La rete, i cookie, la privacy

Con l’ennesimo provvedimento generale – pubblicato l’8 maggio 2014 e più volte richiamato da successivi comunicati stampa e chiarimenti – il Garante Privacy ha tracciato le linee guida per una corretta informazione agli utenti sull’uso che ciascun sito Web fa dei cookie e per la contestuale acquisizione del consenso al trattamento dei dati personali eventualmente gestiti durante la navigazione.

Chi naviga abitualmente nel Web internazionale, distingue chiaramente i siti italiani da quelli degli altri paesi europei, non per la presenza del tricolore ma per la visualizzazione di banner multicolore che ostacolano la navigazione per mostrare “’informativa semplificata” e acquisire un consenso (il più delle volte obbligatorio, salvo voler rinunciare a visitare il sito) che ha fatto crollare sensibilmente gli accessi degli utenti, infastiditi da tale avviso.

Ce n’era davvero bisogno? La normativa italiana prende spunto da quella europea, alla quale evidentemente gli altri paesi non si sono adeguati, oppure, come al solito, è l’Italia ad essersi adeguata in malo modo, considerando in suoi utenti non sufficientemente alfabetizzati, dal punto di vista informatico, da comprendere l’uso dei cookie e da scegliere consapevolmente se mantenerli o cancellarli dopo aver visitato un sito Web.

Le norme europee auspicano un “consenso informato”. Esaminando il provvedimento, si nota immediatamente un’incongruenza dei contenuti rispetto alle premesse, che si manifesta poi nel Web con l’apposizione dei banner, come già detto, solo sui siti italiani: le norme europee non obbligano gli utilizzatori di cookie a manifestare in modo così evidente l’informativa semplificata e la richiesta di consenso al trattamento ma auspicano, invece, un consenso informato, che presuppone una cultura dell’informazione e dell’informatica.

Solo a titolo d’esempio, la Direttiva Europea 2002/58/CE, relativa alle modalità di accesso ai servizi telefonici e telematici, utilizza il condizionale per evidenziare la necessità di informare e rendere edotto il consumatore circa la possibilità di proteggere le informazioni che lo riguardano, anche attraverso tecniche di cifratura dei dati.

A carico del fornitore di servizi pone, invece, l’obbligo di garantire la sicurezza dei dati trasmessi in rete dalla cognizione non autorizzata da parte di terzi.

Al punto 25, la Direttiva tratta esplicitamente dei cookie, indicandoli uno strumento legittimo di analisi del funzionamento dei siti Web ed evidenziando che l’utente dovrebbe essere informato del loro utilizzo, anche al fine di negare il consenso alla loro installazione.

La Direttiva 2009/136/CE, richiamando al punto 51 la già citata Direttiva 2002/58/CE, da un lato ribadisce la necessità di tutela dei dati personali degli utenti dei servizi di comunicazione elettronica rispetto al trattamento da parte di terzi, dall’altro evidenzia l’opportunità di creare una cultura della sicurezza incentrata sulla valutazione e catalogazione degli incidenti, al fine di formare e informare i cittadini, diffondendo le buone prassi che hanno consentito di ottenere i migliori risultati nella pratica quotidiana.

La minaccia? I software che registrano azioni e abitudini.  Punta il dito, l’Unione Europea, non tanto sulla possibilità che, attraverso i cookie, possano lasciarsi tracce sul computer dell’utente – che qualcun altro, successivamente, potrebbe leggere, anche per fini di profilazione – quanto sulla minaccia costituita dai software che registrano le azioni e le abitudini degli utenti a loro insaputa.

In relazione ai cookie, anche la seconda Direttiva ricorda che possono verificarsi tentativi, da parte di terzi, di archiviare informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a notizie già archiviate da altri, ma ribadisce, innanzitutto, che non è necessario alcun consenso nelle ipotesi di memorizzazione di informazioni di natura tecnica, necessarie per il funzionamento di un sito o di un servizio al quale l’utente ha chiesto di poter accedere (richiesta che è insita nella chiamata al sito) e che, in ogni caso, il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione. La Direttiva presuppone, cioè, che per l’utente sia normale configurare il suo browser per accettare, filtrare o rifiutare i cookie.

Il Legislatore Europeo sembra quindi voler affermare che è necessaria una cultura della sicurezza delle informazioni e della prevenzione degli incidenti informatici, che non può essere garantita da un banner proiettato ad ogni primo accesso a un determinato sito Web, ma che deve costituire il risultato di un lungo percorso di alfabetizzazione informatica, fin dai primi anni di scuola.

Utente avveduto e utente disattento. Un utente avveduto sa come configurare il proprio browser per accettare solo determinate categorie di cookie o per non accettarne affatto, sa come proteggersi da virus e malware, sa come rimuovere le informazioni che reputa riservate al termine della navigazione (password e user id memorizzate nell’accesso ai vari servizi), sa come ripristinare il programma che utilizza per consultare Internet al fine di cancellare la cronologia e la cache, che possono risultare ben più invasive del semplice cookie.

Un utente disattento o semplicemente ignorante (nel senso che ignora le più elementari cautele) cederà volontariamente quanto inconsapevolmente molte più informazioni di quante possa acquisirne un eventuale malintenzionato semplicemente utilizzando i cookie.

Che molte aziende utilizzino i cosiddetti “biscottini” per profilare gli utenti e adeguare le offerte commerciali alle ricerche effettuate su Internet, è circostanza della quale un navigatore dovrebbe accorgersi semplicemente notando che Facebook propone, a margine del diario, prodotti analoghi a quelli cercati o consultati su Amazon qualche istante prima. Ripristinando le impostazioni di default del programma di navigazione e tornando a utilizzare Facebook, la pubblicità torna a essere casuale.

Da tale analisi, si può dedurre che il trattamento si svolge in forma anonima, altrimenti al successivo accesso tramite Facebook, il sistema dovrebbe associare nuovamente i dati dell’utente a quelli registrati in precedenza; si può dedurre anche che il cliente ha il controllo della situazione, poiché potrebbe anche cancellare tutti i dati a ogni utilizzo o impostare il browser per farlo automaticamente.

Un disclaimer, ancorché dotato di richiesta di consenso al trattamento, nulla aggiunge alla sicurezza del navigatore avveduto, sia perché l’accesso alla maggior parte dei siti è sempre condizionato al deposito del cookie, sia perché sa già in precedenza come tutelarsi.

Viceversa, è l’utente ignorante che deve preoccupare il Legislatore, poiché, al soggetto che ignora perfino cosa siano i cookie, sia l’informativa semplificata che il consenso al trattamento risulteranno talmente ostici e incomprensibili da essere inutili e comunque superflui rispetto all’obiettivo da raggiungere, dato che sarà già stato profilato abbondantemente da servizi ai quali egli stesso ha chiesto di accedere.

Nel tornare all’oggetto della dissertazione, occorre ricordare che la profilazione degli utenti era soggetta all’acquisizione del consenso degli interessati e alla notifica al Garante, ex art. 37, D.Lgs. 196/2003, a prescindere dal provvedimento di carattere generale emesso nel mese di giugno 2014, il quale, peraltro, costituisce comunque un documento con delle linee guida, vincolante per i destinatari solo nella misura in cui, osservandolo pedissequamente, subiscono un sinistro e possono dimostrare di aver adempiuto correttamente alle indicazioni dell’Autorità. Al contrario, discostarsi dalla prassi indicata dal Garante non comporta automaticamente l’irrogazione della sanzione ma la necessità di spiegare i motivi della diversa interpretazione data alla norma di riferimento, che resta il Codice della Privacy.

Adempimenti a carico dei gestori italiani di siti Web. Dopo tale lunga premessa, è opportuno delineare brevemente quali adempimenti sono effettivamente a carico dei gestori italiani di siti Web che utilizzano cookie tecnici, di profilazione, di terze parti.

Il cookie tecnico, necessario per migliorare l’esperienza di navigazione e attivare programmi e opzioni, senza trattamento dei dati personali dell’utente o con trattamento in forma anonima, non necessita di alcun banner e di alcun consenso preventivo da parte dell’utente, potendosi ritenere assolto ogni obbligo informativo con la privacy policy del sito.

I cookie che eseguono l’analisi della navigazione e dei comportamenti degli utenti sono assimilati a quelli tecnici (nessun banner, nessun consenso), anche se forniti da terze parti, quando si limitano migliorare la fruibilità del sito per caricare più velocemente le informazioni e utilizzano tecniche di anonimizzazione, anche parziale, che impediscono il trattamento dei dati dell’utente anche ai fini della connessione con altri dati.

I collegamenti a risorse esterne – tramite link, banner pubblicitari, collegamenti a social network – non sono soggetti all’obbligo di informazione e acquisizione del consenso nell’ipotesi in cui non richiedano l’installazione di cookie di profilazione.

In sostanza, l’obbligo di utilizzare un banner informativo, che avverta l’utente dell’installazione di cookie di profilazione, evidenziando che qualsiasi attività di prosecuzione della navigazione diversa dalla chiusura del browser comporterà consenso esplicito al trattamento, esiste solo nei confronti dei soggetti che, dichiaratamente, trattano i dati dell’utente per tracciarne i comportamenti e rilevarne le abitudini, al fine di costruirne un profilo dettagliato da utilizzare per ragioni commerciali.

In tal caso, il consenso potrà essere richiesto anche per singole categorie di dati e sarà comunque necessario procedere alla notifica del trattamento all’Autorità Garante per la Privacy, ai sensi dell’art. 37, D.Lgs. 196/2003 (come del resto era necessario fare anche in precedenza).

Un chiarimento opportuno, anche se non necessario, riguarda la possibilità di effettuare una sola notifica per tutti i siti Web gestiti nell’ambito dello stesso dominio (all’evidente fine di limitare il versamento dei diritti di segreteria).

Qualche perplessità, invece, desta l’obbligo di ottemperare per quei soggetti che, pur non avendo sede in Italia, sono tecnicamente in grado di scaricare cookie sui computer degli utenti italiani, sia per la difficoltà di pretendere un simile adempimento da parte di soggetti estranei alla giurisdizione italiana, sia per l’oggettiva difficoltà di procedere con l’irrogazione delle eventuali sanzioni.

Fonte: Sicurezza magazine

Videosorveglianza nel nuovo millennio

I primi dieci anni del nuovo millennio sono ricchi di studi e valutazioni sull’impatto della videosorveglianza nella vita quotidiana, anche grazie al rapido decremento dei costi di produzione conseguente al passaggio al digitale e all’alta risoluzione.

Lo studio comparativo denominato “UrbanEye” intendeva analizzare l’impiego di dispositivi di videosorveglianza nelle aree pubbliche o accessibili al pubblico nel territorio europeo, valutandone l’impatto sociale e politico, per giungere alla definizione di un possibile approccio strategico e regolamentare.

Purtroppo tale studio, nonostante gli interessanti risultati del primo intervento, non ha avuto seguito.

Dalla rilevazione è emerso il primo posto del Regno Unito tra i Paesi con la più elevata concentrazione di impianti di videosorveglianza, circostanza apparentemente sfavorevole per il cittadino, bilanciata, tuttavia, dalle migliori e più efficaci norme poste a tutela della riservatezza dei cittadini stessi.

Non a caso, proprio gli inglesi non considerano la videosorveglianza una minaccia per i loro diritti ma un ulteriore elemento di sicurezza, che si aggiunge a quello costituito dalle Forze dell’Ordine contro la malavita, gli attacchi terroristici e ogni altro atto criminale che potrebbe ledere l’integrità fisica, morale o patrimoniale del cittadino stesso.

Telecamere poco gradite?

Secondo lo studio, la percezione pubblica (soprattutto a causa del filtro dei media) dell’impiego di sistemi di videosorveglianza è contraddittoria e molto “italianizzata”, nel senso che a essere apprezzata è la videosorveglianza utilizzata per controllare gli “altri” (ladri, rapinatori, scippatori), mentre maggiore è la diffidenza verso l’utilizzo di telecamere, ad esempio, per colpire le violazioni al codice della strada o altre condotte illecite del comune cittadino.

In sostanza, le telecamere sono gradite solo se controllano gli “altri”.

Interessanti anche alcune osservazioni ricavabili dai due rapporti su Norvegia e Danimarca, Paesi molto simili in termini di struttura sociale, lingua e riferimenti culturali, nei quali esistono, però, differenze in termini di regolamentazione e utilizzazione di dispositivi di videosorveglianza.

Mentre in Danimarca si tende a privilegiare la prevenzione dei problemi attraverso il dibattito pubblico, rispetto all’utilizzo della videosorveglianza, in Norvegia l’approccio sembra essere più di tipo repressivo.

In entrambi i Paesi la percezione pubblica della videosorveglianza tendenzialmente è positiva, ma ciò non significa che il cittadino abbia un atteggiamento “passivo” nei confronti del controllo a distanza, essendo, invece, molto attento a rilevare eventuali infrazioni alla normativa riguardante la riservatezza dei dati personali.

Anche i Garanti Ue si confrontano da tempo con i cittadini dell’Unione Europea, attraverso rilevazioni sul territorio, per comprendere al meglio quali linee guida sulla videosorveglianza mettere a punto per armonizzare le normative nazionali.

Codice e nuove linee guida

In Italia, il 1° gennaio 2004 entra formalmente in vigore il Codice della riservatezza dei dati personali, accompagnato da forti critiche per l’eccessivo dettaglio della norma e per la sostanziale omessa trattazione di alcuni settori importanti – tra i quali proprio la videosorveglianza – che costringerà il Garante, dopo pochi mesi, a pronunciarsi ancora sulla materia con un nuovo provvedimento generale.

Il nuovo provvedimento segue, ovviamente, la scia del Codice appena promulgato e si dilunga in una valanga di articoli, illustrando e richiamando, in primis, i principi su cui si basa la videosorveglianza e le prescrizioni generali relative a tutti i sistemi. Nella seconda parte l’Authority elenca le prescrizioni riguardanti specifici trattamenti di dati, lasciando, comunque, a successivi interventi la definizione di casi particolari.

Dopo aver richiamato il principio di liceità – evidenziando che il trattamento dei dati attraverso sistemi di videosorveglianza è possibile solo se è fondato sul rispetto dei presupposti indicati dal Codice per i soggetti pubblici e privati – l’istituzione richiama le norme vigenti in materia di interferenze illecite nella vita privata, di tutela della dignità, dell’immagine, del domicilio e degli altri luoghi cui è riconosciuto analogo diritto alla riservatezza (toilette, stanze d’albergo, cabine, spogliatoi, ecc.), focalizzando l’attenzione, in particolare, sul settore del trattamento delle riprese effettuate sui luoghi di lavoro – ambito in cui la volatilità del supporto informatico rende teoricamente più semplice l’impiego dei dati per fini diversi da quelli di protezione personale e patrimoniale e, in particolare, per condotte lesive della dignità dei dipendenti o della libertà sindacale.

Inutile sottolineare il richiamo al pericolo che un sistema di videosorveglianza diventi una fonte di limitazione e violazione delle libertà personali del cittadino, motivo per il quale il principio di necessità del trattamento deve sempre caratterizzare l’operato del titolare, che deve evitare ogni utilizzo superfluo o ridondante dei dati acquisiti o da acquisire.

Ciascun sistema informativo e il relativo programma informatico devono essere predisposti e configurati già in origine, in modo da non utilizzare più dati di quanti non ne siano effettivamente necessari a raggiungere gli scopi dichiarati.

In tal senso, il Garante fa propria la concezione, più volte segnalata in dottrina, di prevenire il possibile utilizzo illecito di dati personali procedendo a una seria analisi della situazione di fatto esistente presso il soggetto pubblico o privato titolare del trattamento, a seguito della quale, ad esempio, è possibile individuare i trattamenti che possono essere anonimizzati e, quindi, sottratti alla disciplina del Codice della Privacy.

Nel commisurare la necessità di un sistema al grado di rischio presente in concreto, va evitata la rilevazione di dati in aree o attività che non sono soggette a pericoli reali o per le quali non ricorre un’effettiva esigenza di deterrenza – come quando, ad esempio, le telecamere vengono installate solo per meri fini di apparenza o di “prestigio”.

Il problema del taccheggio

Va, soprattutto, effettuato quel bilanciamento di interessi che non consente, ad esempio, di installare un impianto di videosorveglianza qualora altre misure siano utilizzabili per ottenere gli stessi risultati.

Secondo il Garante non va adottata la scelta semplicemente meno costosa, o meno complicata, o di più rapida esecuzione, che potrebbe non tener conto dell’impatto sui diritti degli altri cittadini o di chi abbia diversi legittimi interessi.

È, questo, uno dei passaggi più criticati del provvedimento, dato che non tiene presente l’aspetto economico del problema o, comunque, lo sottovaluta.

La videosorveglianza, spesso, viene scelta dal titolare del trattamento non solo perché è l’unico o il miglior sistema di controllo delle aree sottoposte a tutela ma, anche, perché è relativamente economico rispetto ad altri dispositivi, magari meno invasivi ma dal costo proibitivo.

Il problema del taccheggio nei negozi, ad esempio, è stato risolto dalle grandi catene di distribuzione attraverso il ricorso alle etichette a radiofrequenza.

Tale tecnologia risulta, però, assolutamente ingestibile per il piccolo negozio, che non è in grado di sopportarne i costi e i tempi che comporta nella gestione del magazzino.

Appare evidente come la soluzione del sistema di videosorveglianza sia economicamente preferibile anche a fronte di una minore efficacia rispetto al sistema antitaccheggio.

A un’interpretazione restrittiva del provvedimento, tale scelta risulterebbe illecita, perchè la tecnologia del chip rfid è sicuramente meno invasiva e più adatta allo scopo perseguito.

Ulteriori restrizioni

Il provvedimento continua nell’esaminare casi concreti stigmatizzando l’utilizzo di telecamere per finalità turistiche o promozionali, salvo che siano posizionate in modo tale da inquadrare panorami e orizzonti, senza rendere inquadrabili o comunque identificabili eventuali passanti.

Secondo l’Autorità Garante, anche l’installazione meramente dimostrativa o artefatta di telecamere non funzionanti o fittizie, pur non comportando un trattamento di dati personali, deve ritenersi illecita, perché potrebbe determinare forme di condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati.

Appare evidente l’illegittimità della prescrizione per carenza di potere da parte dell’Autorità Amministrativa che è legittimata ad intervenire solo nell’ipotesi in cui vi sia un trattamento di dati personali – e non nell’ipotesi in cui siano messe in discussione le libertà personali dell’interessato in relazione alla libera determinazione e circolazione.

Mettendo da parte tali riflessioni, dal provvedimento generale si possono trarre alcuni suggerimenti generali rispetto all’installazione di un impianto di videosorveglianza.

L’installazione, anche in relazione alle concrete modalità di installazione, dovrà essere proporzionata agli scopi prefissati e legittimamente perseguibili.

Il primo parametro di riferimento risulta essere la scelta di memorizzare o meno le immagini, che permette di distinguere il trattamento istantaneo, definito videocontrollo, da quello realizzabile anche in differita, più correttamente denominato videoregistrazione.

Entrambi danno luogo a videosorveglianza, ma il potenziale lesivo delle immagini registrate, anche per la possibilità di elaborare e confrontare i dati acquisiti, appare evidente.

Riguardo al fine da perseguire, occorre anche valutare se sia sufficiente un’immagine che non renda identificabile il singolo cittadino (anche se il Garante dovrebbe spiegare a cosa potrebbe servire una simile attività, dato che il 99 per cento degli apparati di videosorveglianza viene installato per prevenire e reprimere reati contro il patrimonio o contro la persona), ovvero se sia necessario raccogliere immagini dettagliate (come avviene nella maggioranza dei casi).

Tra le prescrizioni spicca, anche a causa delle numerose sanzioni comminate dall’Authority negli anni precedenti, quella dell’informativa da rendere ai cittadini che possono entrare nel raggio di azione delle telecamere.

L’informativa prevede una prima fase di avvertimento al soggetto, che deve necessariamente avvenire all’esterno dell’area sottoposta a ripresa affinché egli possa decidere se entrare in contatto con le telecamere oppure andare altrove – e un’altra, che può essere contemporanea alla prima o successiva, nella quale si rende edotto il soggetto che i dati saranno trattati in un determinato modo, da determinati soggetti e con determinate garanzie.

Fonte: Sicurezza magazine