Nuove tecniche di tracciamento: i chiarimenti dell’EDPB sull’ambito applicativo dell’art. 5(3) della Direttiva ePrivacy

Il 15 novembre 2023, l’European Data Protection Board (“EDPB”) ha pubblicato le Linee Guida 2/2023 (le “Linee Guida”) sull’ambito applicativo dell’art. 5(3) della Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (la “Direttiva ePrivacy” o la “Direttiva”). Le Linee Guida sono attualmente sottoposte a consultazione pubblica fino al 18 gennaio 2024 e, successivamente a tale data, ne verrà approvata e adottata la versione definitiva.

Introduzione
La Direttiva ePrivacy disciplina il trattamento dei dati personali e la tutela della vita privata nell’ambito di ogni forma di comunicazione digitale o elettronica. Nello specifico, l’art. 5 della Direttiva tutela la riservatezza delle comunicazioni, vietandone – senza l’esplicito consenso dell’utente – l’ascolto, la captazione, la memorizzazione e qualsiasi altra forma di intercettazione o di sorveglianza, salvo i casi espressamente previsti dalla legge riguardanti la sicurezza nazionale, la difesa e la sicurezza pubblica.

Ai sensi dell’art. 5(3) della Direttiva, il consenso è altresì richiesto laddove le reti di comunicazione elettronica vengano utilizzate per archiviare informazioni o avere accesso a informazioni archiviate nell’apparecchio. Questa disposizione si applica in particolare agli strumenti di tracciamento online, compresi i cookies[1] e le “tecnologie analoghe”[2].

Ma cosa si intende per “tecnologie analoghe” in un contesto tecnologico in continua evoluzione?

La risposta a questa domanda è fornita dalle Linee Guida che – in un contesto tecnologico in cui l’utilizzo dei cookie sta gradualmente perdendo rilevanza, lasciando spazio a strumenti di tracciamento all’avanguardia e tecnicamente più sofisticati – mirano a chiarire quali siano le nuove ed emergenti tecniche di tracciamento che rientrano nel campo di applicazione della Direttiva.

A testimoniare il progressivo “abbandono” dell’utilizzo dei cookie è proprio Google che, con il test “pilota” avviato su Chrome, conta - entro la fine del 2024 - di disabilitare gradualmente i cookies di navigazione di terza parte. Ciò significa che, in futuro, le attività degli utenti non saranno più tracciate direttamente dai siti e dagli inserzionisti, ma esclusivamente da Google, impedendo di fatto a terzi di conoscere il comportamento di navigazione dei singoli utenti. Tuttavia, questa nuova funzionalità di Google non elimina completamente il monitoraggio delle attività online.

Posto che tracciare le attività online implica e favorisce, per i player del mercato digitale, un maggiore controllo delle informazioni degli utenti, l’EDPB fornisce ai titolari del trattamento e alle parti interessate una maggiore certezza giuridica, chiarendo quali sono le emergenti tecniche di tracciamento e gli adempimenti necessari per il loro utilizzo nel rispetto della normativa applicabile in materia di protezione dei dati personali.

Contenuto delle Linee Guida

Per chiarire quali sono le nuove ed emergenti tecniche di tracciamento che rientrano nel campo di applicazione dell’art. 5(3) della Direttiva, le Linee Guida individuano quattro criteri, analizzando cinque nozioni chiave:

A. “informazioni”;

B. “apparecchiature terminali di un abbonato o di un utente”;

C. “reti di comunicazione elettronica”;

D. “accesso”; e “memorizzazione/archiviazione”.

L’EDPB fornisce altresì una serie di casi pratici, analizzando le tecniche di tracciamento più diffuse (a titolo esemplificativo e non esaustivo, i Pixel Tracking, gli URL, le API, l’IP, l’IoT, l’identificatore univoco) che rientrano nell’ambito di applicazione dell’art. 5(3) della Direttiva ePrivacy.

Pertanto, si è in presenza di operazioni tecniche quando:

A. le operazioni effettuate riguardano “informazioni”

L’EDPB sottolinea come la scelta del termine “informazioni”, molto più ampia della nozione di “dato personale”, sia perfettamente in linea con l’obiettivo dell’art. 5(3) della Direttiva ePrivacy.

Un qualsiasi evento inerente alla sfera privata, anche non coinvolgente dati personali, è esplicitamente coperto dalla formulazione dell’art. 5(3).

Il Considerando 24 della Direttiva stessa afferma chiaramente che la finalità della Direttiva è la salvaguardia della sfera privata degli utenti e che i sistemi di tracciamento occulti e altri dispositivi che possono introdursi nel terminale dell’utente a sua insaputa per accedere e archiviare informazioni o seguire l’attività dell’utente possono costituire una grave intrusione della vita privata dell’utente.

Ne deriva, pertanto, che la definizione di “informazione” non è limitata alla sussistenza o meno di un collegamento con una persona fisica identificata o identificabile, bensì comprende sia dati personali che non personali, di una persona fisica o giuridica, a prescindere da come questi siano stati archiviati e da chi (i.e. da un'entità esterna, dall'utente, da un produttore o in un qualsiasi altro contesto).

B. Le operazioni effettuate riguardano una “apparecchiatura terminale di un abbonato o di un utente”

Posto che la Direttiva protegge la privacy degli utenti non solo in relazione alla riservatezza delle loro informazioni, ma anche salvaguardando l’integrità delle apparecchiature terminali degli utenti, l’EDPB ha chiarito che la nozione di “apparecchiatura terminale di un abbonato o di un utente” si basa sulla definizione fornita dalla Direttiva 2008/63/CE relativa alla concorrenza sui mercati delle apparecchiature terminali di comunicazioni: si tratta quindi di “apparecchiature allacciate direttamente o indirettamente all’interfaccia di una rete pubblica di telecomunicazioni per trasmettere, trattare o ricevere informazioni; […]”.

Ciò posto, l’EDPB elenca nelle Linee Guida i casi in cui si può parlare di un’“apparecchiatura terminale” rilevante ai sensi dell’art. 5(3). In particolare:

• se un dispositivo funge unicamente da trasmettitore di comunicazioni – senza dunque apportare alcuna modifica alle informazioni – non rientra tra le “apparecchiature terminali” rilevanti per l’art. 5(3);
• la protezione dell’art. 5(3) è garantita direttamente all’“apparecchiatura terminale” associata all’utente o all’abbonato coinvolto nella comunicazione. Una medesima apparecchiatura può infatti essere condivisa da più utenti o abbonati nel contesto di comunicazioni multiple (si pensi, ad esempio, al caso di un’autovettura dotata di connessione) e una singola comunicazione può coinvolgere più apparecchiature. Ai fini dell’applicabilità della norma non rileva, pertanto, che la comunicazione sia stata avviata dall’utente né che l’utente sia a conoscenza di tale comunicazione.

C. Le operazioni svolte sono effettuate nell’ambito della fornitura di “servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione”

La nozione di "rete di comunicazione elettronica” non viene definita nella Direttiva ePrivacy. La sua definizione si può, tuttavia, rintracciare nella Direttiva 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, poi sostituita dalla Direttiva 2018/1972 la quale istituisce il Codice Europeo delle Comunicazioni Elettroniche. Tali direttive chiariscono che per “rete di comunicazione elettronica” si intende qualsiasi sistema di rete che consente la trasmissione di segnali elettronici tra i suoi terminali, indipendentemente dal tipo di informazioni veicolato.

Tale definizione risulta abbastanza ampia, in quanto (i) è neutrale rispetto alle tecnologie di trasmissione, (ii) copre ogni tipologia di apparecchiatura, indipendentemente dai protocolli utilizzati, (iii) non prevede alcun tipo di limitazione per quanto riguarda il numero di apparecchiature terminali connesse alla rete, (iv) non dipende dal modo in cui la rete è installata o gestita, né dalla natura pubblica o privata dell’infrastruttura.

In relazione a tale ultimo punto, è proprio la disponibilità pubblica del servizio di comunicazione sulla rete che fa sì che l’art. 5(3) possa trovare applicazione. Sul punto è importante precisare che il fatto che la rete viene messa a disposizione di un numero ristretto di utenti (ad esempio, gli abbonati) non rende il servizio privato.

D. Le operazioni effettuate costituiscono un “accesso” o una “memorizzazione/archiviazione”

Posto che, ai sensi dell’art. 1 della Direttiva ePrivacy, la finalità è proteggere la riservatezza delle comunicazioni e l’integrità dei dispositivi, sia delle persone fisiche che delle persone giuridiche, la nozione di “accesso”, secondo l’EDPB, dev’essere interpretata in modo da salvaguardare tali diritti dalla violazione da parte di terzi.

Pertanto, l’art. 5(3) della Direttiva troverà applicazione ogniqualvolta un soggetto terzo desideri ottenere l’“accesso” alle informazioni archiviate in un’apparecchiatura e si adoperi attivamente per farlo.

Nello specifico potranno verificarsi due diverse ipotesi, entrambe rientranti nell’art. 5(3):

1. il soggetto terzo istruisce esplicitamente l’“apparecchiatura terminale" affinché questa gli invii – in un secondo momento – le informazioni richieste (ad es. cookies, JavaScript);
2. il soggetto terzo che istruisce l’“apparecchiatura terminale” ad inviare i dati e il soggetto che riceve le informazioni sono due entità diverse.

Di contro, la “memorizzazione” di cui all’art. 5(3) della Direttiva ePrivacy fa riferimento al salvataggio di informazioni su un supporto fisico di archiviazione elettronica che fa parte dell’“apparecchiatura terminale dell’utente o dell’abbonato”. In altri termini, il software dell’“apparecchiatura terminale” viene istruito a generare informazioni specifiche. Ciò avviene mediante l’utilizzo di protocolli consolidati, come la memorizzazione dei cookies del browser e di software personalizzati, indipendentemente da chi ha creato o installato i protocolli o il software sull’“apparecchiatura terminale”.

La Direttiva, tuttavia, non pone alcun limite né per il periodo di tempo in cui le informazioni devono essere conservate sul supporto di archiviazione per essere considerate “memorizzate", né per la quantità di informazioni da memorizzare.

Allo stesso modo, la nozione di “archiviazione” non dipende dal tipo di supporto su cui le informazioni sono memorizzate (ad es. hard disk drives - HDD, solid state drives - SDD, flash drives e random-access memory - RAM, nastro magnetico o central processing unit - CPU), pertanto, finché il tipo di supporto costituisce un equivalente funzionale di un supporto di memorizzazione, tale supporto verrà considerato parte dell’apparecchiatura terminale.

Esempi di sistemi di tracciamento

Le Linee Guida dell’EDPB forniscono altresì ad un elenco non esaustivo di tecniche di tracciamento di dati ampiamente utilizzate nella prassi, in particolare:

• i Pixel Tracking, vale a dire collegamenti ipertestuali ad una risorsa, solitamente un’immagine, incorporati in un contenuto, come un sito web o un’e-mail, il cui unico scopo è quello di stabilire una connessione tra il client e l’host del Pixel al fine di trasmettere svariate informazioni e, dunque, di tracciare il comportamento degli utenti;
• gli URL (Uniform Resource Locator), che funzionano nelle stesse modalità dei Pixel Tracking, ma il loro relativo codice identificativo viene aggiunto all’indirizzo del sito web, il quale li utilizza per identificare l’origine del traffico in entrata;
• l’elaborazione locale su cui si basano alcune tecnologie che vengono istruite da un software installato sull’“apparecchiatura terminale" dell’utente, in cui le informazioni prodotte da tale elaborazione sono poi rese disponibili a soggetti selezionati tramite un’API (Application Programming Interface) lato client. Se in qualsiasi momento, ad esempio nel software lato client, le informazioni elaborate rese disponibili vengono rinviate in rete, ad esempio ad un server, tale operazione rientra perfettamente nella nozione di “accesso” a informazioni già archiviate. Infatti, la circostanza che tali informazioni vengano prodotte localmente non preclude l’applicazione dell’art. 5(3) della Direttiva.
• il tracciamento basato solo sull’IP. Alcuni provider hanno sviluppato soluzioni pubblicitarie basate sulla raccolta di un unico componente, ossia l’indirizzo IP, al fine di tracciare la navigazione dell’utente. In questo caso, l’art. 5(3) potrebbe trovare applicazione anche se l’istruzione di rendere accessibile l’IP sia stata impartita da un soggetto diverso rispetto a quello che la riceve. Tuttavia, l’“accesso” agli indirizzi IP porterebbe all’applicazione dell’art. 5(3) solo nel caso in cui tali informazioni provengano dall’"apparecchiatura terminale di un abbonato o di un utente”. In altri termini, a meno che l’ente non sia in grado di garantire che l’indirizzo IP non provenga dall’“apparecchiatura terminale di un utente o di un abbonato”, dovrà adottare tutte le misure prevista della norma;
• la segnalazione intermittente e mediata dell’Internet of Things (IoT), in quanto i dispositivi IoT producono informazioni in modo continuo nel tempo che possono essere o meno pre-elaborate localmente. Alcuni di questi dispositivi hanno una connessione diretta a una rete di comunicazione pubblica (ad es. attraverso l’uso del Wi-Fi o di una scheda SIM cellulare) e vengono istruiti dal produttore a trasmettere sempre in streaming le informazioni raccolte, pur memorizzandole prima a livello locale; altri invece non dispongono di una connessione diretta ad una rete di comunicazione pubblica e vengono istruiti a trasmettere le informazioni ad un altro dispositivo ripetitore (uno smartphone, un hub dedicato, ecc.) attraverso una connessione c.d. point-to-point (ad esempio, tramite Bluetooth). Nel caso in cui il dispositivo IoT abbia una connessione diretta, questo è considerato un’“apparecchiatura terminale” e attraverso la trasmissione da parte del dispositivo IoT dei dati archiviati digitalmente al server remoto, si verifica un “accesso”. In caso di connessione point-to-pointla trasmissione dei dati potrebbe non rientrare nell’ambito di applicazione dell’art. 5(3) proprio perché tale trasmissione non avviene su una rete di comunicazione pubblica. Tuttavia, le informazioni ricevute dal dispositivo ripetitore possono essere considerate come “memorizzate” da un’“apparecchiatura terminale” e, dunque, l’art. 5(3) potrebbe trovare applicazione non appena il dispositivo ripetitore riceve l’istruzione di inviare tali informazioni ad un server remoto;
• l’identificatore univoco (o c.d. “persistente”), vale a dire uno strumento, comunemente utilizzato dalle aziende pubblicitarie, ricavato da dati personali “permanenti” (nome e cognome, e-mail, numero di telefono, ecc.), che vengono sottoposti ad un processo di hashing sul dispositivo dell’utente, raccolti e condivisi tra diversi soggetti per identificare in modo univoco una persona su diversi insiemi di dati (ad es. i dati di utilizzo raccolti attraverso l’uso di un sito web o di un’applicazione). In questo caso l’art. 5(3) risulta essere applicabile in quanto l’entità che effettua la raccolta di dati sta istruendo il browser ad inviare tali informazioni e si verifica dunque un “accesso”.

Conclusioni

Attualmente in fase di consultazione pubblica fino al 18 gennaio 2024, le Linee Guida in esame diventeranno un elemento essenziale per definire le attività qualificabili come tracciamento delle attività degli utenti online. Dopo oltre due anni dall’ultima bozza pubblicata del Regolamento sulla ePrivacy, i progetti per una più ampia riforma della Direttiva ePrivacy sembrano essere ancora in una fase di stallo.

[1] I cookies sono stringhe di testo che i siti web visitati dall’utente (“prime parti”) ovvero siti o web server diversi (“terze parti”) posizionano ed archiviano all’interno di un dispositivo terminale dell’utente - smartphone, tablet, computer, ecc..

[2] Sul punto il Working Party ha affermato che il tracciamento, sia attraverso i cookies, sia attraverso simili tecnologie, rientra nell’ambito applicativo dell’art. 5(3) della Direttiva (WP 29, Opinione 4/2012 sull’esenzione dal consenso per i cookies e Opinione 9/2014 sull’applicazione della Direttiva 2002/58/CE).