consenso; ii) offrire la possibilità di revocare con facilità il consenso a essere oggetto di monitoraggio ai fini della trasmissione di pubblicità comportamentale; iii) creare un simbolo o altri strumenti che siano visibili in tutti i siti web oggetto del monitoraggio (i partner del sito web del fornitore di reti pubblicitarie). Questo simbolo non solo ricorderebbe alle persone che il monitoraggio è in corso, ma le aiuterebbe anche a verificare se intendono continuare a essere monitorate o se desiderano revocare il consenso.

• I fornitori di reti pubblicitarie dovrebbero assicurare il rispetto degli obblighi derivanti dalla direttiva 95/46/CE che non siano già previsti dall’articolo 5, paragrafo 3, ossia il principio di limitazione delle finalità e gli obblighi in materia di sicurezza.

• I fornitori di reti pubblicitarie, inoltre, dovrebbero consentire alle persone di esercitare i diritti di accesso, di rettifica e di cancellazione dei dati. Il Gruppo di lavoro articolo 29 accoglie con favore la pratica di alcuni fornitori di reti pubblicitarie di offrire agli interessati la possibilità di accedere e modificare le categorie di interesse in cui sono stati classificati.

• I fornitori di reti pubblicitarie dovrebbero attuare politiche di conservazione dei dati che garantiscano la cancellazione automatica delle informazioni raccolte a ogni lettura del cookie dopo un periodo giustificato di tempo (il tempo necessario per le finalità del trattamento). Ciò vale anche per le tecnologie di tracciamento alternative utilizzate nella pubblicità comportamentale, come la tecnologia JavaScript installata nell’ambiente del browser dell’utente.

Fornitori di reti pubblicitarie ed editori:

• Fornire informazioni ben visibili è una condizione imprescindibile per la validità del consenso. Menzionare la pratica della pubblicità comportamentale nelle condizioni generali e/o nell'informativa sulla privacy non è sufficiente. Al riguardo, considerato che la pratica della pubblicità comportamentale è mediamente poco conosciuta, è necessario un impegno maggiore per cambiare la situazione.

• I fornitori di reti pubblicitarie/gli editori devono informare gli utenti in conformità all’articolo 10 della direttiva 95/46/CE. In pratica, devono garantire che alle persone sia comunicato, quanto meno, chi (quale soggetto) è responsabile del trasferimento del cookie e della raccolta delle informazioni connesse. Le persone devono inoltre essere informate in un linguaggio semplice riguardo a) al fatto che il cookie sarà utilizzato per creare profili utente; b) al tipo di informazioni che saranno raccolte per la creazione di questi profili; c) al fatto che i profili saranno usati per la trasmissione di messaggi pubblicitari mirati; d) al fatto che il cookie consentirà l’individuazione dell’utente su diversi siti web.

• I fornitori di reti/gli editori dovrebbero fornire le informazioni direttamente sullo schermo, in modo interattivo, all’occorrenza seguendo un approccio strutturato su più livelli. Le informazioni devono in ogni caso essere facilmente accessibili e ben visibili.

• Le icone posizionate sul sito web dell’editore, accanto ai messaggi pubblicitari, con collegamenti a ulteriori informazioni, costituiscono un buon esempio. Il Gruppo di lavoro articolo 29 sollecita i fornitori di reti/il settore degli editori a dar prova di creatività in questo ambito.

Fatto a Bruxelles, il 22 giugno 2010

Per il Gruppo di lavoro

Il presidente

Jacob KOHNSTAMM

NOTE                                      

1 GU L 281 del 23.11.1995, pag. 31.

2 La pubblicità contestuale rappresenta un tipo di pubblicità selezionata in base ai contenuti visualizzati in quel momento dall'interessato. Nel caso dei motori di ricerca, il contenuto può essere dedotto dalle parole chiave della ricerca effettuata, dalla ricerca precedente o dall'indirizzo IP dell'utente (se indica la probabile ubicazione geografica dell'utente).

3 Pubblicità selezionata in base a caratteristiche note dell'interessato (età, sesso, ubicazione, ecc.), fornite dallo stesso nella fase di registrazione a un sito.

4 Oltre che attraverso le reti pubblicitarie, la pubblicità comportamentale può essere diffusa anche mediante la pubblicità “on-site”. Con questo metodo, l’inserzionista segnala all’editore il target di pubblico desiderato sulla base di criteri che possono estendersi oltre i semplici dati demografici, quale la classica triade “fascia di età, genere, paese”, e comprendere criteri molto più precisi (come le parole chiave o gli interessi). Sarà quindi cura dell’editore mostrare la pubblicità al target prescelto, adottare la tecnologia per la determinazione del target e verificare il posizionamento e la distribuzione del messaggio pubblicitario.

Questo metodo viene usato in alcune piattaforme di social network che consentono il “targeting” degli utenti in base ai loro interessi.

5 New York Times, “To Aim Ads, Web is Keeping Closer Eye on You”, 10 marzo 2008. L’articolo presenta dati statistici sulla frequenza con cui le grandi reti pubblicitarie seguono le singole visite ai siti web. Nel caso della rete pubblicitaria di Yahoo!, si può presumere che alla fine del 2007 un utente medio americano fosse tracciato 2.520 volte al mese.

http://www.nytimes.com/2008/03/10/technology/10privacy.html?_r=1&scp=3&sq=%22They%20know%20more%20than%20you%20think%22&st=cse

6 La maggior parte delle principali reti pubblicitarie collabora in modo strutturale con molte altre reti secondarie. Per esempio: si veda l’elenco dei partner di Google Adsense,

URL:http://www.google.com/support/adsense/bin/answer.py?answer=94149,