Il Garante privacy dice no alla profilazione tramite cookie basata sul legittimo interesse

Il Garante per la protezione dei dati personali ha ritenuto non potersi procedere con la profilazione tramite cookie basata sul legittimo interesse degli utenti maggiorenni iscritti ad un noto social network.

Il recente provvedimento del Garante, adottato d’urgenza è frutto dell’istruttoria avviata a seguito dell’annuncio della  piattaforma circa la futura modifica dell’informativa privacy, riguardante l’impiego di pubblicità personalizzata mediante profilazione esclusivamente rivolta agli utenti maggiori di 18 anni e basata su “informazioni che ci fornisci, informazioni raccolte automaticamente e informazioni da altre fonti”, avente lo scopo di mostrare annunci pubblicitari calibrati sull’interesse personali degli utenti; tali trattamenti, ad avviso del social media, troverebbero giustificazione nel legittimo interesse di cui l’art. 6, par. 1, lett. f) del GDPR.

Tuttavia, alla luce delle criticità emerse, tra le altre, sarebbe stato difficile dimostrare l’accertamento sull’età da parte del social network. Il noto social network, peraltro, si era impegnato a risolvere la questione relativa all’accertamento dell’età. Tuttavia, viste le modalità e i meccanismi con cui avviene tale accertamento, il Garante ha ritenuto non potersi escludere il rischio di profilazione anche di coloro che hanno età compresa tra i 13 e i 14 anni. In tal senso, in caso di infraquattordicenni, per accedere alla piattaforma è richiesto il consenso di chi esercita la potestà genitoriale, mentre per quelli minori di 13 anni l’accesso è del tutto precluso.

In secondo luogo, occorre precisare che il Garante ha rinvenuto la violazione sia della Direttiva ePrivacy 2002/58/CE che dell’articolo 122 del Codice Privacy emanato in attuazione della predetta direttiva, secondo cui è legittimo utilizzare i cookie di profilazione solamente previa acquisizione del consenso dell’interessato. Secondo l’informativa della piattaforma ci si riferisce all’utilizzo di “cookie e simili tecnologie di tracciamento per gestire e fornir[ti]e i nostri servizi. Ad esempio usiamo i cookie per ricordare le tue preferenze di lingua, per assicurarci che tu non veda lo stesso video più di una volta e per motivi di sicurezza. Usiamo queste tecnologie anche per finalità di marketing” nonché “informazioni sul dispositivo…che includono il modello del tuo dispositivo, il sistema operativo, i pattern o i ritmi di digitazione, l’indirizzo IP e la lingua del sistema…” nonché “informazioni relative al servizio, alla diagnostica e alle prestazioni, compresi i rapporti di crash e i log delle prestazioni”.

In linea generale, il Garante italiano reputa che il legittimo interesse, quale base giuridica per il trattamento, non può giustificare la profilazione dell’utente tramite i cookie. Tuttavia, è altrettanto rilevante evidenziare che secondo il provvedimento ciò non vale per tutte le profilazioni, ma solo quelle basate sui cookie. Inoltre, la direttiva eprivacy stabilisce che le informazioni memorizzate sul dispositivo (anch’esse impiegate nell’ambito dell’attività di profilazione) possono essere trattate esclusivamente previo consenso dell’interessato. Il Garante ha potuto dunque adottare un provvedimento che non deve giustificarsi rispetto al tema della cooperazione tra i Garanti europei, dal momento che quest’ultimo meccanismo non trova applicazione nell’ambito della direttiva.

A seguito del provvedimento, il social network ha provveduto a seguire le indicazioni del Garante rinviando la modifica dell’informativa e, dunque, il passaggio al legittimo interesse come base giuridica per la pubblicità “personalizzata” rivolta ai soli maggiorenni.

Su un simile argomento può essere interessante l’articolo “Cookie e profilazione online con Guido D’Ippolito Funzionario del Garante privacy”.