Le relazioni - 9

Privacy: le grandi aziende e i cookie illegali

Se l'obiettivo del Codice era quello di mettere ordine in una normativa che appariva disordinata e contraddittoria, possiamo dire che esso sia stato centrato in larga misura dal legislatore (nonostante sia ancora presente un notevole grado di stratificazione e sovrapposizione tra disposizioni di diversa provenienza, come bene evidenziato nella relazione di P. Ricchiuto La privacy tra le norme e il mondo reale). Se l'obiettivo del Codice era anche quello di semplificare e fornire risposte definitive ad alcune questioni ancora aperte in materia di protezione dei dati personali, possiamo concludere che l'obiettivo è stato mancato. Il Codice, infatti, non fuga tutti i dubbi applicativi e non risolve tutte le problematiche ancora aperte in materia di dati personali.

E' opportuno partire dal dato concreto per verificare quanto questa affermazione sia vera. Faccio riferimento quindi ad alcuni aspetti problematici che, come avvocato di aziende multinazionali che spesso operano attraverso propri siti Internet, mi sono trovata ad affrontare recentemente. E ciò anche a dimostrazione di come non sia del tutto corrispondente al vero, a mio parere, la dicotomia, evidenziata nella citata relazione di P. Ricchiuto, tra piccole e medie imprese e grandi imprese, le quali avrebbero un approccio più consapevole ed avanzato alle problematiche della privacy. In realtà, a me sembra che l'approccio sia, anche per imprese di un certo rilievo ed operanti a livello internazionale, alquanto confuso e poco consapevole.

Un primo problema è quello relativo all'utilizzo dei cookie. Come sappiamo, si tratta di strumenti che vengono utilizzati frequentemente dai gestori di siti Internet. Analizzando il solo dato tecnico, si potrebbe anche concludere che, poiché i cookie identificano solo una macchina ed il relativo IP number, trattandosi di dati anonimi, non si dovrebbe porre un problema di tutela dei dati personali. Tuttavia, come è stato ben evidenziato da altri commentatori, se i dati contenuti nei cookie vengono raffrontati ed integrati con altre informazioni sull'utente raccolte on line oppure off line, essi diventano idonei ad identificare l'utente e dunque rilevanti da un punto di vista di tutela della riservatezza.

Eppure, anche in imprese di una certa ampiezza, questo problema non è neppure considerato. Il cliente spesso si limita ad osservare che se un terzo dovesse accedere a questi dati, vedrebbe solo un numero e, dunque, non si porrebbe un problema di protezione dei dati personali, senza minimamente considerare che la tutela della riservatezza non vuol dire solo garantire la sicurezza nei confronti di attacchi da parte di terzi, ma anche e soprattutto evitare usi impropri dei dati da parte del titolare del trattamento.

Ad esempio, nel caso in cui l'utente di un sito Web fornisca i propri dati anagrafici al gestore del sito, che fa uso dei cookie, ecco che questi ultimi appaiono in tutta la loro potenziale lesività. In questo caso, inoltre, poiché il conferimento di questi dati non avviene nell'ambito di un rapporto contrattuale e non ricade in nessuna altra ipotesi di esclusione del consenso, è necessario ottenerlo dall'utente e mettere a sua disposizione, prima del conferimento dei dati, una informativa dettagliata sulle finalità dell'uso dei cookie e gli altri aspetti richiesti dal Codice. C'è da chiedersi se questo accada nella realtà (a me non sembra) e, in ogni caso, quanto questa strada sia praticabile.

Ma l'uso dei cookie pone altri problemi in relazione all'obbligo di notificazione al Garante di questi trattamenti (perché l'invio dei cookie e la loro memorizzazione su pc dell'utente altro non è che un trattamento di dati personali), dal momento che essi consentono di effettuare una profilazione dell'utente e, pertanto, sembrerebbero essere soggetti al predetto obbligo ai sensi dell'articolo 37, comma 1, lettera d) del Codice. Su questo punto è intervenuto lo stesso Garante precisando che la notificazione non è richiesta per l'utilizzo dei cookie di sessione, mentre è richiesta per quelli permanenti, sempre che non si tratti di strumenti necessari a verificare l'identità o il profilo di autorizzazione di utenti o incaricati o per registrare accessi a un sito web.

Questa interpretazione andrebbe coordinata anche con le conclusioni a cui è giunto il Gruppo per la tutela dei dati personali (Articolo 29) nel proprio Documento WP 56, nel quale si afferma che la normativa europea si applica anche ai trattamenti effettuati da gestori di siti Web extraeuropei laddove essi facciano uso di cookie installati su pc di utenti situati all'interno dell'Unione europea. Posto che, in questo caso, il Working Party ha ritenuto applicabile a questi specifici trattamenti la legislazione dello Stato membro dove si trova il pc su cui il cookie viene memorizzato, si deve ritenere applicabile a queste ipotesi anche l'obbligo di notificazione, laddove i cookie siano utilizzati a fini di profilazione degli utenti? E se sì, è questa una soluzione attuabile, dal punto di vista pratico?

Un secondo problema, che è di tutta evidenza per chi - come chi scrive - ha a che fare con clienti stranieri, è quello relativo al trasferimento dei dati personali all'estero, e specialmente negli Stati Uniti d'America. In questo settore, ad esempio, si sono fatti molti passi, a livello nazionale e comunitario. Anzitutto, l'applicazione dei principi del Safe Harbor, nonostante le adesioni da parte delle aziende americane siano ancora al di sotto di quanto auspicabile. Vanno menzionati anche gli sforzi della Commissione europea per trovare strumenti alternativi alla dichiarazione di adeguatezza di un sistema extraeuropeo di protezione dei dati personali. Si tratta dell'adozione di schemi contrattuali tipo, attraverso i quali si propugna la conclusione di accordi tra responsabili europei ed extraeuropei in relazione ai trasferimenti di dati personali in Paesi terzi, e delle cd. Binding Corporate Rules, che dovrebbero trovare utilizzazione specialmente da parte dei gruppi multinazionali.

Eppure, è necessario riflettere su come l'adozione delle misure sopra menzionate sia ancora lungi dall'essere diffusa tra le imprese che operano sul territorio italiano trasferendo dati personali all'estero o tra le multinazionali con controllate italiane.
Il problema privacy, dunque, pur godendo sicuramente di maggiore considerazione oggi rispetto a dieci anni fa, non è ancora "decollato" a livello italiano e internazionale, nonostante la crescita costante delle questioni collegate al trattamento di dati personali, che sono oggi molto più numerose e più pressanti, date le molteplici opportunità offerte dallo sviluppo tecnologico e quelle che ci si può aspettare in futuro.

Va anche detto che la percezione che i nostri clienti hanno di fronte a questa normativa è spesso quella di una legge che pone solo una serie di adempimenti, apparentemente priva di sanzioni efficaci e, dunque, scarsamente applicata (senza conseguenze pratiche). Molto spesso, pertanto, ci si limita ad inseguire l'adempimento formale ai dettami del Codice senza guardare alla sostanza. Ad esempio, si pubblica su un sito Internet una informativa dettagliata e precisa senza assicurarsi che ciò che in essa è riportato corrisponda poi al dato concreto e pratico. Così come, fino a quando sussisteva l'obbligo generalizzato di notificazione al Garante, molto spesso si procedeva alla notifica senza che questa fosse preceduta da un'analisi precisa dei trattamenti e dei rischi ad essi connessi da parte del cliente. E tutto ciò, nonostante il diverso consiglio degli avvocati.

Si tratta di problemi molto delicati e di non facile soluzione. Soprattutto, appare evidente come molte delle problematiche di cui si è fin qui parlato non troveranno una soluzione basata sul solo dato normativo, ma anche su quello pratico. Forse, un aiuto potrebbe venire anche dall'atteggiamento che gli avvocati che si occupano di questa materia avranno e da come riusciranno a trasmettere ai propri clienti, siano essi italiani o stranieri, una maggiore sensibilità verso la cultura della tutela dei dati personali, interpretandola non solo come una formalità ed una serie di adempimenti, ma anche come un'opportunità ed un valore aggiunto per l'impresa.

*Avvocato in Roma - Studio legale Portolano Colella Cavallo