I cookie: cosa sono e che cosa sta succendo?

cosa sono i cookie?

I cookie sono come piccole etichette digitali che si salvano sul tuo dispositivo quando visiti un sito internet. Ogni etichetta ha un nome e contiene delle informazioni specifiche.

Quando usi il tuo browser internet per andare su un sito, questi cookie possono essere inviati dal sito e tenuti in memoria sul tuo computer o telefono. I browser di oggi tengono traccia di questi cookie come se fossero un elenco dettagliato e, a meno che tu non li cancelli, li rimandano indietro al sito ogni volta che lo visiti di nuovo. Questo aiuta il sito a ricordare chi sei e le tue preferenze.

I cookie sono come piccoli bigliettini che un sito web può lasciare sul tuo computer o telefono quando lo visiti. Ce ne sono di diversi tipi:

1. Cookie di sessione: Sono come bigliettini temporanei che durano solo finché non chiudi il browser.
2. Cookie persistenti: Questi sono come bigliettini che restano attaccati più a lungo, anche dopo che chiudi e riapri il browser.

Inoltre, i cookie possono venire dal sito che stai visitando, che si chiamano “cookie proprietari”, oppure da altri siti, che si chiamano “cookie di terze parti”.

Quando un sito web ti invia un cookie, è come se ti passasse un bigliettino tramite il browser. Questo si chiama “cookie di intestazione HTTP”.

Ma i cookie possono anche essere creati da codici speciali nelle pagine web, come il JavaScript, che è come un assistente dietro le quinte che organizza i bigliettini mentre navighi.

Facciamo un esempio pratico per capire meglio i cookie: immagina di visitare un sito che ti offre la possibilità di scegliere tra cinque lingue diverse. La prima volta che ci vai, decidi di navigare il sito in tedesco.

Per ricordarsi della tua scelta, il sito salva sul tuo dispositivo un piccolo file, chiamato “cookie persistente”, che contiene l’informazione della tua preferenza per la lingua tedesca.

Se poi torni sullo stesso sito senza aver cancellato i cookie, il sito capirà, grazie a quel file salvato, che vuoi vedere il contenuto in tedesco e te lo presenterà direttamente in quella lingua.

Nonostante i benefici nella personalizzazione dell’esperienza online, i cookie sollevano anche questioni relative alla privacy e alla sicurezza.

I dati raccolti attraverso i cookie possono essere utilizzati per creare profili dettagliati del comportamento degli utenti, e ciò ha portato a una maggiore regolamentazione in tutto il mondo, come il GDPR in Europa, che richiede ai siti web di ottenere il consenso degli utenti prima di utilizzare determinati tipi di cookie.

Cosa succede quando navighi su internet?

Quando navighi su internet, spesso incontri una richiesta che ti chiede di accettare i cookie. Ma cosa significa esattamente? Bene, i cookie sono piccoli file che aiutano i siti web a funzionare meglio e a fornire servizi più personalizzati. La legge europea è molto precisa su quando e come i siti web possono usare i cookie.

Ci sono due tipi di cookie:

1. Cookie tecnicamente necessari: Questi sono essenziali per far funzionare il sito. Per esempio, tengono traccia di cosa hai nel carrello della spesa in un sito di e-commerce. I siti possono impostare questi cookie senza chiedere il tuo permesso, perché sono fondamentali per fornirti il servizio che hai richiesto.
2. Cookie tecnicamente non necessari: Sono quelli usati per raccogliere dati sulla tua navigazione, come i tuoi interessi o il tuo comportamento online, per mostrarti pubblicità mirate. I siti web devono chiedere esplicitamente il tuo consenso prima di usare questi cookie.

Esistono diversi tipi di cookie:

1. Cookie di sessione: sono temporanei e vengono cancellati quando l’utente chiude il browser. Sono utilizzati per gestire lo stato della sessione durante la navigazione.
2. Cookie persistenti: rimangono sul dispositivo dell’utente per un periodo di tempo predefinito o fino a quando non vengono cancellati manualmente. Sono utilizzati per ricordare le preferenze dell’utente per più sessioni.
3. Cookie di terze parti: sono creati da un dominio diverso da quello che l’utente sta visitando. Sono spesso usati per la pubblicità comportamentale e l’analisi del traffico.

I cookie possono essere utilizzati per registrare vari tipi di dati sugli utenti, tra cui:

cosa fai sul sito
in che parte del mondo ti trovi
quale dispositivo stai utilizzando
dove andrai online dopo

In sostanza, la legge dice che i siti devono ottenere il tuo consenso prima di usare qualsiasi cookie che non sia strettamente necessario. Questo consenso deve essere chiaro e informato, il che significa che devi sapere a cosa stai acconsentendo.

Infine, la regola non riguarda solo i cookie, ma qualsiasi tipo di dati salvati sul tuo dispositivo quando usi internet. L’idea è proteggere la tua privacy e assicurarsi che tu abbia controllo su quali informazioni vengono raccolte su di te mentre navighi online.

La normativa di riferimento

1. Articolo 5(3) della Direttiva 2002/58/CE: Questo articolo riguarda la privacy nelle comunicazioni elettroniche e stabilisce che, per poter memorizzare o accedere a informazioni sul dispositivo di un utente (ad esempio, tramite cookie), è necessario il consenso dell’utente. Tuttavia, ci sono alcune eccezioni, come per i cookie che sono essenziali per fornire un servizio esplicitamente richiesto dall’utente (i cosiddetti “cookie tecnicamente necessari”).
2. Sezione 165(3) TKG 2021: Questo è un riferimento alla legislazione nazionale austriaca (Telekommunikationsgesetz 2021) che ha implementato la direttiva europea. Essa specifica le stesse regole per l’impostazione e la lettura dei cookie sul dispositivo dell’utente e richiede il consenso per i cookie non essenziali.
3. Articolo 4(11) GDPR: Questo articolo fornisce la definizione di “consenso” secondo il Regolamento Generale sulla Protezione dei Dati (GDPR). Il consenso deve essere un atto libero, specifico, informato e inequivocabile con cui l’utente accetta il trattamento dei propri dati personali.
4. Articolo 7 GDPR: Questo articolo stabilisce le condizioni per ottenere un consenso valido. Include requisiti come la necessità di poter ritirare il consenso facilmente e la necessità che il consenso sia dato tramite una dichiarazione o un’azione chiara che confermi l’accettazione.

In sostanza, queste normative si assicurano che tu come utente abbia il controllo sui tuoi dati personali.

Prima che un sito web possa usare cookie non strettamente necessari, deve spiegarti chiaramente a cosa stai acconsentendo e darti la possibilità di scegliere se accettare o meno

I rimedi a disposizione

1. Ruolo dell’autorità garante della protezione dei dati: Se l’uso dei cookie comporta anche il trattamento di dati personali (come definito dall’articolo 4, paragrafo 1, del GDPR), allora l’autorità garante della protezione dei dati può entrare in gioco. Questo significa che se un sito web usa i tuoi dati personali in modo inappropriato, come per creare un profilo pubblicitario senza il tuo consenso, puoi presentare un reclamo all’autorità garante.
2. Esempio di violazione: Se un sito web usa cookie di tracciamento per la pubblicità personalizzata senza aver ottenuto il consenso dell’utente, ciò costituisce una violazione della legge sopra citata. I cookie di tracciamento non sono considerati “tecnicamente necessari” e quindi richiedono il tuo consenso esplicito.
3. Come presentare un reclamo: Se vuoi presentare un reclamo, dovresti fornire all’autorità garante della protezione dei dati informazioni specifiche come il nome del sito web, la data e l’ora della visita, se hai dato il consenso ai cookie e la frequenza delle tue visite al sito. Se hai abilità tecniche, potresti anche allegare un elenco o uno screenshot dei cookie che sono stati impostati sul tuo dispositivo. Strumenti come il sito webEvidenceCollector del Garante europeo della protezione dei dati possono aiutarti a raccogliere queste informazioni.

I cookie sono dati personali?

Spesso si pensa che contengano informazioni personali, ma non è sempre così. Se un cookie salva informazioni che non possono identificarti direttamente, come le tue preferenze di lingua su un sito, queste sono considerate non personali. Dipende sempre dalle circostanze del singolo caso, in particolare quali informazioni sono contenute nei cookie e come queste informazioni possono essere combinate tra loro.

Però, se un sito può collegare le informazioni del cookie a te personalmente, magari perché ti sei registrato o hai inserito i tuoi dati, allora quelle diventano dati personali.

Un esempio pratico: se visiti un sito e scegli di navigarlo in tedesco, il sito salva questa preferenza in un cookie. Se questa scelta non è associabile a te, è un dato non personale. Ma se ti registri sul sito, la tua scelta della lingua tedesca diventa un dato personale perché il sito ora sa chi sei.

Ad esempio, se ti registri su un sito o compili un modulo di contatto, il tuo dispositivo può essere associato a te.

In certi casi, questi identificatori possono essere collegati anche al tuo profilo su una piattaforma social, rendendo l’informazione ancora più personale.

In breve, se le informazioni nei cookie possono essere collegate a una persona specifica, diventano dati personali e sono soggette alle regole di protezione dei dati come il GDPR.

Se no, sono solo dati non personali. Ecco perché è fondamentale fare attenzione a come vengono usati i cookie e quali informazioni contengono.

Quando i cookie sono “tecnicamente necessari”?

Quando visiti un sito web, potresti notare che spesso ti viene chiesto di accettare i cookie. Ma non tutti i cookie sono uguali. Esistono i “cookie tecnicamente necessari” che sono fondamentali per il funzionamento del sito. Per questi, non è richiesto il tuo consenso per poterli utilizzare.

Purtroppo, la legge non fornisce una lista specifica di quali siano questi cookie essenziali, ma ci sono delle linee guida generali da seguire.

Ad esempio, i cookie che mantengono traccia di cosa hai nel carrello della spesa su un sito di e-commerce o quelli che tengono attiva la tua sessione mentre sei loggato su un sito sono considerati tecnicamente necessari.

D’altra parte, ci sono servizi che registrano come navighi sul sito o su più siti, come i cookie usati per la pubblicità personalizzata. Questi non sono strettamente necessari per il funzionamento del sito e quindi richiedono il tuo esplicito consenso prima di poter essere usati.

Inoltre, la legge è chiara sul fatto che il bisogno di un sito di generare entrate attraverso la pubblicità non rende i cookie pubblicitari “tecnicamente necessari”.

In altre parole, un sito web non può giustificare l’uso di cookie per pubblicità personalizzata senza consenso

Cos’è un cookie banner e mi serve un cookie banner per il mio sito web?

Un cookie banner è una finestra che appare quando visiti un determinato sito web (con un profilo del browser vuoto). Questa finestra viene solitamente utilizzata per ottenere il consenso del visitatore del sito web all’impostazione e alla lettura dei cookie.

Tuttavia, tale consenso deve essere ottenuto dal visitatore del sito web solo se vengono utilizzati cookie “tecnicamente non necessari” (vedi domanda 5).

Se nel sito non vengono utilizzati cookie “tecnicamente non necessari” non è necessario alcun consenso e quindi nessun cookie banner.

Come deve essere progettato un cookie banner affinché ci sia un consenso effettivo?

Un cookie banner è una notifica che appare sul tuo sito web per informare i visitatori che il sito utilizza i cookie. Questo banner di solito chiede il consenso dell’utente per poter utilizzare determinati tipi di cookie.

Se hai un sito web che utilizza cookie, specialmente quelli non strettamente necessari per il funzionamento del sito (come quelli per l’analisi del traffico o la pubblicità personalizzata), le leggi sulla privacy, come il GDPR nell’Unione Europea, richiedono che informi i tuoi visitatori e ottenga il loro consenso prima di installare questi cookie sul loro dispositivo.

Il cookie banner serve proprio a questo: è uno strumento che aiuta i proprietari dei siti web a rispettare queste leggi.

Quando un visitatore arriva sul sito, il banner spiega brevemente l’uso dei cookie e chiede al visitatore di accettarli o di modificare le impostazioni secondo le proprie preferenze.

In breve, se il tuo sito web è accessibile da persone nell’Unione Europea o se raccoglie dati da cittadini dell’UE, avrai bisogno di un cookie banner per rispettare le normative sulla privacy.

E anche in altre giurisdizioni con leggi simili, un cookie banner potrebbe essere necessario.

Il pulsante per dare il consenso deve essere di colore diverso rispetto al pulsante per non dare il consenso?

Quando si parla di cookie banner, ovvero quella barra che appare sulle pagine web per informarti sull’uso dei cookie, non esistono regole fisse sui colori da utilizzare per i pulsanti. Tuttavia, è importante che il design del banner non inganni o induca in errore l’utente.

Per essere considerato valido, il consenso non deve essere influenzato da trucchi visivi.

Ad esempio, se il pulsante per accettare i cookie è molto evidente e quello per rifiutarli è nascosto o difficile da vedere, questo può rendere il consenso non valido.

La legge richiede che gli utenti abbiano opzioni chiare e equivalenti senza alcuna pressione o inganno.

Un esempio pratico potrebbe essere un cookie banner con uno sfondo bianco: se il pulsante per accettare i cookie è rosso e ben visibile, mentre quello per rifiutarli è bianco e si fonde con lo sfondo, questo potrebbe essere considerato ingannevole.

L’utente potrebbe non notare l’opzione per rifiutare e finire per dare il consenso senza volerlo davvero.

In conclusione, se gestisci un sito web, assicurati che il tuo cookie banner sia progettato in modo equo e chiaro, permettendo agli utenti di fare una scelta informata senza trucchi o pressioni.

Cosa si intende per “paga o va bene” ed è consentito?

Nel mondo dei siti web, esistono due concetti importanti che riguardano l’accesso ai contenuti: il “paywall” e il “cookie wall”.

Un paywall è come un muro che impedisce di accedere ai contenuti di un sito a meno che non si paghi. Questo è un metodo legittimo per i proprietari dei siti web di monetizzare i loro contenuti: se vuoi leggere un articolo o usare un servizio, devi pagare.

Il cookie wall, d’altra parte, è un po’ diverso. In questo caso, per accedere ai contenuti del sito, hai due opzioni: pagare o dare il tuo consenso all’uso dei cookie, che di solito sono utilizzati per mostrarti pubblicità personalizzata. Questo approccio è noto anche come “paga o accetta”.

L’autorità garante della privacy ha dichiarato che questo sistema di “paga o accetta” può essere legittimo.

Significa che puoi offrire ai visitatori del tuo sito la possibilità di scegliere tra l’uso dei loro dati per la pubblicità personalizzata (l'”ok”) o il pagamento per l’accesso ai contenuti.

Tuttavia, ci sono alcune condizioni da rispettare:

1. Rispetto delle normative sulla protezione dei dati: Se un utente sceglie di “accettare” i cookie, il trattamento dei suoi dati deve seguire tutte le regole del GDPR.
2. Granularità del consenso: Gli utenti dovrebbero essere in grado di scegliere quali cookie accettare e quali no.
3. Non applicabile ad autorità o enti pubblici: Questi enti non possono usare il sistema “paga o accetta” per i loro servizi.
4. Nessuna esclusività: Le aziende che forniscono servizi di pubblica utilità non possono legittimamente chiedere agli utenti di pagare o accettare i cookie.
5. Equità del prezzo: L’opzione a pagamento deve avere un prezzo ragionevole e non proibitivo.
6. Nessun trattamento dei dati personali per la pubblicità: Se l’utente sceglie di pagare, non si possono usare

Va però espressamente precisato che questa rappresenta l’attuale posizione dell’autorità garante della protezione dei dati e che non esiste giurisprudenza della Corte di giustizia europea su questo tema.

Devo sempre informare i visitatori del sito quando utilizzo i cookie?

Dipende da quali cookie vengono utilizzati.

Per rispondere a questa domanda è meglio distinguere tra l’obbligo di dare l’informativa per l’impostazione e la lettura dei cookie e l’obbligo di dare l’informativa per il successivo trattamento dei dati.

L’obbligo di fornire l’informativa per l’impostazione e la lettura dei cookie “tecnicamente non necessari” (vedi domanda 5) deriva dall’articolo 5 comma 3 della Direttiva 2002/58/CE e successive modifiche. 

Si precisa che tale obbligo di informazione si applica sempre ai cookie “tecnicamente non necessari” secondo la sentenza della Corte di Giustizia Europea e non importa se i cookie siano dati personali o non personali (cfr. sentenza CGUE del 1° ottobre 2019, C‑673/17 Rz 69 segg.).

Tuttavia, se il trattamento dei dati personali avviene tramite l’impostazione o la lettura di cookie, sussiste anche l’obbligo di fornire informazioni ai sensi dell’articolo 13 f del GDPR.

Come adempio all’obbligo di informativa sull’utilizzo dei cookie sul mio sito web?

Quando visiti un sito web, potresti notare un piccolo banner, spesso in fondo o in alto alla pagina, che ti informa sull’uso dei cookie e sulla raccolta dei dati.

Questo è noto come “cookie banner” e fa parte di un approccio che gli esperti di privacy chiamano “multilivello”. Ma cosa significa questo per te come utente?

Bene, la legge sulla privacy, in particolare il GDPR, richiede che i siti web ti informino chiaramente su come vengono trattati i tuoi dati personali.

A causa della grande quantità di informazioni che potrebbe essere necessario fornire, si usa questo approccio multilivello per non sovraccaricare l’utente con troppi dettagli tutti in una volta.

Primo Livello: Il Cookie Banner

Questo è il primo contatto che hai con le informazioni sulla privacy quando visiti un sito. Qui ti verranno fornite le informazioni essenziali:

• Chi è il responsabile del trattamento dei tuoi dati (ovvero il proprietario del sito).
• Per quali scopi specifici i tuoi dati saranno utilizzati.
• Su quale base legale (come il tuo consenso) vengono trattati i tuoi dati.
• Il fatto che puoi revocare il tuo consenso in qualsiasi momento senza dover fornire una ragione e senza influire sulla legalità del trattamento dei dati effettuato prima della revoca.
• Dove e come puoi revocare il tuo consenso.

Secondo Livello: La Dichiarazione sulla Protezione dei Dati

Se desideri approfondire, puoi cliccare su un link nel cookie banner che ti porterà a una dichiarazione più dettagliata.

Qui troverai tutte le informazioni su come i tuoi dati vengono gestiti, conservati e protetti, oltre ai tuoi diritti legali in materia di protezione dei dati.

In sostanza, l’approccio multilivello è progettato per rendere le informazioni sulla privacy più digeribili, fornendoti prima le informazioni essenziali e poi dettagli più specifici se vuoi saperne di più.

Come avvocato esperto di privacy, il mio consiglio è di prestare sempre attenzione a queste informazioni e di esercitare i tuoi diritti se senti che i tuoi dati non vengono trattati correttamente.

Posso utilizzare gli standard del settore pubblicitario o gli “strumenti di consenso sui cookie” per progettare un banner sui cookie?

In linea di principio sì, a condizione che le norme sulla protezione dei dati (in particolare il GDPR) siano pienamente rispettate.

Tuttavia, l’autorità per la protezione dei dati sconsiglia vivamente di utilizzare tali standard o strumenti incondizionatamente. Il fatto che siano offerti su Internet non significa automaticamente che rispettino le norme sulla protezione dei dati.

Sono responsabile della protezione dei dati se vengono impostati o letti cookie sul mio sito web?

Se gestisci un sito web che utilizza cookie, è importante sapere che hai delle responsabilità legali.

Secondo il GDPR se i cookie sul tuo sito raccolgono dati personali degli utenti, tu sei considerato responsabile di questi dati. Questo significa che devi assicurarti che il trattamento dei dati avvenga nel rispetto delle norme sulla privacy.

Non importa se i cookie sono impostati direttamente dal tuo sito o se sono generati da codici di terze parti, come gli script di pubblicità. Se i cookie raccolgono dati personali, la legge ti vede come responsabile (o co-responsabile insieme ad altri) per quei dati. Ad esempio, se un annuncio su un sito raccoglie informazioni sugli interessi dell’utente, anche se non hai accesso diretto a quelle informazioni, sei comunque responsabile.

In pratica, questo significa che devi:

• Informare gli utenti che il tuo sito utilizza cookie e per quali scopi.
• Ottenere il loro consenso prima di impostare cookie non strettamente necessari.
• Assicurarti che gli utenti possano facilmente revocare il loro consenso.
• Avere una politica sulla privacy che spiega in dettaglio come vengono gestiti i dati personali.

Cosa sta facendo Google?

Google sta testando una nuova funzionalità nel suo browser Chrome che limita l’uso dei cookie di terze parti, quei piccoli file che tracciano la tua attività online per scopi come l’analisi dei dati e la personalizzazione della pubblicità.

Questo cambiamento inizierà come un esperimento che coi

nvolgerà l’1% degli utenti di Chrome in tutto il mondo, il che equivale a circa 30 milioni di persone. L’obiettivo è di espandere questa funzionalità a tutti gli utenti entro la fine dell’anno.

Questo cambiamento, che al momento coinvolge l’1% degli utenti e si prevede sarà completato entro la fine del 2024, segna la fine di un’era per una tecnologia che è stata fondamentale fin dagli inizi di Internet.

A differenza di Chrome, altri browser come Safari di Apple e Mozilla Firefox hanno già introdotto funzionalità simili per bloccare i cookie di terze parti.

Google suggerisce che questa mossa è un passo verso una maggiore privacy online, consentendo agli utenti selezionati casualmente di scegliere se vogliono navigare con più privacy.

Il vicepresidente di Google, Anthony Chavez, ha sottolineato l’intenzione dell’azienda di procedere con cautela, assicurandosi che i siti web continuino a funzionare correttamente senza cookie di terze parti.

In caso di problemi con i siti web a causa della mancanza di cookie, Chrome offrirà agli utenti la possibilità di riattivarli temporaneamente per quel sito specifico.

Google riconosce l’importanza dei cookie per i siti web che si affidano alla pubblicità per generare entrate, anche se alcuni utenti trovano la pubblicità basata sui cookie invadente e fastidiosa, specialmente quando gli annunci seguono gli utenti da un sito all’altro dopo aver visitato una pagina web o fatto un acquisto online.

Google sta adottando un approccio graduale con il progetto Privacy Sandbox, che mira a sviluppare nuove tecnologie per sostituire i cookie di terze parti senza compromettere la capacità degli sviluppatori di fornire contenuti e annunci pubblicitari rilevanti.

Il Privacy Sandbox di Google

Google Rivoluziona la Privacy su Chrome: Addio ai Cookie di Terze Parti

Google sta per compiere un passo audace nella protezione della privacy degli utenti di Chrome, con l’obiettivo di riformare il modo in cui la navigazione web viene tracciata e monetizzata.

E’ un’iniziativa annunciata nel 2019, con l’obiettivo di sviluppare una serie di standard aperti per migliorare la privacy degli utenti su internet, mantenendo al contempo la possibilità per i siti web di mostrare pubblicità personalizzata.

A partire dal 4 gennaio, il colosso della ricerca inizierà a testare una nuova funzionalità denominata “Tracking Protection”, che mira a limitare l’uso dei cookie di terze parti – quei piccoli file digitali utilizzati da molti siti web per monitorare l’attività degli utenti online.

Questa funzionalità sarà inizialmente rilasciata a un piccolo gruppo di utenti, appena l’1% degli utilizzatori di Chrome a livello mondiale, come parte di una fase di test che prelude all’eliminazione totale dei cookie di terze parti prevista per la seconda metà del 2024.

Gli utenti selezionati casualmente per questa sperimentazione saranno informati da Google tramite una notifica non appena apriranno Chrome su desktop o Android.

L’innovazione di Google non è un fulmine a ciel sereno: l’azienda lavora al progetto di abolire i cookie di terze parti dal 2020, inserendolo poi nella cosiddetta “Privacy Sandbox”, un’iniziativa volta a trasmettere agli inserzionisti dati di navigazione anonimi.

Tradizionalmente, la pubblicità online si basava sull’uso di cookie di terze parti per tracciare gli utenti attraverso diversi siti web e raccogliere dati sui loro comportamenti di navigazione.

Questi dati venivano poi utilizzati per costruire profili dettagliati degli utenti e targetizzare annunci pubblicitari personalizzati. Tuttavia, questa pratica è stata criticata per la sua invasività e per i rischi che comporta in termini di privacy.

Il Privacy Sandbox mira a limitare questa pratica e propone alternative che consentano la personalizzazione degli annunci senza che i singoli utenti vengano identificati o tracciati direttamente.

Alcune delle tecnologie proposte includono:

1. Federated Learning of Cohorts (FLoC): Questo metodo propone di raggruppare gli utenti in grandi gruppi (coorti) con interessi simili, senza identificare singolarmente gli utenti. Gli annunci verrebbero targetizzati verso queste coorti piuttosto che verso singoli utenti.
2. Trust Tokens: Un sistema progettato per aiutare i siti web a distinguere tra utenti reali e attività automatizzate (come i bot) senza dover tracciare l’attività individuale degli utenti attraverso il web.
3. TURTLEDOVE: Un concetto che permette agli inserzionisti di targetizzare gli annunci basandosi sugli interessi degli utenti senza sapere chi sono questi utenti, con un processo di decisione che avviene interamente sul dispositivo dell’utente.

Il Privacy Sandbox è ancora in fase di sviluppo e discussione, con Google che sta lavorando con l’industria pubblicitaria, i gruppi per la privacy, e altri stakeholder per definire e implementare queste nuove tecnologie.

L’idea è quella di trovare un equilibrio tra la privacy degli utenti e le necessità degli editori e degli inserzionisti di finanziare i contenuti e i servizi online tramite la pubblicità.

L’obiettivo è bilanciare la privacy degli utenti con le esigenze degli inserzionisti e dei proprietari di siti web.

Una discussione vivace

La discussione sull’impatto di questa mossa è vivace.

Mentre alcuni vedono in essa un passo avanti verso una maggiore tutela della privacy online, altri esprimono preoccupazione per le potenziali nuove tecnologie che potrebbero sostituire i cookie.

Il timore è che queste nuove soluzioni possano sembrare meno invasive in superficie ma che non offrano realmente un miglioramento sostanziale della riservatezza degli utenti.

La transizione è ancora in corso e il settore si sta adattando.

I siti web sono incoraggiati a testare i nuovi strumenti proposti da Google e a dare il loro feedback per assicurarsi che le nuove tecnologie rispondano alle loro esigenze senza compromettere la privacy degli utenti.

Il dibattito su come bilanciare privacy e personalizzazione continuerà sicuramente nei prossimi anni, mentre ci avviciniamo alla scadenza del 2024 stabilita da Google per la completa eliminazione dei cookie di terze parti.

Per gli utenti, è importante rimanere informati su come i loro dati vengono raccolti e utilizzati online e su come le impostazioni del browser possono influenzare la loro privacy.

Con Chrome, gli utenti possono già gestire le impostazioni dei cookie attraverso le opzioni di privacy e sicurezza, scegliendo se consentire o bloccare i cookie di terze parti.

Mentre Google continua a lavorare su questa transizione, il mondo digitale osserva attentamente per capire quale sarà l’impatto su privacy, pubblicità e analisi del traffico web. La rimozione dei cookie di terze parti da Chrome potrebbe essere solo l’inizio di una serie di cambiamenti più ampi nell’ecosistema digitale.

La crescente sensibilizzazione riguardo alle minacce alla privacy online ha spinto le autorità europee a prendere provvedimenti più severi e ha influenzato notevolmente le industrie tecnologiche a rivedere le loro politiche di tracciamento degli utenti.

In questo contesto, browser come Firefox di Mozilla e Safari di Apple hanno già da tempo imposto limitazioni significative all’uso dei cookie di terze parti, una pratica che Apple ha esteso anche al tracciamento attraverso le app.

Il ruolo del DSA e DMA

Questi cambiamenti sono stati in parte catalizzati dalla regolamentazione europea, in particolare con l’introduzione del Digital Services Act (DSA) e del Digital Markets Act (DMA), che hanno l’obiettivo di creare un ambiente digitale più sicuro e di regolare il mercato online imponendo obblighi più stringenti alle piattaforme considerate “gatekeeper” del mercato digitale.

Questi atti legislativi rappresentano un punto di svolta per la Strategia europea per il digitale, mirando a rafforzare la tutela dei consumatori e la concorrenza leale nel mercato interno.

Il Digital Services Act (DSA) e il Digital Markets Act (DMA) sono due importanti regolamenti dell’Unione Europea che mirano a creare un ambiente digitale più sicuro e aperto.

Questi regolamenti influenzeranno la politica dei cookie e, più in generale, le pratiche di gestione dei dati personali online.

Digital Services Act (DSA)

Il DSA si concentra sulla protezione dei consumatori e sulla lotta contro i contenuti illegali online.

Anche se non tratta direttamente la politica dei cookie, avrà un impatto indiretto sulla privacy online.

Il DSA richiederà maggiore trasparenza su come i servizi online gestiscono i dati degli utenti e potrebbe portare a regole più stringenti su come i cookie possono essere utilizzati per tracciare gli utenti e raccogliere dati personali.

Digital Markets Act (DMA)

Il DMA mira a promuovere la concorrenza e a prevenire comportamenti anticoncorrenziali da parte delle grandi piattaforme online, definite “gatekeeper”.

Questo regolamento potrebbe cambiare la politica dei cookie in quanto potrebbe limitare la capacità di queste piattaforme di usare i dati raccolti dai cookie per rafforzare la propria posizione di mercato.

Il DMA potrebbe imporre che i gatekeeper offrano agli utenti maggiori opzioni per il consenso all’uso dei cookie, contribuendo così a un maggiore controllo da parte degli utenti su come i loro dati vengono utilizzati.

In sintesi, sebbene il DSA e il DMA non si occupino direttamente della regolamentazione dei cookie, entrambi influenzeranno la gestione dei dati personali online.

Si prevede che queste leggi porteranno a una maggiore responsabilizzazione delle piattaforme online e a un aumento della protezione della privacy degli utenti, compreso un uso più responsabile dei cookie.

Gli utenti avranno più controllo sui loro dati e le aziende dovranno essere più trasparenti su come vengono utilizzate le informazioni personali.

L’evoluzione della Privacy Online: Oltre i Cookie Tradizionali

Nell’era digitale, la privacy degli utenti è diventata una questione centrale, sollevando interrogativi sulla capacità delle leggi esistenti di proteggere efficacemente i dati personali nell’ambiente online in rapida evoluzione.

Il GDPR e la vasta e preziosa giurisprudenza dei vari Garanti europei che si è sviluppata riguardo ai cookie negli ultimi anni continuano a essere punti di riferimento fondamentali.

Questo si traduce concretamente nella necessità di garantire la liceità del trattamento dei dati degli utenti prima di procedere e nell’attenta valutazione degli effettivi impatti che i nuovi strumenti potrebbero avere sulla riservatezza dei dati degli utenti, proprio come è stato fatto finora per i cookie.

Da questo punto di vista, è importante sottolineare che nulla è cambiato.

Inoltre, c’è il rischio che le nuove tecnologie, nonostante le loro pretese di maggiore rispetto per la privacy, possano essere complesse e difficili da comprendere per gli utenti, portando a una nuova “zona grigia” dove la privacy potrebbe essere compromessa in modi non ancora pienamente compresi o regolamentati.

Le aziende devono perseguire trasparenza e responsabilità nell’introduzione di nuove tecnologie, mentre gli utenti devono continuare a informarsi e a esercitare i propri diritti. La legislazione deve evolvere insieme alla tecnologia per garantire che la privacy online non sia solo una promessa, ma una realtà tangibile e protetta.

Il Cookie Pledge e la Cookie Fastigue: Un Passo Avanti nella Tutela della Privacy Online

La navigazione online è diventata una parte integrante della vita quotidiana, ma con essa cresce anche la preoccupazione per la privacy e la gestione dei dati personali.

Recentemente, il Comitato europeo per la protezione dei dati (EDPB) ha accolto con favore un’iniziativa volontaria della Commissione UE, nota come “cookie pledge”, che mira a proteggere i diritti fondamentali degli utenti online, garantendo loro la capacità di effettuare scelte informate e consapevoli.

In un panorama digitale dove la privacy degli utenti è sempre più al centro dell’attenzione, nasce il “Cookie Pledge”, un’iniziativa volontaria che invita le aziende ad adottare pratiche più trasparenti nell’uso dei cookie e di altre tecnologie di tracciamento.

L'”Iniziativa Cookie Pledge” è un’iniziativa sviluppata dalla Commissione Europea in risposta alle preoccupazioni relative al fenomeno noto come “cookie fatigue”.

Il “cookie pledge” è un impegno da parte delle aziende a rendere più semplice per gli utenti il controllo dei cookie e delle preferenze pubblicitarie personalizzate. Questo impegno dovrebbe aiutare a combattere la cosiddetta “fatica dei cookie”, ovvero quella sensazione di esasperazione che proviamo tutti quando ci viene chiesto ripetutamente di accettare cookie su ogni sito web che visitiamo.

Un punto chiave del “cookie pledge” è la gestione del consenso. Se un utente decide di non accettare i cookie, la sua scelta dovrebbe essere rispettata per almeno un anno, eliminando la necessità di ripetere la stessa decisione ad ogni visita.

Questo aspetto è cruciale perché il consenso deve essere espresso attraverso un’azione affermativa; semplicemente continuare a navigare in un sito non equivale a dare il consenso.

D’altronde, la manifestazione del consenso è molto importante, rammentando che chi utilizza cookie o simili tecnologie è sempre tenuto a implementare meccanismi corretti tali da poter consentire di dimostrare – in qualsiasi momento – come e quando sia stato ottenuto un valido consenso.

L’idea principale dietro al Cookie Pledge è di dare agli utenti la possibilità di fare scelte efficaci riguardo ai modelli di pubblicità basati sul tracciamento.

Questo potrebbe potenzialmente permettere agli utenti di inserire le loro preferenze sui cookie nelle impostazioni del browser, invece di chiedere il consenso ogni volta che visitano un sito web. Una delle idee chiave è di mostrare un banner sui cookie solo una volta all’anno all’utente.

I principi preliminari del pledge mirano a garantire che gli utenti ricevano informazioni concrete su come i loro dati vengono utilizzati e le conseguenze dell’accettazione di diversi tipi di cookie. Questo darebbe agli utenti un maggiore controllo sul trattamento dei loro dati.

L’iniziativa mira anche ad aumentare la trasparenza verso gli utenti su come un’organizzazione o un sito web utilizza i dati personali, in particolare per il tracciamento, la pubblicità e il finanziamento del servizio

Questa iniziativa è nata come risposta alle preoccupazioni riguardanti il fenomeno della “fatica dei cookie” o “affaticamento dei cookie“, che si verifica quando gli utenti sono sovraccarichi dalle frequenti richieste di consenso ai cookie durante la navigazione online.

L’obiettivo è quello di semplificare la gestione dei cookie e le scelte pubblicitarie personalizzate da parte degli utenti, incoraggiando le aziende a impegnarsi volontariamente a seguire principi che facilitino queste procedure rispettando i diritti fondamentali degli utenti.

Il “Cookie Pledge” si configura come un patto di autoregolamentazione, un accordo che le società possono sottoscrivere per dimostrare il loro impegno nel rispettare la privacy degli utenti.

Le linee guida di questo impegno si concentrano sulla trasparenza e sul consenso informato, pilastri fondamentali del Regolamento Generale sulla Protezione dei Dati (GDPR) e della direttiva ePrivacy.

Le compagnie che aderiscono al “Cookie Pledge” si impegnano a fornire agli utenti informazioni chiare e comprensibili sui cookie utilizzati, assicurando che il consenso sia ottenuto in maniera libera ed esplicita.

Tuttavia, l’iniziativa ha sollevato alcune domande.

L’European Data Protection Board (EDPB) ha risposto con una lettera alla Commissione Europea, evidenziando come il “Cookie Pledge” debba essere visto come un complemento alle normative esistenti e non come un sostituto. L’EDPB insiste sulla necessità di meccanismi di controllo efficaci che garantiscano l’attuazione degli impegni presi dalle aziende.

L’EDPB Risponde alla Commissione Europea: Il Cookie Pledge tra Impegno Volontario e Privacy

Il 13 dicembre 2023, l’European Data Protection Board (EDPB) ha risposto favorevolmente all’iniziativa della Commissione Europea, esprimendo il suo sostegno al Cookie Pledge.

L’EDPB ha accolto con favore l’iniziativa, promuovendo la discussione sull’uso dei cookie e altri sistemi per tracciare la navigazione degli utenti online.

L’obiettivo dell’iniziativa è di supportare la gestione dei cookie e le scelte di pubblicità personalizzate, rinforzando il controllo degli utenti sui loro dati personali e sulla privacy, in accordo al GDPR e alla direttiva ePrivacy

L’EDPB ha sottolineato che il consenso per l’accesso e l’archiviazione di dati in apparecchiature terminali deve essere espresso attivamente dagli utenti.

Inoltre, nessun accesso o archiviazione di dati dovrebbe avvenire prima che il consenso sia concesso. Gli utenti devono essere in grado di revocare il consenso in qualsiasi momento

Inoltre, l’EDPB ha ritenuto che per rendere effettivo il rifiuto o la revoca del consenso, potrebbe essere necessario registrare la decisione dell’utente per un certo periodo, al fine di ridurre la frequenza delle richieste di consenso che l’utente riceve

Infine, l’EDPB ha riconosciuto il potenziale delle applicazioni software di consentire agli utenti di proteggere le proprie apparecchiature terminali, e ha incoraggiato l’uso della privacy by design e by default in tali applicazioni

L’EDPB ha raccomandato, tuttavia, di non chiedere il consenso al trattamento (raccolta) dei dati personali per ridurre il fenomeno della “fatica dei cookie“.

Inoltre, l’EDPB ha sottolineato che l’adesione ai principi del Cookie Pledge da parte delle organizzazioni non equivale alla conformità con le leggi sulla protezione dei dati, e che le autorità di protezione dei dati rimangono competenti per esercitare i loro poteri quando necessario

La lettera dell’EDPB è un commento critico ma costruttivo, che valuta l’iniziativa alla luce del Regolamento Generale sulla Protezione dei Dati (GDPR) e della direttiva ePrivacy.

L’EDPB riconosce l’importanza di incoraggiare le aziende a adottare standard più elevati per la protezione della privacy, ma mette in guardia contro l’adozione di misure che potrebbero risultare insufficienti o non completamente allineate con il quadro normativo vigente.

Il “cookie pledge” richiede agli aderenti di impegnarsi volontariamente a rispettare principi di trasparenza e consenso degli utenti, ma l’EDPB sottolinea come questo non debba sostituirsi alle obbligazioni legali già esistenti.

Inoltre, l’autorità europea evidenzia la necessità che tali iniziative siano accompagnate da meccanismi di controllo efficaci per garantire che gli impegni presi siano effettivamente rispettati.

La risposta dell’EDPB è un monito a non considerare l’iniziativa come un’alternativa alle norme GDPR, ma piuttosto come un complemento che può contribuire a elevare la consapevolezza e migliorare le pratiche di gestione dei cookie.

Questo scambio tra EDPB e Commissione Europea è un esempio del continuo lavoro di bilanciamento tra la promozione dell’innovazione digitale e la protezione della privacy individuale, un tema sempre più rilevante nell’era dell’informazione.

L’EDPB ha messo in evidenza alcuni punti chiave:

1. Gli utenti devono confermare esplicitamente il loro consenso attraverso un’azione positiva. Il semplice fatto di continuare a navigare su un sito web non può essere interpretato come un consenso.
2. Prima di poter ottenere un consenso valido, non è necessario che vi sia un accesso o una memorizzazione di informazioni sul dispositivo dell’utente.
3. Gli utenti devono avere l’opportunità di ritirare il loro consenso in qualsiasi momento e questo processo di revoca dovrebbe essere semplice e facilmente accessibile, garantendo che gli utenti siano ben informati su come procedere.

Otto Mosse della UE per Svegliare la Privacy: La Rivoluzione dei Cookie Spiegata

Negli sviluppi recenti, la Commissione Europea ha preso un passo proattivo verso il miglioramento della consapevolezza e del controllo degli utenti sulla privacy online, in particolare per quanto riguarda i cookie e le tecnologie di tracciamento.

Questa iniziativa è una risposta alla crescente preoccupazione per il “cookie fatigue”, dove gli utenti sono sopraffatti dalle continue richieste di gestire le preferenze dei cookie, spesso senza una chiara comprensione delle implicazioni.

La Commissione ha emesso una lettera che delinea otto punti di impegno rivolti alle aziende e organizzazioni che operano piattaforme online.

I punti programmatici sono stati elaborati nel corso del 2023, in seguito ad audizioni e tavole rotonde effettuate alla presenza dei principali stakeholder, in particolare dei colossi del web che impiegano strumenti di tracciamento degli utenti.

I punti, contenenti principi di alto livello, sono otto (lettere da A ad H), e l’EDPB ha fornito indicazioni anche molto chiare su come attuarli. Vediamoli nel dettaglio.

Questi punti incoraggiano un approccio più trasparente e user-friendly ai meccanismi di consenso dei cookie, assicurando che i consumatori siano non solo informati ma anche abilitati a fare scelte efficaci riguardo ai modelli pubblicitari basati sul tracciamento.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha accolto con favore questa iniziativa, sottolineando che dovrebbe aiutare a proteggere i diritti e le libertà fondamentali, in particolare nel contesto della protezione dei dati personali e della privacy.

L’EDPB è stato anche attivo nel fornire orientamenti, come l’adozione di linee guida sul Diritto di Accesso per chiarire come i soggetti dei dati possono esercitare i loro diritti sotto il Regolamento Generale sulla Protezione dei Dati (GDPR).

Uno degli obiettivi principali della lettera di impegno della Commissione è combattere la complessità e l’oscurità spesso associate ai dialoghi di consenso dei cookie. Semplificando questi meccanismi, gli utenti possono aspettarsi un’esperienza più diretta quando decidono se accettare o rifiutare i cookie e altre tecnologie di tracciamento.

Per il pubblico generale, ciò significa che ci sarà uno sforzo concertato da parte di siti web e servizi online per ridurre l’onere della gestione delle impostazioni della privacy.

L’iniziativa sottolinea l’importanza del consenso dato liberamente, informato, specifico e inequivocabile, come stabilito dal GDPR.

In sostanza, l’impegno della Commissione Europea per migliorare la trasparenza del consenso dei cookie è un passo significativo verso il ritorno del controllo sulla privacy online agli utenti. Si allinea con sforzi più ampi per assicurare che gli avanzamenti digitali non avvengano a spese dei diritti e delle libertà individuali.

In sintesi

Principio A

• Non è necessario ottenere il consenso per i cookie essenziali.
• Le informazioni sui cookie essenziali e sul legittimo interesse non devono essere incluse nella richiesta di consenso.

“Quando parliamo di siti web e di ‘cookie essenziali’, ci riferiamo a quei piccoli file che sono strettamente necessari perché il sito funzioni correttamente; per esempio, per mantenere attiva la vostra sessione dopo che vi siete loggati. Per questi cookie non è richiesto il vostro consenso esplicito, perché sono indispensabili per il servizio che state utilizzando.

Tuttavia, l’Ente Europeo per la Protezione dei Dati (EDPB) ha sottolineato che questo non significa che gli operatori dei siti web possono fare ciò che vogliono. Anche se non hanno bisogno del vostro consenso per questi cookie essenziali, sono comunque obbligati a informarvi del loro utilizzo, rispettando gli articoli 12-14 del GDPR, il regolamento generale sulla protezione dei dati. In pratica, devono dirvi quali informazioni raccolgono e perché.

Per quanto riguarda i cookie non essenziali, quelli usati per tracciare il vostro comportamento online a fini pubblicitari o di analisi, la situazione è diversa. Qui entra in gioco il concetto di ‘legittimo interesse’, che è un po’ più complicato. L’EDPB ha ribadito che non si può raccogliere dati basandosi su questo principio senza un’attenta valutazione e senza il consenso dell’utente. Un esempio lampante è la sanzione inflitta a Meta, la società dietro Facebook e Instagram, il 31 ottobre 2023: l’EDPB ha imposto delle regole molto stringenti su come e quando le aziende possono affermare di avere un ‘legittimo interesse’ a trattare i vostri dati senza il consenso.

In sintesi, ‘nessun consenso richiesto’ non equivale a ‘nessuna regola da seguire’. Gli operatori dei siti web devono sempre informarvi e, in molti casi, ottenere il vostro consenso prima di usare i vostri dati personali.”

Principi B, C e D

• B: Gli utenti devono essere informati in anticipo se il contenuto è parzialmente finanziato dalla pubblicità. Quando il contenuto è finanziato almeno in parte dalla pubblicità, gli utenti devono essere informati in anticipo quando accedono al sito web/app per la prima volta. Ad esempio, se un’azienda guadagna esponendo gli utenti a pubblicità basata sul tracciamento e raccogliendo informazioni sul comportamento online dei consumatori tramite tracker, o vendendo il diritto di inserire tracker sui dispositivi degli utenti attraverso siti web, gli utenti devono essere informati in modo adeguato per poter esprimere il loro consenso libero e evitare atteggiamenti manipolativi.
• C: I modelli di business devono essere presentati in modo chiaro, con conseguenze esplicite dell’accettazione o rifiuto dei tracker. Ogni modello di business sarà presentato in modo conciso, chiaro e facile da comprendere. Questo includerà spiegazioni chiare sulle conseguenze dell’accettazione o del rifiuto dei tracker.
• La chiarezza è fondamentale, specialmente quando si tratta di modelli di business basati sui cookie. Pertanto, sono necessarie opzioni chiare ed esaustive per rappresentare agli utenti le varie scelte, come accettare la pubblicità basata sul tracciamento, acconsentire ad altri tipi di pubblicità o pagare un compenso.
• D: Se la pubblicità basata sul tracciamento è un’opzione, deve esistere anche l’alternativa di una pubblicità meno invasiva.
• Se viene proposta la pubblicità basata sul tracciamento o l’opzione del pagamento di una tariffa, i consumatori avranno sempre la scelta aggiuntiva di un’altra forma di pubblicità meno invasiva della privacy. Sono pochi, se non pochissimi, gli utenti che scelgono di pagare. In ogni caso, questa non sembra essere la via alternativa e soprattutto credibile al monitoraggio del comportamento online.

Principio E

• Non è necessario un consenso separato per ogni tracker se l’utente accetta la pubblicità; informazioni dettagliate sui tipi di cookie pubblicitari dovrebbero essere disponibili.
• Il principio si basa sull’assunto che il consenso ai cookie per scopi pubblicitari non dovrebbe essere richiesto per ogni singolo tracker.
• Per gli utenti interessati, dovrebbero essere fornite maggiori informazioni sulle tipologie di cookie utilizzati a fini pubblicitari, con la possibilità di effettuare una selezione più mirata in un secondo livello.
• In pratica, quando gli utenti accettano di ricevere pubblicità, è importante definire chiaramente come ciò avvenga e se vengono utilizzati cookie, inclusi quelli di terze parti. Non dovrebbe essere necessario controllare ogni singolo tracker, altrimenti la scelta diventerebbe inefficace e potrebbe portare gli utenti a premere semplicemente “accetta tutto” o “rifiuta tutto” senza leggere le informazioni complete.

Principio F

• Non sarà richiesto un consenso separato per i cookie utilizzati per gestire il modello pubblicitario scelto dal consumatore (ad esempio i cookie per misurare le prestazioni di un annuncio specifico o per eseguire pubblicità contestuale), poiché i consumatori hanno già espresso la loro scelta riguardo a uno dei modelli di business.
• Poiché l’utente accetta il modello di business pubblicitario e poiché c’è la necessità, da parte dell’azienda, di misurare le prestazioni dei servizi pubblicitari, è opportuno prevedere che i cookie non strettamente necessari per erogare un servizio pubblicitario specifico richiedano un consenso separato, considerando anche le diverse finalità.

Principio G

• Non si dovrebbe chiedere il consenso per i cookie più di una volta all’anno. Il rifiuto dell’utente deve essere registrato senza usare identificatori unici.
• È necessario utilizzare un cookie per registrare il rifiuto del consumatore al fine di rispettare la sua scelta. L’EDPB ritiene ragionevole aspettare almeno un anno prima di richiedere nuovamente il consenso. Inoltre, l’EDPB sottolinea che il registro del “consenso negativo” basato sui cookie non deve contenere un identificatore univoco, ma informazioni generiche, un flag o un codice comune a tutti gli utenti che hanno rifiutato il consenso.

Principio H

• Devono essere accettate le preferenze pre-registrate dagli utenti sui cookie attraverso applicazioni specifiche.
• In pratica, gli utenti se decidono di rifiutare sistematicamente devono essere messi in grado di poterlo fare.
• In caso di decisioni automatizzate, infatti l’EDPB riconosce la capacità dei software di consentire agli utenti di proteggere le proprie apparecchiature terminali, incoraggiando l’impiego della protezione dei dati per impostazione predefinita o di progettazione, ma con la dovuta cautela specie con riferimento al “sì” predefinito che in linea teorica non costituisce di per sé stesso un valido consenso.

La sentenza della Corte di giustizia dell’Unione europea (CGUE) nel caso Fashion ID vs Verbraucherzentrale NRW

La sentenza della Corte di giustizia dell’Unione europea (CGUE) nel caso Fashion ID vs Verbraucherzentrale NRW riguarda la raccolta e l’utilizzo dei dati personali degli utenti da parte dei fornitori di servizi online.

La Fashion ID, un’impresa di abbigliamento di moda online, aveva inserito nel proprio sito il plug-in social “Mi piace” di Facebook. Questo ha portato alla trasmissione di alcuni dati personali dei visitatori del sito a Facebook Ireland, senza il consenso degli utenti e in violazione degli obblighi di informazione previsti dalle disposizioni relative alla protezione dei dati personali.

La Verbraucherzentrale NRW, un’associazione di pubblica utilità per la tutela degli interessi dei consumatori, ha contestato alla Fashion ID questa pratica e ha proposto un’azione inibitoria per farla cessare. La Fashion ID ha contestato la decisione, sostenendo che non aveva alcuna influenza sui dati trasmessi dal browser del visitatore del suo sito Internet né sulla questione se e, eventualmente, in che modo Facebook Ireland li avrebbe utilizzati.

La sentenza ha stabilito alcuni principi importanti in materia di protezione dei dati e responsabilità condivisa.

In sintesi, la sentenza ha chiarito che:

• Il gestore di un sito web che integra il pulsante “Mi piace” di Facebook o altri plugin sociali simili può essere considerato responsabile, insieme a Facebook, della raccolta e trasmissione dei dati personali dei visitatori del suo sito.
• Questa condivisione della responsabilità si verifica perché sia il sito web che Facebook traggono beneficio dalla raccolta dei dati (il sito per l’aumento dell’interattività e la visibilità, Facebook per le informazioni raccolte tramite il pulsante).
• La responsabilità del gestore del sito web è limitata alle fasi della raccolta e trasmissione dei dati che sono sotto il suo controllo diretto. Non è responsabile per il successivo trattamento dei dati da parte di Facebook, una volta che questi sono stati trasmessi.
• I siti web devono ottenere il consenso esplicito degli utenti prima di trasmettere i dati a Facebook attraverso tali strumenti. Non possono basarsi sul consenso implicito.
• Gli utenti devono essere informati in modo chiaro e comprensibile sul fatto che i loro dati verranno raccolti e trasmessi a Facebook quando utilizzano il pulsante “Mi piace” o altri plugin sociali.

Questa sentenza sottolinea l’importanza del consenso informato e della trasparenza nella raccolta dei dati personali online.

Per i gestori di siti web, significa che devono essere molto attenti a come integrano funzionalità di terze parti che potrebbero raccogliere dati personali e assicurarsi di avere procedure adeguate per ottenere il consenso degli utenti.

Quindi l’operatore di un sito web che incorpora un plugin di social media può essere considerato titolare del trattamento insieme al fornitore del plugin per le operazioni di raccolta e trasmissione dei dati personali.

Il consenso deve essere ottenuto prima della raccolta e trasmissione dei dati al fornitore del plugin

Nella risposta dell’EDPB alla Commissione per la protezione dei dati personali della Corea del Sud, su chi dovrebbe essere ottenuto il consenso per l’installazione dei cookie, se il gestore del sito web o il fornitore del plug-in (Reti sociali) Si afferma che:

“Il consenso raccolto dal gestore del sito web si riferisce solo all’operazione o all’insieme di operazioni che comportano il trattamento di dati personali rispetto alle quali il gestore determina effettivamente i fini e i mezzi.

“Di conseguenza, l’ottenimento del consenso da parte del gestore di un sito web non nega né diminuisce in alcun modo l’obbligo del fornitore del social network di assicurarsi che l’interessato abbia fornito un valido consenso per il trattamento di cui è responsabile, sia in qualità di contitolare del trattamento che in qualità di titolare unico”.

Le Linee Guida 7/2020 dell’EDPB

Il documento “Linee guida 07:2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” fornisce chiarimenti sui ruoli e le responsabilità di varie entità nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR).

Il documento si concentra sulla definizione di titolare del trattamento, contitolari del trattamento, responsabile del trattamento, terzo/destinatario e sulle conseguenze derivanti dai diversi ruoli attribuiti.

Titolare del Trattamento

Il titolare del trattamento è definito come la persona fisica o giuridica, autorità pubblica, servizio o altro organismo che determina le finalità e i mezzi del trattamento dei dati personali, sia singolarmente che insieme ad altri.

Il titolare del trattamento è responsabile per il rispetto dei principi relativi al trattamento dei dati personali e deve essere in grado di dimostrare tale conformità.

Contitolari del Trattamento

La contitolarità del trattamento si verifica quando due o più soggetti partecipano congiuntamente alla determinazione d

elle finalità e dei mezzi del trattamento dei dati personali. La partecipazione congiunta può derivare da una decisione comune o da decisioni convergenti che si integrano a vicenda e sono necessarie affinché il trattamento abbia luogo.

Responsabile del Trattamento

Il responsabile del trattamento è l’entità che tratta i dati personali per conto del titolare del trattamento. Il responsabile non può determinare le finalità del trattamento e deve seguire le istruzioni del titolare. Tuttavia, può avere un certo margine di manovra per quanto riguarda le decisioni sui mezzi non essenziali del trattamento, come la scelta di hardware o software specifici.

Terzo/Destinatario

Il documento fornisce anche definizioni per i termini “terzo” e “destinatario”, che si riferiscono a coloro che ricevono i dati personali, ma non sono né il titolare né il responsabile del trattamento.

Conseguenze dei Diversi Ruoli

Il documento discute le implicazioni legali e le responsabilità associate a ciascuno di questi ruoli, sottolineando l’importanza di una chiara attribuzione dei ruoli per garantire la conformità al GDPR. Inoltre, vengono forniti esempi pratici per illustrare come questi concetti si applicano in situazioni reali.

In sintesi, il documento mira a fornire una guida chiara sull’interpretazione e l’applicazione dei concetti di titolare del trattamento, contitolari del trattamento e responsabile del trattamento, nonché sulle responsabilità e le obbligazioni che ne derivano nel contesto del GDPR.

‘European Data Protection Board, chiarisce come gestire situazioni in cui due o più entità (come aziende o organizzazioni) gestiscono insieme i dati personali delle persone. Questo è noto come “titolarità congiunta” del trattamento dei dati.

Ecco cosa bisogna sapere in termini semplici:

• Titolarità congiunta: Quando due o più entità decidono insieme perché e come trattare i dati personali, sono considerate “contitolari”. Questo significa che devono collaborare e stabilire chiaramente i loro ruoli e responsabilità.
• Finalità e mezzi: Le entità devono definire l’obiettivo (la “finalità”) del trattamento dei dati (per esempio, per migliorare un servizio) e il modo in cui questi dati saranno trattati (i “mezzi”).
• Consenso valido: Prima di iniziare a trattare i dati, devono ottenere un consenso chiaro e informato dalle persone interessate. Il consenso non può essere vago o ottenuto tramite inganno.
• Fornire l’informativa: Le persone devono essere informate in modo trasparente su come i loro dati verranno usati e da chi. Devono anche sapere come possono ritirare il loro consenso se cambiano idea.
• Responsabilità della raccolta del consenso: Può dipendere da quale entità ha il contatto diretto con l’utente o chi ha iniziato il trattamento dei dati. In alcuni casi, le entità possono decidere insieme chi deve raccogliere il consenso.

La questione del consenso nel trattamento congiunto dei dati personali è un tema delicato e importante nel diritto della privacy. Secondo l’EDPB, l’European Data Protection Board, quando più entità (come aziende o organizzazioni) sono coinvolte nella gestione dei dati personali, ci sono delle regole precise da seguire per il consenso.

Ecco un modo semplice per capirlo:

• Nominare tutte le organizzazioni: Quando dai il tuo consenso a un’azienda per utilizzare i tuoi dati, devi sapere esattamente chi sono tutte le entità che lo gestiranno. Se più aziende sono coinvolte, tutte devono essere nominate nel momento in cui dai il consenso.
• Trasparenza se i contitolari cambiano: Se al momento del tuo consenso iniziale non tutti i contitolari sono noti, o se in seguito si aggiungono nuovi titolari che vogliono usare il consenso originale, l’azienda che ha raccolto il tuo consenso deve informarti di questi cambiamenti.
• Ulteriori consensi: Se si aggiungono nuovi titolari del trattamento, potrebbe essere necessario ottenere un nuovo consenso da te. Ad esempio, se un sito web ha un plugin di un social media che raccoglie i dati, il social media potrebbe dover raccogliere ulteriori consensi se vuole usare quei dati per scopi diversi da quelli originariamente concordati.

In pratica, questo significa che le aziende devono essere molto chiare su chi sta raccogliendo i dati e per quale motivo. Devono anche essere pronte ad aggiornarti e a chiederti ulteriori consensi se la situazione cambia. Questo è fondamentale per garantire che i tuoi diritti alla privacy siano rispettati e che tu abbia il controllo sui tuoi dati personali.

Le Linee Guida 8/2020 dell’EDPB

Il documento “Linee Guida 8/2020 sul targeting degli utenti di social media” fornisce una panoramica dettagliata sulle pratiche di targeting degli utenti sui social media e le relative implicazioni per la privacy e la protezione dei dati personali.

Il documento presenta vari esempi per illustrare come funziona il targeting. In un esempio, una signora che ha installato un’app di social media sul suo smartphone viene geolocalizzata attraverso il GPS del suo dispositivo.

Questa informazione viene utilizzata da una pizzeria vicina, che utilizza la funzionalità di geotargeting del social media per inviare pubblicità mirate a persone che si trovano entro un chilometro dal suo locale.

In un altro esempio, una signora che crea un account su una piattaforma di social media viene informata che i suoi dati personali saranno utilizzati per mostrare pubblicità mirate sulla sua pagina di social media. Questi dati possono essere raccolti direttamente dal fornitore di social media o attraverso cookie da altri siti web.

Il documento sottolinea i rischi per i diritti e le libertà degli utenti derivanti dal trattamento dei dati personali.

Tra questi rischi, vi è la possibile mancanza di trasparenza e di controllo da parte dell’utente, l’uso imprevisto o indesiderato dei dati personali e le questioni relative alla protezione dei dati e ad altri diritti e libertà fondamentali. Il documento fornisce anche orientamenti su come i fornitori di social media e i targeter dovrebbero gestire le responsabilità congiunte in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR)

Le Linee Guida 8/2020 dell’EDPB riguardano il targeting degli utenti sui social media, un argomento molto attuale e importante nell’era digitale. Ecco un riassunto delle questioni chiave che queste linee guida affrontano:

In conclusione, le Linee Guida 8/2020 dell’EDPB mirano a fornire una struttura per garantire che il targeting degli utenti sui social media sia effettuato in conformità con le normative sulla protezione dei dati, come il GDPR.

Per i gestori di piattaforme social e per le aziende che si impegnano nel marketing online, è essenziale comprendere e applicare queste linee guida per operare legalmente e proteggere i diritti degli utenti.

Le Linee Guida 8/2020 dell’EDPB sono state introdotte per individuare i ruoli e le responsabilità dei fornitori delle piattaforme social e degli inserzionisti, con un chiaro ruolo di contitolarità e la necessità di adottare adeguate informative

La lettera dell’European Data Protection Board (EDPB) alla Commissione per la protezione dei dati personali della Sud Corea

La lettera dell’European Data Protection Board (EDPB) risponde a due domande riguardanti le decisioni recenti della Commissione per la protezione dei dati personali.

La prima domanda riguarda chi (l’operatore del sito web o il fornitore del plugin) è obbligato a ottenere il consenso ai sensi del GDPR per la raccolta dei dati comportamentali online degli utenti utilizzando cookie e identificatori online.

L’EDPB fa riferimento alla sentenza della Corte di giustizia dell’Unione europea (CGUE) in merito a Fashion ID vs Verbraucherzentrale NRW eV.

La seconda domanda riguarda le pratiche di trattamento dei dati delle grandi aziende tecnologiche e le affermazioni avanzate da queste società, comprese le preoccupazioni su potenziali violazioni della protezione dei dati e della privacy. L’EDPB sottolinea che non può fornire consulenza legale su casi specifici al di fuori del suo mandato, né rilasciare dichiarazioni generali su qualsiasi categoria di responsabili del trattamento e sulle loro pratiche in paesi terzi.

Inoltre, l’EDPB ha fornito indicazioni sul concetto di titolarità congiunta, che si riferisce alla situazione in cui due o più entità determinano congiuntamente le finalità e i mezzi del trattamento.

L’EDPB ha chiarito che la qualifica di titolare del trattamento deve essere valutata con riferimento a ciascuna specifica attività di trattamento dei dati.

Riguardo alla decisione dei contitolari sulle modalità del trattamento, l’EDPB ha rilevato che “la scelta operata da un’entità di utilizzare per i propri scopi uno strumento o un altro sistema sviluppato da un’altra entità, consentendo trattamento dei dati personali, equivarrà probabilmente a una decisione congiunta sugli strumenti di tale trattamento da parte di tali soggetti”.

L’EDPB si richiama alle sue Linee Guida 8/2020

Direttiva ePrivacy o GDPR ? Il parere 5/2019 sull’interazione tra la direttiva e-privacy e il GDPR

il Parere 5/2019 del Comitato Europeo per la Protezione dei Dati (EDPB) sull’interazione tra la direttiva e-privacy e il Regolamento Generale sulla Protezione dei Dati (GDPR), adottato il 12 marzo 2019 esamina le questioni relative alle competenze, ai compiti e ai poteri delle autorità per la protezione dei dati nell’ambito dell’applicazione sia della direttiva e-privacy sia del GDPR, in particolare in situazioni in cui le operazioni di trattamento dei dati rientrano nell’ambito di applicazione di entrambi.

Sappiamo oramai tutti cosa è il GDPR

La direttiva ePrivacy

” è un testo che riguarda la Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio, datata 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.

Questa direttiva mira all’armonizzazione delle disposizioni nazionali per garantire la protezione dei diritti e delle libertà fondamentali, in particolare il diritto alla vita privata, in relazione al trattamento dei dati personali nel settore delle comunicazioni elettroniche, e per assicurare la libera circolazione di tali dati e dei servizi di comunicazione elettronica all’interno dell’Unione Europea

La direttiva ePrivacy (2002/58/CE) del Parlamento europeo e del Consiglio, datata 12 luglio 2002, è un documento legale che riguarda il trattamento dei dati personali e la protezione della privacy nel settore delle comunicazioni elettroniche. La direttiva mira a armonizzare le disposizioni nazionali per garantire la protezione dei diritti fondamentali e delle libertà, in particolare il diritto alla privacy, in relazione al trattamento dei dati personali nel settore delle comunicazioni elettroniche, e a garantire la libera circolazione di tali dati e servizi di comunicazione elettronica all’interno dell’Unione europea

Principali disposizioni della direttiva ePrivacy includono:

Elaborazione dati: La direttiva stabilisce che l’elaborazione dei dati di traffico dovrebbe essere limitata a quanto strettamente necessario per attività come la fatturazione, la gestione del traffico, le richieste dei clienti, il rilevamento delle frodi, il marketing dei servizi di comunicazione elettronica o la fornitura di servizi a valore aggiunto. Gli abbonati hanno il diritto di ricevere fatture non dettagliate, e gli Stati membri devono conciliare questo diritto con la privacy degli utenti chiamanti e degli abbonati chiamati.

Identificazione del chiamante: La direttiva include disposizioni sulla presentazione e restrizione dell’identificazione della linea chiamante, garantendo agli utenti la possibilità di impedire la presentazione dell’identificazione della linea chiamante per ogni chiamata o per linea

Misure di sicurezza: I fornitori di servizi di comunicazione elettronica devono adottare adeguate misure tecniche e organizzative per proteggere la sicurezza dei loro servizi e dei dati personali. In caso di violazione dei dati personali, il fornitore deve segnalare l’incidente all’autorità nazionale competente e, se vi è un rischio di danneggiare la privacy di un abbonato o di un’altra persona, devono informare anche l’abbonato o la persona interessata.

Riservatezza delle comunicazioni: La direttiva sottolinea la riservatezza delle comunicazioni, garantendo che l’ascolto, l’intercettazione, la memorizzazione o altri tipi di intercettazione o sorveglianza delle comunicazioni e dei relativi dati di traffico da parte di persone diverse dagli utenti, senza il consenso degli utenti coinvolti, sia vietata.

In termini di sicurezza, i fornitori di servizi di comunicazione elettronica devono adottare misure tecniche e organizzative adeguate per proteggere la sicurezza dei loro servizi e dei dati personali. In caso di violazione dei dati personali, il fornitore deve comunicare l’incidente all’autorità nazionale competente e, se c’è il rischio di pregiudicare la privacy di un abbonato o di un’altra persona, deve informare anche l’abbonato o la persona interessata.

La direttiva enfatizza la riservatezza delle comunicazioni, vietando l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o sorveglianza delle comunicazioni e dei relativi dati sul traffico senza il consenso degli utenti, a meno che non sia legalmente autorizzato.

D’altra parte, la direttiva ePrivacy, nota anche come Cookie Law e copre argomenti come l’uso dei cookie, il marketing via email e la riservatezza delle comunicazioni.

Dal punto di vista dell’interazione, ci sono molti casi in cui sia la direttiva ePrivacy che il GDPR si applicano. Ad esempio, l’uso dei cookie coinvolge spesso il trattamento di dati personali, e quindi sia la direttiva ePrivacy che il GDPR possono essere applicabili. In tali casi, le disposizioni specifiche della direttiva ePrivacy avrebbero la precedenza sulle regole generali del GDPR a causa del principio di lex specialis

Il documento chiarisce che l’archiviazione o l’accesso a informazioni nell’apparecchiatura terminale di un utente sono permessi solo per la trasmissione di una comunicazione su una rete di comunicazione elettronica o quando strettamente necessario per fornire un servizio esplicitamente richiesto dall’utente.

Quando parliamo di “informazioni memorizzate nel dispositivo dell’utente finale”, ci riferiamo, per esempio, ai cookie o ad altri dati salvati dal sito web sul tuo dispositivo (come il tuo smartphone o computer).

Un esempio fornito riguarda i data broker che raccolgono dati attraverso cookies e altre fonti, dove il collocamento o la lettura di marcatori deve essere conforme alle disposizioni nazionali derivanti dall’articolo 5, paragrafo 3, della direttiva e-privacy. Il trattamento successivo di dati personali deve avere un fondamento giuridico anche secondo l’articolo 6 del GDPR

Il parere si concentra anche sui meccanismi di cooperazione e coerenza tra le autorità per la protezione dei dati e sottolinea l’importanza di un’applicazione coerente del GDPR in tutto lo Spazio Economico Europeo.

Il Comitato ha ricevuto una richiesta dall’autorità belga per la protezione dei dati per esaminare l’interazione tra il GDPR e la direttiva e-privacy e per emettere un parere in merito, con particolare attenzione alle competenze, ai compiti e ai poteri delle autorità per la protezione dei dati

Nella sua risposta, l’EDPB menziona senza parole l’articolo 5 (3) Direttiva ePrivacy e relazione con l’articolo 6 del GDPR. Poiché la domanda riguardava specificamente “la raccolta dei dati comportamentali online degli utenti utilizzando i cookie”, sono rimasto un po’ sorpreso.

Quando parliamo di “informazioni memorizzate nel dispositivo dell’utente finale”, ci riferiamo, per esempio, ai cookie o ad altri dati salvati dal sito web sul tuo dispositivo (come il tuo smartphone o computer).

L’EDPB ha chiarito che se questi dati salvati sono considerati “dati personali” (cioè possono identificarti come individuo), allora la direttiva e-privacy ha la precedenza sul GDPR per quanto riguarda l’atto di “archiviare” o “accedere” a tali informazioni. In altre parole, anche se il GDPR è la normativa principale sulla protezione dei dati in Europa, quando si tratta di mettere o leggere qualcosa dal tuo dispositivo, dobbiamo seguire le regole specifiche della direttiva e-privacy.

Quando si parla di “cookie” su un sito internet, ci si riferisce a piccoli pezzi di dati che il sito può salvare sul tuo dispositivo per ricordare le tue azioni e preferenze. Questi dati possono essere considerati “dati personali” se permettono di identificarti come individuo.

La “direttiva ePrivacy” è una legge dell’Unione Europea che si occupa specificamente della privacy nelle comunicazioni elettroniche, inclusi l’uso dei cookie.

L’articolo 5(3) di questa direttiva richiede che gli utenti diano il loro consenso prima che i dati possano essere salvati o letti sul loro dispositivo, come nel caso dei cookie.

Il GDPR è una legge più ampia sulla protezione dei dati che si applica a tutti i tipi di dati personali. L’articolo 4(11) definisce cosa si intende per “consenso” degli utenti, mentre l’articolo 95 stabilisce che il GDPR non deve imporre ulteriori obblighi se esistono già specifiche regole legate alla protezione dei dati in altre leggi dell’UE, come la direttiva ePrivacy.

L’EDPB suggerisce che sia necessario ottenere il consenso secondo le regole del GDPR anche per questa fase di raccolta. Tuttavia, la direttiva ePrivacy è la legge specifica (“Lex Specialis”) che regola l’uso dei cookie, quindi dovrebbe avere la precedenza.

In pratica, ciò significa che per quanto riguarda i cookie, dovresti seguire le regole più specifiche della direttiva ePrivacy quando chiedi il consenso per archiviare o accedere alle informazioni sul dispositivo dell’utente.

In conclusione, se gestisci un sito web, dovresti assicurarti di ottenere il consenso degli utenti in modo chiaro e conforme alle regole della direttiva ePrivacy per l’uso dei cookie, e questo consenso deve rispettare anche i requisiti del GDPR per essere considerato valido.

Ecco cosa significa per te da un punto di vista pratico:

Prima che un sito web possa archiviare o accedere a informazioni sul tuo dispositivo, deve ottenere il tuo consenso.
Questo consenso deve essere basato su una spiegazione chiara e completa dell’uso che sarà fatto di tali dati.
Hai il diritto di rifiutare questo consenso e comunque accedere al sito web, anche se alcune funzionalità potrebbero essere limitate.
L’obiettivo di questa regolamentazione è darti il controllo completo sui tuoi dati personali e su come vengono utilizzati, garantendo al tempo stesso che le tue informazioni siano protette secondo gli standard più elevati.

La Privacy Naviga in Acque Incerte: L’Articolo 21 c.5 GDPR e il Do Not Track

Il mondo digitale è una giungla di dati personali, dove ogni click può lasciare un’impronta.

Nel tentativo di regolamentare questa selva selvaggia, l’Unione Europea ha implementato il Regolamento Generale sulla Protezione dei Dati (GDPR), una delle leggi più rigorose in materia di privacy.

Tuttavia, c’è un aspetto che spesso sfugge all’occhio critico dell’utente medio: l’articolo 21 c.5 del GDPR.

Questo articolo stabilisce che non vi è un obbligo generale per i titolari del trattamento dati di rispettare le impostazioni Do Not Track (DNT) degli utenti.

Ma cosa significa questo per noi, navigatori del web? Il DNT è una funzionalità che può essere attivata nei browser per indicare ai siti web la preferenza di non essere tracciati. In teoria, attivare il DNT dovrebbe dire ai siti web e ai servizi online “Ehi, preferirei che non raccoglieste i miei dati mentre navigo”. Tuttavia, l’articolo 21 c.5 del GDPR ci dice che i titolari del trattamento dati non sono tenuti a obbedire a questa richiesta.

Questo non significa che il GDPR sia inefficace; tutt’altro.

Il regolamento ha introdotto cambiamenti rivoluzionari nel modo in cui i dati personali devono essere trattati, fornendo agli utenti diritti senza precedenti come l’accesso ai propri dati, la rettificazione, la cancellazione e la portabilità dei dati. Ma quando si tratta di DNT, il GDPR lascia un vuoto.

Il motivo? La DNT è una norma tecnica volontaria, non una legge, e quindi non ha un meccanismo di enforcement obbligatorio. I titolari del trattamento possono scegliere se rispettare o meno questa impostazione, e molti scelgono di ignorarla, preferendo affidarsi al meccanismo del consenso attivo o ad altre basi legali previste dal GDPR per giustificare il trattamento dei dati.

Questa situazione lascia gli utenti in una posizione ambigua. Da un lato, hanno il controllo formale dei loro dati personali; dall’altro, la loro capacità di influenzare il tracciamento online attraverso il DNT è limitata. Inoltre, la mancanza di standardizzazione e la varietà delle interpretazioni del DNT tra diversi siti web e browser rendono ancora più complessa la situazione.

Cosa possiamo fare allora come utenti?

Innanzitutto, è essenziale essere consapevoli delle impostazioni di privacy disponibili nel proprio browser e utilizzare strumenti aggiuntivi, come estensioni di blocco della pubblicità e VPN, che possono offrire ulteriori livelli di protezione. Inoltre, è importante esercitare i diritti garantiti dal GDPR, richiedendo trasparenza e responsabilità ai titolari del trattamento sui propri dati.

In conclusione, mentre l’articolo 21 c.5 del GDPR non sostiene l’obbligo di rispettare il DNT, non è una sentenza definitiva sulla privacy online.

La protezione dei dati personali è un processo dinamico e in evoluzione, e come tale richiede un impegno costante da parte degli utenti per navigare in modo informato e protetto.

La Privacy Digitale in Danimarca: La Battaglia Contro Google

La Danimarca si è recentemente ritrovata al centro di un dibattito significativo sulla privacy digitale.

L’Agenzia danese per il governo digitale ha espresso preoccupazioni serie su come Google gestisce i dati degli utenti, portando alla luce una potenziale violazione dell’articolo 5, paragrafo 3, della direttiva ePrivacy.

Questo articolo è fondamentale perché regola l’uso di cookie e tecnologie simili che possono raccogliere dati sugli utenti.

La Direttiva ePrivacy e il Suo Articolo 5, Paragrafo 3: Una Guida per la Privacy Online

In qualità di avvocato specializzato in diritto della privacy, ritengo essenziale approfondire la comprensione dell’articolo 5, paragrafo 3, della Direttiva ePrivacy dell’Unione Europea, un pilastro normativo che regola l’uso dei cookie e di tecnologie simili nell’ambito del trattamento dei dati personali online.

L’articolo 5, paragrafo 3, stabilisce che l’archiviazione di informazioni o l’accesso a informazioni già archiviate sul dispositivo terminale di un abbonato o utente è consentito solo a condizione che l’utente abbia dato il proprio consenso informato, dopo essere stato chiarito, attraverso informazioni chiare e complete, circa le finalità dell’accesso o dell’archiviazione.

Questo requisito non si applica se l’archiviazione o l’accesso sono strettamente necessari per fornire un servizio esplicitamente richiesto dall’utente o per la sola trasmissione di una comunicazione su una rete di comunicazioni elettroniche.

Il principio alla base di questa disposizione è la protezione della privacy degli utenti.

I cookie possono rivelare molto sulla navigazione e le preferenze degli utenti, perciò il legislatore europeo ha inteso garantire che gli utenti siano pienamente consapevoli e d’accordo prima che tali dati vengano raccolti. Il consenso deve essere un atto positivo e inequivocabile che rifletta la volontà dell’utente di accettare i cookie sul proprio dispositivo.

Tuttavia, l’applicazione pratica di questa norma ha sollevato sfide significative.

La crescente sofisticazione delle tecnologie di tracciamento ha reso sempre più difficile per gli utenti comprendere realmente cosa accettano quando danno il loro consenso.

La recente valutazione dell’Agenzia danese per il governo digitale, che ha ritenuto Google in violazione di questo articolo, sottolinea le difficoltà che le grandi aziende tecnologiche incontrano nel rispettare i dettami della Direttiva.

La questione si inserisce in un contesto più ampio di preoccupazioni per la privacy dei dati nel trasferimento transatlantico, sollevato inizialmente dal caso Schrems II. Questa situazione ha messo in evidenza come le pratiche di Google possano non essere pienamente conformi con il GDPR.

Per le aziende che operano a livello globale, il messaggio è chiaro: la conformità alla normativa europea sulla privacy non è negoziabile.

Queste vicende evidenziano l’importanza della trasparenza e della responsabilità nella gestione dei dati personali, e servono da monito per tutte le organizzazioni che trattano dati all’interno dell’UE.

il fatto

IIl 1° e il 16 settembre 2022, Google LLC ha ricevuto lettere di consultazione riguardo all’uso dei cookie sul proprio sito web, in quanto non consentivano agli utenti di prestare un consenso dettagliato.

Il testo nel banner dei cookie affermava che selezionando “accetta tutto”, gli utenti accettavano che Google potesse utilizzare i cookie per quattro scopi di elaborazione dati. Gli utenti avrebbero potuto suddividere il proprio consenso nella sezione “Altre scelte” del banner dei cookie, ma solo in due scopi diversi da quelli del primo livello.

In secondo luogo, l’Agenzia ha rilevato che Google non forniva agli utenti informazioni complete su tutti i cookie utilizzati sul sito web. Inoltre, ha sottolineato che tali informazioni non erano permanentemente accessibili tramite un accesso diretto e contrassegnato al sito web, rendendo difficile per gli utenti recuperarle quando cliccavano sul banner dei cookie.

Il 13 settembre e il 6 ottobre 2022, Google Denmark ApS, Google LLC e Google Ireland Limited hanno presentato osservazioni alle lettere. Hanno sostenuto che la legge danese sui cookie si applica solo al gestore del sito web, che nel loro caso è Google Ireland Limited. Di conseguenza, hanno contestato la competenza territoriale dell’Agenzia a vigilare su Google Ireland Limited.

la questione sulla compentenza

1. Oblighi del proprietario del sito web: l’Agenzia danese per il governo digitale ritiene che il proprietario di un sito web sia responsabile del rispetto delle leggi danesi sui cookie.
2. In questo caso specifico, Google LLC, essendo il proprietario del sito web in questione, deve attenersi a queste leggi. Questo significa che Google deve seguire regole precise su come utilizzare i cookie e su come informare e ottenere il consenso degli utenti.
3. Legge danese sui cookie: La legge danese sui cookie fa parte della legislazione nazionale che mira a proteggere la privacy degli utenti online. Secondo questa legge, i siti web devono ottenere il consenso degli utenti prima di installare cookie sui loro dispositivi, tranne in alcuni casi specifici dove i cookie sono essenziali per fornire un servizio richiesto dall’utente.
4. Competenza territoriale: Il secondo punto importante riguarda la “competenza territoriale”. In pratica, questo significa determinare quale autorità di controllo (in questo caso, l’agenzia governativa danese) ha il diritto di gestire una questione legale. Per avere questa competenza, devono esserci due condizioni: primo, il titolare del trattamento dei dati (Google LLC) o il responsabile del trattamento deve avere una presenza stabile nello Stato membro (come un ufficio o una filiale); secondo, il trattamento dei dati personali deve avvenire nell’ambito delle attività di tale stabilimento.
5. Caso specifico di Google: L’Agenzia danese ha stabilito che Google Denmark ApS, la filiale danese di Google LLC, ha sede a Copenaghen e che l’uso dei cookie da parte di Google Denmark ApS fa parte delle sue operazioni nel mercato danese. Di conseguenza, l’agenzia ha confermato che ha il diritto (competenza territoriale) di occuparsi di questa questione relativa all’uso dei cookie da parte di Google.
6. In sostanza, secondo l’Agenzia danese, Google avrebbe dovuto seguire le leggi danesi sui cookie perché operava in Danimarca attraverso la sua filiale. Questo implica che le azioni di Google Denmark ApS possono essere esaminate e regolamentate dalle autorità danesi in materia di privacy.

Il banner cookie

1. Banner dei cookie: Il banner dei cookie è quella finestra pop-up che appare quando visitiamo un sito web per la prima volta, chiedendoci di accettare o rifiutare l’uso dei cookie. In Danimarca, l’Agenzia per il governo digitale ha valutato che le informazioni fornite nel primo livello del banner di Google non erano abbastanza dettagliate.
2. Finalità dei cookie: I cookie possono essere usati per diverse finalità, come migliorare la navigazione sul sito, personalizzare i contenuti, analizzare il traffico, ecc. La legge richiede che ogni finalità sia chiaramente spiegata e che gli utenti possano scegliere quali finalità accettare. L’Agenzia ha trovato che Google aveva raggruppato le finalità in modo troppo generico, senza fornire la possibilità di scegliere separatamente per ciascuna.
3. Consenso volontario e specifico: Secondo la legge danese sui cookie e il GDPR, il consenso deve essere dato in modo volontario e specifico per ciascuna finalità. L’Agenzia ha ritenuto che Google non avesse soddisfatto questa condizione perché non aveva permesso agli utenti di dare un consenso separato per ogni finalità specifica.
4. Revoca del consenso: È importante che gli utenti possano cambiare idea e revocare il consenso all’uso dei cookie. L’Agenzia ha riconosciuto che il sito web di Google permetteva agli utenti di fare ciò, ma ha anche osservato che non era facile capire come revocarlo e che l’opzione non era immediatamente accessibile.
5. Ordine di modifica: Come risultato di queste valutazioni, l’Agenzia ha ordinato a Google di cambiare il modo in cui chiede il consenso per i cookie sul suo sito web. In particolare, ha richiesto che Google renda più facile per gli utenti accedere all’opzione per revocare il consenso.

Mancanza di un linguaggio chiaro e comprensibile

In terzo luogo, l’Agenzia ha valutato che gli utenti non avevano accesso a una politica sui cookie con un linguaggio chiaro, preciso e facilmente comprensibile

1. Chiarezza della politica sui cookie: La “politica sui cookie” è un documento che spiega come un sito web utilizza i cookie. La legge danese richiede che questa politica sia scritta in un linguaggio semplice e comprensibile, affinché tutti possano facilmente capire come i loro dati vengono utilizzati. L’Agenzia danese per il governo digitale ha valutato che le informazioni fornite da Google non erano abbastanza chiare o dettagliate.
2. Lingua della politica: Il testo specifica che le informazioni erano fornite principalmente in inglese, il che è problematico poiché la maggior parte degli utenti in Danimarca parla danese. Questo rendeva difficile per loro comprendere pienamente la politica sui cookie di Google.
3. Disponibilità delle informazioni: Inoltre, l’Agenzia ha osservato che, una volta che un utente chiude il banner dei cookie, diventa difficile recuperare e rivedere la politica sui cookie. Le leggi richiedono che queste informazioni siano facilmente e permanentemente accessibili agli utenti, affinché possano consultarle in qualsiasi momento.
4. Miglioramenti e critiche: L’Agenzia ha riconosciuto che Google aveva già fatto alcuni cambiamenti per rendere più facile agli utenti accedere alle informazioni con meno clic. Tuttavia, ha ritenuto che queste modifiche non fossero ancora sufficienti per garantire un accesso facile e comprensibile.
5. Richiesta di conformità: Di conseguenza, l’Agenzia ha richiesto a Google di migliorare ulteriormente la situazione. Google deve assicurarsi che tutte le informazioni relative ai cookie siano presentate in danese (o in una lingua comprensibile dal pubblico danese) e che siano sempre disponibili sul sito web in modo che gli utenti possano accedervi facilmente quando lo desiderano.

Google e la Privacy: Verso un Nuovo Equilibrio?

In un’epoca in cui la privacy online è sotto i riflettori, Google si trova al centro di una controversia che ha sollevato interrogativi fondamentali su ciò che significa navigare in privato.

La società ha recentemente raggiunto un accordo per risolvere una causa da 5 miliardi di dollari in cui veniva accusata di tracciare gli utenti anche quando questi navigavano in modalità “incognito” su Chrome o utilizzando funzioni simili su altri browser.

La class action, avviata nel 2020, ha messo in luce una pratica inquietante: nonostante le promesse di una navigazione privata, Google avrebbe continuato a raccogliere dati sugli utenti attraverso le sue tecnologie pubblicitarie, strumenti di analisi e applicazioni.

Questo ha permesso all’azienda di accumulare un’enorme quantità di informazioni dettagliate sugli utenti, dalle loro relazioni sociali ai gusti personali, dalle abitudini d’acquisto alle ricerche online a volte private o imbarazzanti.

L’accordo, che deve ancora ricevere l’approvazione giudiziaria, non ha rivelato i dettagli finanziari. Tuttavia, si sa che gli avvocati dei querelanti avevano chiesto 5 miliardi di dollari di danni e prevedono di presentare una proposta formale di accordo entro il 24 febbraio.

La causa, avviata nel 2020, ha sollevato dubbi sulla reale efficacia della navigazione privata offerta da Chrome, suggerendo che Google continuasse a monitorare le attività online degli utenti attraverso strumenti come analytics e cookies, nonostante le aspettative di anonimato.

Secondo l’accusa, l’azienda avrebbe raccolto dati tanto dettagliati da trasformarsi in un “tesoro di informazioni” su aspetti intimi e quotidiani della vita delle persone.

L’intesa raggiunta, che attende ancora l’approvazione di un giudice federale, non ha svelato i particolari finanziari, ma i legali dei querelanti si aspettano di proporre un accordo definitivo a breve. Google, dal canto suo, non ha commentato la questione.

In risposta a queste preoccupazioni e alla crescente richiesta di maggiore privacy da parte degli utenti, Google ha lanciato “Privacy Sandbox”

l giudice ha confermato che gli avvocati di Google hanno raggiunto un accordo preliminare per risolvere la causa collettiva – originariamente intentata nel 2020 – in cui si sosteneva che probabilmente “milioni di individui” erano stati colpiti.

Gli avvocati dei querelanti chiedevano almeno 5.000 dollari per ciascun utente che, secondo loro, era stato monitorato dall’azienda mentre visitava Google Analytics o Ad Manager in “modalità di navigazione privata” senza aver effettuato l’accesso al proprio account Google.

La causa, intentata in un tribunale della California, sosteneva che le pratiche di Google avevano violato la privacy degli utenti ingannandoli “intenzionalmente” e che ai suoi dipendenti era stato dato il “potere di apprendere dettagli intimi sulla vita, gli interessi e l’utilizzo di Internet delle persone”.

“Google si è creato un tesoro inspiegabile di informazioni così dettagliate che George Orwell non avrebbe mai potuto immaginarlo”, si legge nei documenti che accompagnano la causa.

Non è stata fornita alcuna cifra per la transazione preliminare tra le parti e i 5 miliardi fanno riferimento a una stima in attesa che un accordo formale venga approvato dal tribunale entro il 24 febbraio 2024