Terzo e ultimo appuntamento con l’avv. Del Ninno e l’approfondimento sulle misure di tutela degli utenti avverso l’utilizzo di tecniche cosiddette di “device fingerprinting”. Il Parere dei Garanti - fissato il principio legislativo generale del consenso preventivo dell’utente (salvi i casi di esenzione) alla operatività delle tecniche di device fingerprinting (incluso il divieto di rispettare l’eventuale impostazione del Do Not Track http) - si occupa di fornire una serie di scenari pratici atti e chiarire i casi di applicabilità al fingerprinting delle prescrizioni (ed esenzioni) già dettate per la operatività dei cookies nel Parere 4/2012 (a cui ha fatto seguito, per quel che riguarda il Garante privacy italiano, il Provvedimento generale Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014 che i titolari del trattamento dovranno implementare al massimo entro la data del 3 Giugno 2015).
Analytics può presentare un rischio per la protezione dei dati. Il primo caso esemplificativo è quello di utilizzo della tecnica di device finger-printing come alternativa ai cookies per l’operatività dei servizi cosiddetti di analytics da parte del gestore di un sito web (c.d. “prima parte”). Come è noto l’analitica consiste in rilevazioni statistiche sulle visite ai siti web effettuate mediante strumenti che spesso si fondano su cookie (si pensi a Google Analytics, il servizio di statistiche più usato nel web, attualmente in uso presso circa il 57% dei 10.000 siti web più popolari e presso circa il 49,95% del primo milione di siti web). Tali strumenti sono utilizzati soprattutto dai proprietari di siti web per stimare il numero di visitatori unici, al fine di individuare le principali parole chiave per i motori di ricerca che portano a una pagina web oppure per individuare le problematiche di navigazione di un sito web. Gli strumenti analitici disponibili oggi utilizzano svariati modelli di raccolta e analisi dei dati, ciascuno dei quali presenta rischi differenti per la protezione dei dati. Nel Parere 4/2012 sui cookies i Garanti europei avevano evidenziato che un sistema analitico utilizzato direttamente dal gestore di un sito web basato su cookie di tale “prima parte” presenta chiaramente rischi diversi rispetto al sistema analitico di terzi (basato su cookie di una “terza parte”). Inoltre, continuano i Garanti, «i cookie analitici di prima parte non generano un rischio per la privacy quando sono strettamente limitati alle finalità statistiche aggregate del gestore del sito web e se sono utilizzati da siti web che già forniscono chiare informazioni circa questi cookie nella propria politica in materia di riservatezza nonché tutele adeguate al riguardo. Fra tali tutele dovrebbero rientrare un meccanismo di facile utilizzo per scegliere di essere esclusi da qualsiasi raccolta di dati nonché meccanismi di completa anonimizzazione applicati alla raccolta di altre informazioni identificabili, come gli indirizzi IP». Tuttavia, la conclusione dei Garanti è di segno opposto: non essendo previsto un caso di esenzione dall’obbligo di richiedere il consenso dell’interessato anche se i cookies del gestore del sito web sono strettamente limitati a finalità statistiche aggregate e anonime, è necessario ugualmente richiedere il consenso e dunque l’utilizzo in alternativa ai cookies della tecnica di device fingerprinting per le medesime finalità del trattamento ricade ugualmente nel medesimo obbligo di acquisizione del consenso preventivo dell’utente. E la pubblicità comportamentale? Il secondo caso preso in esame dai Garanti UE è quello dell’utilizzo delle tecniche di device fingerprinting per tracciare le abitudini comportamentali e di acquisto online dell’utente al fine di tarare messaggi pubblicitari e di marketing (anche da parte di terzi che offrono i relativi servizi) nell’ottica della cosiddetta pubblicità comportamentale. Come già enfatizzato nel Parere 4/2012 sui cookies , l’utilizzo della tecnica di device fingerprinting per le medesime finalità di marketing e promozione pubblicitaria ricade ugualmente nel medesimo obbligo di acquisizione del consenso preventivo dell’utente. Gestione delle infrastrutture di rete. Il terzo caso riguarda la gestione delle infrastrutture di rete. Partendo dal presupposto che la corretta gestione di una rete richiede la raccolta di determinate informazioni (univoche e non univoche) relative a ciascun dispositivo (es: il trattamento dell’indirizzo MAC da parte di un access point wi-fi per consentire e mantenere la connessione), il Parere in esame specifica che se tale trattamento (anche mediante device fingerprinting ) è unicamente finalizzato a rendere possibile il normale funzionamento della rete, allora pur ricadendo in astratto nell’obbligo di richiesta del consenso dell’utente per l’accesso e l’archiviazione delle informazioni, troverà comunque applicazione – come per i cookies – la stessa ipotesi di esenzione dell’obbligo. Se però le medesime informazioni raccolte «al solo scopo di consentire la trasmissione di una comunicazione su una rete» sono altresì utilizzate per fini di tracciatura “secondari” o “multi-scopo” (anche da terze parti) è conseguente che sarà necessario acquisire il consenso dell’interessato. Identificazione preventiva dell’utente Il quarto caso pratico riguarda i servizi di controllo e identificazione preventiva di un utente che utilizza un servizio online . Spesso i servizi online utilizzano la tecnica del fingerprinting per controllare e identificare l’utente che quel servizio richiede (e spesso la tecnica opera in associazione con la richiesta di inserire le credenziali di autenticazione, come una userd id e una password ). La tecnica di device fingerprinting può essere utilizzata per assicurare che un account sia legato a quel particolare dispositivo, determinandosi che lo stesso dispositivo diventa esso stesso un fattore di autenticazione. Ad esempio, l’abbonamento ad un servizio di download di contenuti consente di accedere al servizio solo da un limitato numero di specifici dispositivi registrati (si pensi al caso del servizio SKY Go, accessibile ad un massimo di 2 dispositivi). In casi del genere i Garanti europei ritengono che l’identificazione dell’utente mediante device fingerprinting non sia “strettamente necessaria” per poter fornire il servizio, potendosi utilizzare metodi alternativi di identificazione dell’utente basati su una metodologia meno invasiva, come ad esempio l’utilizzo di una one time password o l’invio di una e-mail di conferma. Conseguentemente, la tecnica di device fingerprinting impiegata a tali scopi non può che basarsi sulla acquisizione obbligatoria di un valido consenso da parte dell’utente. Protezione del login. Il quinto caso pratico analizzato dai Garanti UE riguarda le finalità di potenziamento della sicurezza di un servizio richiesto esplicitamente dall’utente. Nel Parere 4/2012 sui cookies i Garanti avevano chiarito che l'esenzione dall’obbligo di richiedere il consenso può essere estesa ai cookies predisposti allo scopo specifico di accrescere la sicurezza di un servizio esplicitamente richiesto dall'utente, come nel caso di cookie utilizzati per individuare ripetuti tentativi falliti di login a un sito web, oppure di altri meccanismi analoghi studiati per proteggere il sistema di login dagli abusi. Tale esenzione – nel Parere in esame - si applica anche alle tecniche di device fingerprinting che perseguono il medesimo scopo, anche se – come per i cookies – tornerà ad applicarsi l’obbligo del consenso se il loro impiego è relativo alla sicurezza di siti web o di servizi di terzi che non sono stati richiesti esplicitamente dall'utente. Inoltre, l’obbligo del consenso troverà applicazione se i dati raccolti mediante fingerprinting sono utilizzati per scopi secondari: sul punto il Parere richiede ai titolari del trattamento di predisporre idonee cautele tecniche ed organizzative atte a prevenire qualsiasi utilizzo secondario dei dati di fingerprinting (raccolti per i fini di sicurezza appena sopra spiegati), come ad esempio la loro conservazione sui server mediante log di sicurezza. Adattamento dell’interfaccia utente al dispositivo. L’ultimo caso pratico preso in esame dai Garanti europei riguarda le finalità di adattamento dell’interfaccia utente al dispositivo. Accedere alle informazioni del dispositivo (come ad esempio al formato o alla dimensione dello schermo) può essere utile per ottimizzare il layout dei contenuti visualizzati. Per esempio, un sito web che offre contenuti media può cambiare l’impostazione di visualizzazione, utilizzando una risoluzione grafica più bassa o un layout a colonna singola per i telefoni cellulari. In altri casi, un sito web può richiedere che il dispositivo sia dotato di determinate capacità tecniche per supportare - ad esempio - certi formati video. In questi e similari casi, l’accesso alle informazioni del dispositivo mediante fingerprinting per adattare il contento web richiesto alle caratteristiche del dispositivo è consentito senza obbligo di richiedere il consenso preventivo dell’utente. Ovviamente, l’obbligo del consenso troverà applicazione se i dati così raccolti mediante fingerprinting sono utilizzati per scopi secondari.