Notificazione Cookie: quando è davvero necessaria?

Notificazione Cookie: quando è davvero necessaria?

8 gennaio 2016Notificazione Cookie: quando è davvero necessaria?

Molti ancora i dubbi sui trattamenti di dati personali e soggetti tenuti ad informare l’Autorità Garante Privacy

Sono trascorsi oltre 7 mesi dalla scadenza di adeguamento alla c.d. Cookie Lawfissata per il 2 giugno 2015 e oltre un anno e mezzo dalla sua entrata in vigore, e nonostante il tempo trascorso e i numerosi interventi chiarificatori del Garante Privacy, tuttora permangono dubbi in merito a quando si rende necessaria la Notificazione e quali sono i Soggetti tenuti a tale comunicazione preventiva.

Durante lo scorso anno ho scritto diversi articoli in merito, ma tra questi due in particolare dal titolo “Notificazione Cookie: tutto quello che c’è da sapere!” ed “eCommerce: vietata la profilazione senza Consenso”, pubblicati rispettivamente a fine novembre e metà dicembre, sono stati tra quelli di maggiore rilevanza per interesse mostrato e per il maggior numero di commenti. I dati interessanti emersi sono prevalentemente due, da una parte una forte contestazione di tale norma da parte degli addetti del settore del Digital Marketing e dall’altra una poca conoscenza in generale della c.d. Cookie Law, e in particolare sull’obbligo della Notificazione.

Ma quando si rende necessario notificare all’Autorità Garante un trattamento di dati personali per il quale ci si avvale dei c.d. Cookie di Profilazione e/o di tecnologie ad essi equiparabili?

In tale ambito, per Profilazione si intende il monitoraggio delle preferenze di navigazione di utenti autenticati e non, finalizzato all’analisi e all’elaborazione di tali informazioni volte alla ricostruzione di un loro profilo anche di tipo commerciale utilizzabile per esempio per campagne promozionali di eTargeted Advertising oRemarketing.

Tutta la questione ruota intorno ai soggetti coinvolti in un tale processo, a quali informazioni accedono, su come queste sono sostanzialmente strutturate e quali sono le finalità perseguite.

Per rendere più chiaro tale scenario proporrò di seguito alcuni esempi che ci potranno aiutare a meglio comprendere quali sono gli aspetti fondamentali che devono essere tenuti necessariamente in considerazione per valutare quando si è tenuti a Notificare o meno l’utilizzo dei c.d. Cookie di Profilazione all’Autorità Garante.

Notificazione non necessaria

Un azienda di formazione a distanza utilizza il web per erogare i propri corsi. Al termine del percorso formativo rilascia un attestato di partecipazione previo superamento di un test al quale si accede solo dopo aver completato tutte le lezioni previste. Al fine di perseguire tale finalità, il fornitore di tali servizi deve necessariamente monitorare i vari utenti e verificare la loro partecipazione a tutte lezioni previste come da programma. Per tale scopo l’utilizzo di cookie e/o tecnologie ad essi equiparabili si rende strettamente necessario e funzionale per l’erogazione della stessa prestazione, e il monitoraggio di tali attività coincide con le stesse finalità degli utenti che si avvalgono di tali servizi. In questo caso la struttura formativa non è tenuta all’obbligo di Notifica.

Notificazione necessaria

Un sito di eCommerce monitora per il tramite di Cookie, le preferenze di navigazione dei propri utenti autenticati e non e propone sulla base di tali interessi manifestati contenuti mirati all’interno della propria piattaforma. Inoltre, anche attraverso la verifica dei contenuti dei carrelli di acquisto, anche per ordini non confermati, promuove sempre in maniera diretta ai propri utenti banner specifici. Ma non solo, anche la propria newsletter commerciale è gestita sulla base degli interessi manifestati e i propri contenuti sono mirati proprio sulla base di tale azione di profilazione. Il gestore di tale sito web sarà tenuto a rispettare l’obbligo di Notificazione preventiva.

Notificazione necessaria a cura della Terza Parte

Un gestore di un sito web decide di intraprendere una campagna promozionale di remarketing avvalendosi di cookie di profilazione di soggetti terzi, esempio Google e/o Facebook. I report di monitoraggio di tale campagna sono di tipo statistico su base dati aggregata e anonima e forniscono indicazioni relative al solo totale per azioni effettuate. Tale campagna è basata su attività di monitoraggio delle preferenze di navigazione e interessi manifestati da parte degli utenti, e successiva riproposizione al di fuori del proprio sito web di contenuti mirati. La vera e propria azione di profilazione è effettuata dalla Terza Parte e le informazioni alle quali accede il gestore del sito non sono “in chiaro”, e non permettono a questo ultimo anche indirettamente di identificare in qualche modo tali utenti. Per tale ragione la Notificazione sta in capo alla Terza Parte e non al gestore del sito web.

Tutto chiaro? Sembrerebbe di si, ma in realtà forse proprio così non è.

Oggetto della gran parte degli interventi chiarificatori della nostra Autorità Garante è stato l’utilizzo degli Analitici, per i quali è prevista la possibilità di equipararli ai c.d. Cookie Tecnici qualora si proceda all’anonimizzazione degli indirizzi IP e disabilitazione della condivisione delle informazioni con la Terza Parte, fornitore dell’analitico, e relativi partner. Se non così, anche il gestore del sito web sarebbe tenuto alla Notificazione.

Ma le informazioni alle quali il gestore del sito web accede non sarebbero nella stragrande maggioranza dei casi sempre di tipo statistico su base dati anonima e aggregata a prescindere da tale configurazione?

Quali differenze, se ci sono, sulle modalità di presentazione delle informazioni statistiche tra un report di un analitico e quello di una campagna promozionale?

E tu cosa ne pensi?