Il 15 novembre 2023, l’European Data Protection Board (“EDPB”) ha pubblicato le Linee Guida 2/2023 (le “Linee Guida”) sull’ambito applicativo dell’art. 5(3) della Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (la “Direttiva ePrivacy” o la “Direttiva”). Le Linee Guida sono attualmente sottoposte a consultazione pubblica fino al 18 gennaio 2024 e, successivamente a tale data, ne verrà approvata e adottata la versione definitiva. Introduzione Ai sensi dell’art. 5(3) della Direttiva, il consenso è altresì richiesto laddove le reti di comunicazione elettronica vengano utilizzate per archiviare informazioni o avere accesso a informazioni archiviate nell’apparecchio. Questa disposizione si applica in particolare agli strumenti di tracciamento online, compresi i cookies[1] e le “tecnologie analoghe”[2]. Ma cosa si intende per “tecnologie analoghe” in un contesto tecnologico in continua evoluzione? La risposta a questa domanda è fornita dalle Linee Guida che – in un contesto tecnologico in cui l’utilizzo dei cookie sta gradualmente perdendo rilevanza, lasciando spazio a strumenti di tracciamento all’avanguardia e tecnicamente più sofisticati – mirano a chiarire quali siano le nuove ed emergenti tecniche di tracciamento che rientrano nel campo di applicazione della Direttiva. A testimoniare il progressivo “abbandono” dell’utilizzo dei cookie è proprio Google che, con il test “pilota” avviato su Chrome, conta - entro la fine del 2024 - di disabilitare gradualmente i cookies di navigazione di terza parte. Ciò significa che, in futuro, le attività degli utenti non saranno più tracciate direttamente dai siti e dagli inserzionisti, ma esclusivamente da Google, impedendo di fatto a terzi di conoscere il comportamento di navigazione dei singoli utenti. Tuttavia, questa nuova funzionalità di Google non elimina completamente il monitoraggio delle attività online. Posto che tracciare le attività online implica e favorisce, per i player del mercato digitale, un maggiore controllo delle informazioni degli utenti, l’EDPB fornisce ai titolari del trattamento e alle parti interessate una maggiore certezza giuridica, chiarendo quali sono le emergenti tecniche di tracciamento e gli adempimenti necessari per il loro utilizzo nel rispetto della normativa applicabile in materia di protezione dei dati personali. Contenuto delle Linee Guida Per chiarire quali sono le nuove ed emergenti tecniche di tracciamento che rientrano nel campo di applicazione dell’art. 5(3) della Direttiva, le Linee Guida individuano quattro criteri, analizzando cinque nozioni chiave: A. “informazioni”; B. “apparecchiature terminali di un abbonato o di un utente”; C. “reti di comunicazione elettronica”; D. “accesso”; e “memorizzazione/archiviazione”. L’EDPB fornisce altresì una serie di casi pratici, analizzando le tecniche di tracciamento più diffuse (a titolo esemplificativo e non esaustivo, i Pixel Tracking, gli URL, le API, l’IP, l’IoT, l’identificatore univoco) che rientrano nell’ambito di applicazione dell’art. 5(3) della Direttiva ePrivacy. Pertanto, si è in presenza di operazioni tecniche quando: A. le operazioni effettuate riguardano “informazioni” L’EDPB sottolinea come la scelta del termine “informazioni”, molto più ampia della nozione di “dato personale”, sia perfettamente in linea con l’obiettivo dell’art. 5(3) della Direttiva ePrivacy. Un qualsiasi evento inerente alla sfera privata, anche non coinvolgente dati personali, è esplicitamente coperto dalla formulazione dell’art. 5(3). Il Considerando 24 della Direttiva stessa afferma chiaramente che la finalità della Direttiva è la salvaguardia della sfera privata degli utenti e che i sistemi di tracciamento occulti e altri dispositivi che possono introdursi nel terminale dell’utente a sua insaputa per accedere e archiviare informazioni o seguire l’attività dell’utente possono costituire una grave intrusione della vita privata dell’utente. Ne deriva, pertanto, che la definizione di “informazione” non è limitata alla sussistenza o meno di un collegamento con una persona fisica identificata o identificabile, bensì comprende sia dati personali che non personali, di una persona fisica o giuridica, a prescindere da come questi siano stati archiviati e da chi (i.e. da un'entità esterna, dall'utente, da un produttore o in un qualsiasi altro contesto). B. Le operazioni effettuate riguardano una “apparecchiatura terminale di un abbonato o di un utente” Posto che la Direttiva protegge la privacy degli utenti non solo in relazione alla riservatezza delle loro informazioni, ma anche salvaguardando l’integrità delle apparecchiature terminali degli utenti, l’EDPB ha chiarito che la nozione di “apparecchiatura terminale di un abbonato o di un utente” si basa sulla definizione fornita dalla Direttiva 2008/63/CE relativa alla concorrenza sui mercati delle apparecchiature terminali di comunicazioni: si tratta quindi di “apparecchiature allacciate direttamente o indirettamente all’interfaccia di una rete pubblica di telecomunicazioni per trasmettere, trattare o ricevere informazioni; […]”. Ciò posto, l’EDPB elenca nelle Linee Guida i casi in cui si può parlare di un’“apparecchiatura terminale” rilevante ai sensi dell’art. 5(3). In particolare: C. Le operazioni svolte sono effettuate nell’ambito della fornitura di “servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione” La nozione di "rete di comunicazione elettronica” non viene definita nella Direttiva ePrivacy. La sua definizione si può, tuttavia, rintracciare nella Direttiva 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, poi sostituita dalla Direttiva 2018/1972 la quale istituisce il Codice Europeo delle Comunicazioni Elettroniche. Tali direttive chiariscono che per “rete di comunicazione elettronica” si intende qualsiasi sistema di rete che consente la trasmissione di segnali elettronici tra i suoi terminali, indipendentemente dal tipo di informazioni veicolato. Tale definizione risulta abbastanza ampia, in quanto (i) è neutrale rispetto alle tecnologie di trasmissione, (ii) copre ogni tipologia di apparecchiatura, indipendentemente dai protocolli utilizzati, (iii) non prevede alcun tipo di limitazione per quanto riguarda il numero di apparecchiature terminali connesse alla rete, (iv) non dipende dal modo in cui la rete è installata o gestita, né dalla natura pubblica o privata dell’infrastruttura. In relazione a tale ultimo punto, è proprio la disponibilità pubblica del servizio di comunicazione sulla rete che fa sì che l’art. 5(3) possa trovare applicazione. Sul punto è importante precisare che il fatto che la rete viene messa a disposizione di un numero ristretto di utenti (ad esempio, gli abbonati) non rende il servizio privato. D. Le operazioni effettuate costituiscono un “accesso” o una “memorizzazione/archiviazione” Posto che, ai sensi dell’art. 1 della Direttiva ePrivacy, la finalità è proteggere la riservatezza delle comunicazioni e l’integrità dei dispositivi, sia delle persone fisiche che delle persone giuridiche, la nozione di “accesso”, secondo l’EDPB, dev’essere interpretata in modo da salvaguardare tali diritti dalla violazione da parte di terzi. Pertanto, l’art. 5(3) della Direttiva troverà applicazione ogniqualvolta un soggetto terzo desideri ottenere l’“accesso” alle informazioni archiviate in un’apparecchiatura e si adoperi attivamente per farlo. Nello specifico potranno verificarsi due diverse ipotesi, entrambe rientranti nell’art. 5(3): Di contro, la “memorizzazione” di cui all’art. 5(3) della Direttiva ePrivacy fa riferimento al salvataggio di informazioni su un supporto fisico di archiviazione elettronica che fa parte dell’“apparecchiatura terminale dell’utente o dell’abbonato”. In altri termini, il software dell’“apparecchiatura terminale” viene istruito a generare informazioni specifiche. Ciò avviene mediante l’utilizzo di protocolli consolidati, come la memorizzazione dei cookies del browser e di software personalizzati, indipendentemente da chi ha creato o installato i protocolli o il software sull’“apparecchiatura terminale”. La Direttiva, tuttavia, non pone alcun limite né per il periodo di tempo in cui le informazioni devono essere conservate sul supporto di archiviazione per essere considerate “memorizzate", né per la quantità di informazioni da memorizzare. Allo stesso modo, la nozione di “archiviazione” non dipende dal tipo di supporto su cui le informazioni sono memorizzate (ad es. hard disk drives - HDD, solid state drives - SDD, flash drives e random-access memory - RAM, nastro magnetico o central processing unit - CPU), pertanto, finché il tipo di supporto costituisce un equivalente funzionale di un supporto di memorizzazione, tale supporto verrà considerato parte dell’apparecchiatura terminale. Esempi di sistemi di tracciamento Le Linee Guida dell’EDPB forniscono altresì ad un elenco non esaustivo di tecniche di tracciamento di dati ampiamente utilizzate nella prassi, in particolare: Conclusioni Attualmente in fase di consultazione pubblica fino al 18 gennaio 2024, le Linee Guida in esame diventeranno un elemento essenziale per definire le attività qualificabili come tracciamento delle attività degli utenti online. Dopo oltre due anni dall’ultima bozza pubblicata del Regolamento sulla ePrivacy, i progetti per una più ampia riforma della Direttiva ePrivacy sembrano essere ancora in una fase di stallo. [1] I cookies sono stringhe di testo che i siti web visitati dall’utente (“prime parti”) ovvero siti o web server diversi (“terze parti”) posizionano ed archiviano all’interno di un dispositivo terminale dell’utente - smartphone, tablet, computer, ecc.. [2] Sul punto il Working Party ha affermato che il tracciamento, sia attraverso i cookies, sia attraverso simili tecnologie, rientra nell’ambito applicativo dell’art. 5(3) della Direttiva (WP 29, Opinione 4/2012 sull’esenzione dal consenso per i cookies e Opinione 9/2014 sull’applicazione della Direttiva 2002/58/CE).
La Direttiva ePrivacy disciplina il trattamento dei dati personali e la tutela della vita privata nell’ambito di ogni forma di comunicazione digitale o elettronica. Nello specifico, l’art. 5 della Direttiva tutela la riservatezza delle comunicazioni, vietandone – senza l’esplicito consenso dell’utente – l’ascolto, la captazione, la memorizzazione e qualsiasi altra forma di intercettazione o di sorveglianza, salvo i casi espressamente previsti dalla legge riguardanti la sicurezza nazionale, la difesa e la sicurezza pubblica.