Non si dirà mai abbastanza sull’importanza economica dell’attività di individuazione dei comportamenti degli utenti di servizi online. Si tratta di merce ormai preziosa più di tante materie prime, e i grandi OTT ne fanno ogni giorno incetta. Dall’altro lato della barricata, le Autorità garanti si impegnano a far sì che tale “oro contemporaneo” non sia raccolto scorrettamente, e disciplinano l’uso degli strumenti tecnici utilizzati, che consistono prevalentemente in cookies e tecnologie identificative come il fingerprinting.
Con lodevole iniziativa, il Garante italiano ha ritenuto di dover aggiornare le proprie linee guida riguardanti tali aspetti, sottoponendole a una consultazione pubblica (Consultazione sulle “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”, provvedimento 255 del 26 novembre 2020) il cui termine scadrà dopo trenta giorni dalla pubblicazione del relativo avviso in Gazzetta.
Uno sguardo generale al documento evidenzia la volontà del board del Garante di porre al centro dell’intervento il GDPR e i suoi principi (sono più volte richiamati nel testo quelli relativi alla privacy by default e by design), in chiave di responsabilizzazione delle imprese e di tutti i titolari del trattamento dei dati.
Viene ribadito, a tal proposito, che i cookies di profilazione (quelli utilizzati per ricondurre a soggetti determinati specifiche azioni o schemi comportamentali ricorrenti) sono soggetti al consenso informato dell’interessato per essere legittimi. Lo scrolling (ossia il semplice far scorrere la pagina internet) non è sufficiente a far presumere tale consenso, tuttavia, sostiene il Garante, esso può essere una componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito, con la generazione di un preciso pattern, una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie. In sostanza, sembra di capire, lo scrolling può essere sufficiente se implica un ruolo attivo dell’utente, tale da rendere certa la sua volontà di accettare i cookies.
Viene invece del tutto vietato il cookie wall, ossia il meccanismo che impedisce di accedere ai servizi della pagina senza accettare la profilazione. Unica scappatoia per il titolare sarebbe in questo caso fornire servizi equivalenti che non prevedano la concessione dei propri dati (ma l’ipotesi, a parere di chi scrive, è meramente di scuola).
Quanto ai famosi “banner” relativi all’accettazione dei cookies, il garante ne intende approfondire e specificare la disciplina con nuove regole, e apre al contributo degli stakeholders anche per idee su standard “di design” relativi all’aspetto dei “bottoni” che l’utente dovrà usare per regolare la propria concessione di dati alla piattaforma.
Vi è poi da segnalare una apertura verso modi di fornire l’informativa obbligatoria più dinamici e più consoni al tempo attuale (si citano espressamente: modalità multilayer e multichannel, canali video, pop-up informativi, interazioni vocali, assistenti virtuali, impiego del telefono, ricorso a chatbot).
Un contributo quindi, quello del Garante, aperto alle suggestioni degli stakeholders, che si spera non mancheranno, data l’importanza del tema.
Avv. Giuseppe Colaiacomo