Quali dati dei cookie sono sensibili?

Image of Carlo Cilento

Pubblicato il 16 set 2022 e modificato il 15 ago 2023 da Carlo Cilento

In una recente causa, la Corte di giustizia dell'UE ha stabilito che i "dati" che possono rivelare "dati sensibili" devono essere considerati "dati sensibili".

A questo punto, i dati dei cookie sono sempre stati trattati come dati personali ai sensi del GDPR e non come dati sensibili. Ma cosa succederebbe se i cookie fossero effettivamente considerati dati sensibili alla luce di questa sentenza? Quali sarebbero le implicazioni?

In questo articolo spieghiamo perché questo scenario non è inverosimile e perché avrebbe un impatto profondo sul modo in cui utilizziamo i cookie.

  1. Di cosa tratta il caso?
  2. Cosa significa la sentenza?
  3. Le implicazioni pratiche
  4. Cosa significa per i cookie?
  5. Riflessioni finali
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Entriamo nel vivo

Di cosa tratta il caso?

La causa in questione è stata intentata dal direttore di un istituto lituano che riceveva finanziamenti pubblici. In base alla legge lituana sul conflitto di interessi, egli era tenuto a fornire alcune informazioni personali - tra cui il nome del coniuge - a una commissione etica per la pubblicazione.

Il direttore si è rifiutato di fornire le informazioni. Egli ha sostenuto che la divulgazione del nome del suo partner su un sito web pubblicamente accessibile avrebbe indirettamente rivelato il suo orientamento sessuale, che costituisce un dato sensibile ai sensi del GDPR.

L'interessato ha portato il suo caso davanti a un tribunale amministrativo e successivamente è approdato alla Corte di giustizia dell'UE per un pronunciamento preliminare. La Corte ha infine stabilito che i dati da cui possono essere dedotti i dati sensibili devono essere trattati essi stessi come dati sensibili ai sensi del GDPR. 1

Cosa significa la sentenza?

Il GDPR protegge i dati personali in generale, ma stabilisce regole più severe per le categorie di dati particolarmente sensibili, come i dati sanitari, le opinioni politiche, le convinzioni religiose e l'orientamento sessuale. 2 Come ha osservato esplicitamente la Corte, il nome di una persona non è, di per sé, un dato sensibile. Tuttavia, tali dati possono rivelare l'orientamento sessuale della persona, che è appunto un dato sensibile. Per questo motivo, la Corte ha ritenuto che il nome del partner di una persona possa essere considerato un dato sensibile.

Questa sentenza apre un grande vaso di Pandora. Molti dati personali non sono sensibili di per sé, ma possono rivelare informazioni sensibili.

Le implicazioni pratiche

L'industria della pubblicità online raccoglie attualmente enormi quantità di dati per profilare gli utenti di Internet per annunci pubblicitari personalizzati, alcuni dei quali si rivolgono agli utenti in base all'orientamento sessuale, alle condizioni di salute e alle convinzioni politiche (o a proxy affidabili di tali proprietà sensibili).

È difficile credere che nessuno dei dati elaborati per questo tipo di pubblicità possa rivelare informazioni sensibili. Ciò è particolarmente vero per le grandi aziende tecnologiche basate sui dati, come Google o Facebook. Quando grandi quantità di dati personali vengono combinate e date in pasto ai loro sofisticati algoritmi guidati dall'intelligenza artificiale, anche informazioni apparentemente "neutre" possono rivelare dati sensibili su un utente.

L'impatto di questa sentenza potrebbe non essere limitato alle grandi aziende tecnologiche. Supponiamo che un sito web elabori cookie di terze parti. Le abitudini di navigazione di un utente non sono di per sé dati sensibili, ma è facile pensare a esempi in cui si possono trarre inferenze sensibili. Cosa succederebbe se l'utente visitasse siti web informativi su specifiche condizioni di salute, comunità online legate alla salute mentale o siti web che ospitano pornografia? E che dire dei cookie di prima parte elaborati da questi "siti web sensibili"?

Al momento è difficile ipotizzare l'ampiezza dell'applicazione della sentenza nella giurisprudenza futura. Ma alla luce del ragionamento della Corte, è difficile sostenere che in nessuno dei suddetti scenari vengano trattati dati sensibili.

Questo vale anche per la divulgazione dei dati a terzi: se un sito web elaborasse i dati sensibili dei cookie attraverso Google Analytics, il sito web e Google sarebbero, rispettivamente, il responsabile e l'incaricato del trattamento dei dati sensibili.

cookie data

Un numero maggiore di dati può essere considerato sensibile e sarà soggetto a regole più severe ai sensi del GDPR. In effetti, alcune operazioni di trattamento dei dati potrebbero non essere più lecite ai sensi del regolamento più severo per i dati sensibili.

Se i dati dei cookie - o almeno alcuni di essi - fossero considerati dati sensibili, richiederebbero il consenso esplicito dell'utente 3, ovvero una forma "rafforzata" di consenso "di base" ai sensi del GDPR. Esistono altri modi per conformarsi, ma da un punto di vista pratico l'ottenimento del consenso esplicito da parte dell'utente sarà l'unica opzione nella maggior parte degli scenari.

Questo potrebbe non sembrare un grosso problema, dato che il consenso dell'utente è già obbligatorio per i cookie ai sensi della Direttiva ePrivacy. 4 Tuttavia, il consenso ai cookie viene raccolto in modi a dir poco non ideali. La "stanchezza da cookie" è un fenomeno ben noto che spinge la maggior parte degli utenti ad accettare le politiche sui cookie senza nemmeno cliccarle, per non parlare di leggerle. Inoltre, molti banner di cookie utilizzano design ingannevoli per rendere il più fastidioso possibile il rifiuto del consenso da parte dell'utente. Considerando il requisito generale del GDPR che il consenso sia libero e informato 5, queste pratiche sono a dir poco problematiche.

Se in futuro i cookie - o almeno i cookie per determinati siti web - dovessero richiedere un consenso esplicito, le autorità di vigilanza potrebbero adottare una posizione più severa sui cookie in generale e iniziare a prendere più seriamente i requisiti per un consenso "di base". Anche se le autorità non dovessero arrivare a richiedere un consenso esplicito, la recente sentenza e il dibattito che ha suscitato potrebbero mettere in luce le numerose carenze dell'implementazione dei cookie.

Riflessioni finali

Al momento nessuno è in grado di valutare con precisione l'impatto futuro della sentenza, poiché non esistono ancora linee guida o altra giurisprudenza. Non abbiamo la sfera di cristallo, ma abbiamo buone ragioni per ritenere che questa sentenza provocherà grandi ondate nel panorama legale.

Se la sentenza verrà adottata o meno, crediamo che non sia solo una questione di rispetto della legge. La questione va oltre. Riteniamo che ogni proprietario di un sito web debba rispettare la privacy dei suoi visitatori.

Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori. Per questo motivo abbiamo creato Simple Analytics, un'alternativa a Google Analytics che rispetta la privacy e che non raccoglie dati personali, pur fornendo le informazioni di cui avete bisogno. Se questo vi interessa, non esitate a provarci.

#1 La Corte ha fatto riferimento sia al GDPR che alla vecchia direttiva sulla protezione dei dati in questo caso, ma ha affermato che non vi sono differenze significative tra gli articoli pertinenti del GDPR e della direttiva. È perfettamente sicuro trattare questo caso come un caso GDPR, come facciamo nel nostro post. [^2]: Art. 9 GDPR. 9 GDPR. [^3]: Art. 9(2)(a) GDPR. 9(2)(a) GDPR. [^4]: Articolo 5(3) della Direttiva 2002/58, come modificata dalla Direttiva 2009/136. [^5]: Articolo 4, paragrafo 11, del GDPR.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni