Solo pochi giorni fa importanti editori internazionali di giornali hanno congiuntamente indirizzato una lettera al Parlamento Europeo, impegnato nella discussione delle nuove regole dedicate alla protezione dei dati personali nell’ambito delle comunicazioni elettroniche, per le quali la Commissione Europea, lo scorso 10 gennaio, ha pubblicato una proposta. Si tratta della proposta di Regolamento relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e destinata ad abrogare la Direttiva 2002/58/EC (il cd. “Regolamento ePrivacy”).
Secondo i firmatari della lettera – tra cui Financial Times, Group Le Monde, Group Figaro, Frankfurter Allgemeine, ecc. – se la proposta entrasse in vigore il prossimo 25 maggio 2018 nell’attuale formulazione, metterebbe gli editori in una posizione di debolezza nei confronti degli Over The Top (i colossi mondiali del web). Il timore degli editori, essendo in Europa l’accesso a Internet gestito quasi totalmente (circa il 90%) da solo quattro aziende – Google, Apple, Microsoft e Mozilla – è quello che si crei una forte “concentrazione delle informazioni personali sugli utenti europei del digitale nelle mani di un numero ristretto di società globali, e in conseguenza di ciò i cittadini digitali diventeranno meno tutelati”.
Il pomo della discordia sono i cookie e la relativa normativa. Ma andiamo per ordine.
Secondo la Commissione le disposizioni riguardanti i cookie, così come previste e recepite sotto l’attuale normativa, hanno generato un sovraccarico di richieste di consenso agli utenti di internet, contraddicendo il principio per cui le richieste di consenso debbano essere rese agli interessati nel modo meno invasivo possibile. Pertanto, la proposta si muove nella direzione di una notevole semplificazione, utilizzando i browser come gatekeepers “aiutando così gli utenti finali ad evitare che le informazioni relative alla loro apparecchiatura terminale (per es. cellulare, tablet o computer) siano consultate o conservate” (cfr. considerando 22 della Proposta).
A tal fine, non sarà necessario il consenso degli utenti per i cookie non intrusivi, come ad esempio i cookie tecnici di sessione, che consentono di gestire il carrello degli acquisti online o che contano il numero di visitatori di un sito internet (cfr. articolo 8 della Proposta).
Invece, per i c.d. “tracking cookie” e per ogni altra tecnica di tracciamento (tra cui il cd. “device fingerprinting”), gli utenti dovranno essere dotati di tutti gli strumenti necessari all’esercizio di un controllo totale e centralizzato direttamente tramite le impostazioni dei browser. I fornitori dei browser dovranno, infatti, informare gli utenti dei rischi connessi all’utilizzo di cookie di tracciamento di terze parti e fornire loro la possibilità, in modo semplice ed intuitivo, di scegliere il livello di autorizzazione, ad esempio consentendo senza eccezioni di utilizzare cookie di terze parti, bloccarli alla radice oppure impostare black list o white list di siti internet a cui consentire o negare tale installazione.
Una simile impostazione, caratterizzata dalla tutela del dato personale sin dalla progettazione del browser e, di conseguenza, fortemente legata alla necessità che vengano approntate misure tecniche e organizzative adeguate per garantire la correttezza del trattamento effettuato, richiama in maniera evidente i principi della privacy by design e privacy by default propri del Regolamento Privacy (cfr. considerando nn. 23-25 della Proposta e articolo 25 del Regolamento Privacy). A ciò si aggiunga che nel nuovo Regolamento ePrivacy si prevede che, per garantire un consenso informato, i produttori di software dovranno contemplare la possibilità di impedire a terzi la memorizzazione delle informazioni sul terminale di un utente finale o l’elaborazione delle informazioni già memorizzate su tali apparecchiature (quindi un vero e proprio diritto di impedire i cosiddetti cookie), e soprattutto, dovranno informare in maniera chiara l’utente finale sulle impostazioni privacy del programma (cfr. articolo 10 della Proposta).
L’aspetto più delicato, a questo proposito, è rappresentato dal rapporto tra le decisioni dell’utente effettuate nell’utilizzo di programmi che si trovano “a monte” (come browser e motori di ricerca), rispetto all’accessibilità a programmi o servizi “a valle”, ed alla possibilità, per l’utente stesso, di assumere decisioni diverse in sede di utilizzo di questi programmi o servizi.
Il Regolamento ePrivacy, dunque, allo scopo di semplificare gli adempimenti richiesti all’utente, accentra su programmi quali browser e motori di ricerca la funzione di definizione delle impostazioni in materia di dati personali; questo potrebbe, tuttavia, in assenza di adeguate previsioni normative, consentire ai titolari di tali programmi di introdurre ostacoli all’accesso di servizi di terzi, ed in particolare di impedire a terzi di proporre all’utente nuove e specifiche decisioni inerenti ai dati personali per il loro servizio.
Gli esiti anticoncorrenziali di una simile soluzione sono evidenti. Occorrerebbe, pertanto, che la normativa fosse integrata nel senso per cui, ferme le impostazioni scelte dall’utente tramite il browser o il motore di ricerca, deve comunque essere consentito a terzi di proporre all’utente stesso deroghe e/o modifiche di tali impostazioni, limitatamente al servizio che gli stessi terzi offrono.
Inoltre, per quanto riguarda i cookie di terze parti, l’attuale disciplina italiana prevede che l’editore del sito tramite cui avvenga l’installazione debba informare circa l’esistenza di tali cookie nell’informativa breve (tramite banner) ed inserire nella pagina dell’informativa estesa (c.d. policy privacy) i link alle informative di ciascun terzo.
Tale modalità non potrebbe funzionare se le impostazioni del browser impedissero all’editore di proporre una propria informativa e richiederne il relativo consenso; anche sotto questo profilo è quindi necessario che il titolare del browser o del motore di ricerca sia obbligato a consentire comunque ai terzi di sollecitare nuove decisioni da parte dell’utente. Così facendo si avrebbe il pregio di rendere trasparente all’utente ciò che finora l’utente non sapeva, e cioè quali terze parti richiedono accesso al suo dispositivo e per quali finalità.
Quanto meno sarebbe opportuno prevedere l’obbligo dei titolari dei browser di consentire scelte specifiche “a valle” da parte dell’utente, non necessariamente cambiando le impostazioni generali del browser.
Il punto è fondamentale per la tutela della concorrenza e anche per l’autodeterminazione degli utenti, che non possono essere azzerate in nome della semplificazione.