Secondo appuntamento con l’approfondimento - a firma dell’avvocato Alessandro Del Ninno - sulle misure di tutela degli utenti avverso l’utilizzo di tecniche cosiddette di “device fingerprinting”, atte ad identificare i dispositivi ed i loro utilizzatori mediante raccolta di dati tecnici e tracciatura del dispositivo connesso a Internet. Fari puntati, in particolare, sull'obbligo del consenso informato prima dell'archiviazione di informazioni o dell'accesso a informazioni già archiviate nell'apparecchiatura terminale dell'utente o dell'abbonato.
Il Gruppo dei Garanti privacy UE parte dal presupposto che i citati studi e ricerche dimostrino come i rischi per la privacy degli utenti legati all’impiego del fingerprinting siano tutt’altro che teorici, visto l’ormai diffuso sfruttamento di tali tecniche nel modo ICT. In tale prospettiva, le Autorità privacy – ampliando l’ambito di applicabilità del precedente Parere 4/2012 sui cookies – ritengono applicabile al fingerprinting l’articolo 5, paragrafo 3, della direttiva 2002/58/CE, come modificato dalla direttiva 2009/136/CE (sulla tutela della privacy nelle reti di comunicazione elettronica), che ha rafforzato la tutela degli utenti di reti e servizi di comunicazione elettronica introducendo l'obbligo del consenso informato prima dell'archiviazione di informazioni o dell'accesso a informazioni già archiviate nell'apparecchiatura terminale dell'utente (o dell'abbonato). E tale obbligo si applica a tutte le tipologie di informazioni sottoposte ad archiviazione o ad accesso nell'apparecchiatura terminale dell'utente e sebbene il dibattito (almeno all’epoca della redazione del Parere 4/2012 citato) si sia incentrato principalmente sull'impiego dei cookies , non si deve intendere tale termine in senso esclusivo rispetto a tecnologie simili. Raccolta preventiva del consenso degli interessati. Quindi sostanzialmente, il presupposto – e la conclusione – del Parere 9/2014 dei Garanti UE è che terze parti che raccolgono dati dell’utente mediante device fingerprinting sono soggette al medesimo obbligo di raccolta preventiva del consenso degli interessati così come previsto per i titolari del trattamento di dati mediante monitoraggio e profilazione attuata mediante cookies (a meno che non ricorrano i casi di esenzione dall’obbligo del consenso, come nel caso dei cosiddetti cookies tecnici, cioè quelli utilizzati «al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica» o «strettamente necessari al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio»). Che la raccolta di informazioni tecniche attuata mediante fingerprinting rappresenti un vero e proprio trattamento di dati personali (e che le informazioni tecniche in quanto tali siano “dati personali”) come definito dalle applicabili Direttive sulla protezione dei dati (la 96/45 e la 2002/58) è confermato dal Parere in esame: inoltre, l’incrocio di numerosi parametri tecnici (come identificatori univoci o indirizzi IP) e la finalità di identificare – anche in maniera permanente nel tempo – le connessioni dell’utente (per esempio anche a fini di pubblicità comportamentale) rappresentano per i Garanti UE un trattamento che pienamente ricade nelle tutele previste dalla legge. E ciò a maggior ragione considerando il fatto che altrettanto numerosi sono i dispositivi che possono essere soggetti al fingerprinting : non solo PC, smartphone , tablet e altri dispositivi mobili, ma anche smart TV, consolle di giochi connesse in rete, lettori di e-book, web radio o navigatori per le auto, solo per citare degli esempi. Consenso richiesto e consenso necessario I Garanti UE richiamano altresì un precedente – e interessante – Parere (Opinion 2/2013 sulle impostazioni privacy delle app per smart devices ) in cui si specificava un principio che ritengono applicabile anche al fingerprinting : «è importante notare la distinzione tra il consenso richiesto per inserire o consultare informazioni nel dispositivo e il consenso necessario per legittimare il trattamento di diversi tipi di dati personali. Benché i due requisiti siano applicabili simultaneamente, ciascuno in virtù di una diversa base giuridica, sono entrambi soggetti alla condizione che si tratti di una “manifestazione di volontà libera, specifica e informata” (ai sensi della definizione all'articolo 2, lettera h), della direttiva sulla protezione dei dati). Di conseguenza, i due tipi di consenso si possono fondere nella pratica, durante l'installazione o prima che l'applicazione cominci a raccogliere dati personali dal dispositivo, purché l'utente sia reso consapevole in modo inequivocabile di quello a cui acconsente». La conclusione è dunque quella di imporre ad ogni soggetto (incluse terze parti) che mediante fingerprinting archivia e/o accede a informazioni tecniche del dispositivo dell’utente di richiedere il consenso dell’interessato. I termini “archiviazione” e “accesso” – poi – vanno interpretati secondo i Garanti nel senso che non occorre che tali attività avvengano nell’ambito della medesima connessione o siano poste in essere dallo stesso soggetto: l’informazione archiviata da un certo soggetto (incluse le informazioni immagazzinate dall’utente o dal produttore del dispositivo) che sia successivamente oggetto di accesso ad opera di un altro (es: provider, gestore del sito web, etc), ricadono ugualmente nell’obbligo di richiesta di consenso preventivo al trattamento.