Se i cookie contengono dati personali, è rilevante per più motivi. La GDPR regola (solo) l'ambito con dati personali o correlati a persone, ma non specificamente i cookie. Ciò è anche rilevante per le autorità di vigilanza e potenzialmente il loro privilegio di sanzione.
Introduzione
L'articolo è stato redatto prima della conoscenza e dell'entrata in vigore del TTDSG. L'ho aggiustato. La sua forma originale è di per sé trasferibile allo stato attuale. Solo le riferenze al TTDSG invece che all'ePrivacy o TMG sono da valutare diversamente.
Il tema l'abbiamo affrontato anche io e Stephan Plesnik nel podcast privacy Deluxe (Episodio 18):
La GDPR è nota per non essere applicata in via specifica ai cookie, ma alle informazioni personali. Il TTDSG invece afferma che i cookie possono essere memorizzati o acceduti solo sul dispositivo di un utente se esiste il consenso della persona interessata (i cookie tecnici sono esclusi da ciò). Questo articolo è stato scritto prima dell'entrata in vigore del TTDSG e si riferisce in parte al TMG. Il TTDSG è un regolamento speciale per la GDPR, noto anche come lex specialis.
I cookie contengono dati personali?
Il Corte Suprema di Giustizia ha deciso nel giudizio Planet49, a metà 2020, che § 15 Abs. 3 TMG deve essere interpretato in conformità con Art. 5 Abs. 3 ePrivacy Directive. Il legislatore tedesco è stato ancora una volta molto lento e non ha trasposto la ePrivacy Directive in legge nazionale, come richiesto dall'Unione europea. Solo il 01.12.2021 è entrato in vigore con il TTDSG il codice sulla protezione dei dati per la Germania, che attua la normativa europea. Nel maggio 2024, il TTDSG passerà al TDDDG e il TMG al DDG. I nuovi decreti sono identici ai vecchi e hanno solo un nuovo nome (poiché ora si tiene conto dei "servizi" anziché dei "media").
Prima del 01.12.2021 era anche § 15 Abs. 1 TMG interessante. Lì si legge inizialmente:
Il fornitore del servizio può raccogliere e utilizzare i dati personali di un utente solo se è necessario per consentirne l'accesso e la fatturazione (dati di utilizzo).
Articolo 15, comma 1 del Codice per la protezione dei dati personali (TMG) (estratto)
Questo passaggio è particolarmente rilevante quando si tratta della questione se le autorità tedesche per la protezione dei dati possono infliggere multe a causa di cookie utilizzati in modo illegale. Ciò che conta qui è la domanda se i cookie siano o meno dati personali. Non considero qui le leggi specifiche per ogni paese delle autorità tedesche per la protezione dei dati, anche se queste potrebbero rendere obsoleta la questione del riferimento personale dei cookie in casi individuali. ([1])
Che cos'è un cookie?
I cookie sono depositi di dati. Un cookie viene gestito sul dispositivo dell'utente. Un utente è il proprietario di un dispositivo. Quando un utente richiama una pagina web tramite il suo browser, il browser gestisce per l'utente i cookie della pagina visitata. I cookies vengono memorizzati dal browser in un formato casuale.
Un cookie è composto da un paio di dati formato da nome e valore. Questo paio di dati viene inviato alla pagina web al momento del suo richiamo. Se una pagina web incorpora plugin e questi ultimi utilizzano i cookies, i plugin ricevono i paia di dati. Non vengono inviati cookies dall'apparecchio dell'utente alle medie televisive richiamate, ma solo il nome e il valore di ogni cookie.
I cookie sono "soltanto" un tipo di accesso al dispositivo. Anche con JavaScript può avvenire un tale accesso. Il TTDSG addresca persino dispositivi terminali come sensori senza schermo, che inviano i loro valori misurati attraverso una rete. Per tali dispositivi possono essere caricati aggiornamenti. Anche tali aggiornamenti sono accessi analoghi ai cookie.
Che sono i dati personali?
Il TMG non fornisce informazioni sufficienti a questo proposito. Anche il TTDSG offre poco in questo senso. Al contrario, si può cercare di utilizzare il BDSG e la GDPR, che entrambi (non sono un giurista) potrebbero essere rilevanti per il TTDSG. La GDPR, comunque, è almeno rilevante per le autorità di tutela della privacy. E almeno il BDSG o la GDPR sono rilevanti per il TTDSG, secondo la mia opinione ingenua. Per favore correggetemi se sbaglio.
In § 46 Nr. 1 BDSG steht: Personenbezogene Daten sind …
… tutte le informazioni che si riferiscono a una persona fisica identificata o identificabile (persona interessata); come identificabile viene considerata una persona fisica che può essere identificata direttamente o indirettamente, in particolare mediante la correlazione con un codice di identificazione come un nome, un numero di identificazione, dati di localizzazione, un codice online o uno o più caratteristiche specifiche che esprimono l'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale della persona in questione
Art. 46, n. 1 del BDSG (estratto)
Nell'Art. 4 n. 1 del GDPR si legge quasi a parole: I dati personali sono…
tutte le informazioni che si riferiscono a una persona fisica identificata o identificabile (in seguito denominata "persona interessata"); come identificabile viene considerata una persona fisica che può essere identificata direttamente o indirettamente, in particolare mediante l'assegnazione di un codice di riferimento come un nome, un numero di identificazione, dati di posizione, un codice online o uno o più caratteristiche specifiche espressive dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale della persona interessata
Art. 4 Nr. 1 GDPR (Auszug)
Le definizioni del BDSG e della GDPR affermano che dalla persona identificabile di un dato deriva il fatto che questo sia da considerarsi personale, intendendo con ciò esclusivamente persone naturali.
La domanda se i cookie rappresentino dati personali può essere ridotta a quella se rappresentino dati riferibili a persone. I dati riferibili sono comunque più facilmente identificabili come dati personali rispetto ai dati personali in senso stretto.
I cookie contengono dati personali?
La domanda effettivamente rilevante (più semplice).
Che cos'è un cookie?
I cookie sono dati. I cookie non sono testi file, come molti affermano. I cookie non sono nemmeno testi file, solo perché a qualcuno non viene in mente un termine migliore che sia facile da capire ai sensi del GDPR. Ci sono termini migliori di "file di testo" che tuttavia sono comprensibili. Ad esempio, "informazioni in piccoli bocconi" al posto di dati, anche se credo che i dati siano facilmente comprensibili. È ancora meglio descrivere a cosa servono i cookie, ovvero per memorizzare informazioni sul computer dell'utente (o su un dispositivo finale come un dispositivo Smart Home).
Un cookie è composto da un tuplo, cioè da un par di valori. Il par viene formato da un nome e da un valore. Che si tratti di un tuplo non ha importanza. Un valore unidimensionale è equivalente. Si può ottenere concatenando nome e valore, che vengono tenuti distinti da un segno di separazione definito.
Un Cookie viene creato quando un Servizio lo genera. Un servizio può essere una pagina web che può generare i propri cookie se necessario. Ciò accade spesso per la creazione di cookie per la gestione delle sessioni. In questo modo si può verificare se l'utente è autenticato o meno. WordPress ad esempio utilizza i cookie per consentire l'autenticazione degli utenti. In tal caso possono essere creati solo i cosiddetti First-Party Cookies, che sono sia tecnica che giuridicamente attribuibili alla prima parte. La prima parte è il gestore della pagina web o la persona responsabile della stessa.
Inoltre un cookie può essere generato da logica JavaScript. In questo caso si verificano anche cookies tecnici di prima parte. Nel caso di Google Analytics, tuttavia, è presente un cookie di terza parte in senso tecnico, poiché viene gestito da Google.
Ultimamente possono essere creati cookie quando vengono richieste file da un (altro) server. Ad esempio, possono essere creati cookie quando Google reCAPTCHA richiede file da una pagina web. Questi cookie sono tecnici e di terze parti.
| Processo | Arte dei Cookies tecnico | Arte dei Cookies a scopo professionale |
|---|---|---|
| Il sito web gestisce i propri cookie | First-Party | First-Party |
| Logica JavaScript Terzo | First-Party | Third-Party |
| Chiamata di file da server terzi | Third-Party | Third-Party |
I cookie vengono gestiti separatamente dal browser di ogni utente. Ogni utente ha quindi potenzialmente altri cookie sul suo dispositivo finale rispetto ad altri utenti. I cookie sono l'unica (attuale) informazione ai sensi § 25 TTDSG, che viene memorizzata nel dispositivo dell'utente, quando si tratta di siti web. Su smartphone, ad esempio, si aggiunge l'ID pubblicitaria di Apple e Google. Con Google FloC, un approccio già fallito da Google per essere più rispettosi della privacy, vengono memorizzate identificativi di cohort nel dispositivo dell'utente. Anche Google Topics accede al dispositivo dell'utente.
I cookie memorizzati in un dispositivo dipendono dalle pagine web che un utente ha visitato precedentemente. Solo questo fatto dimostra che i cosiddetti Scanner dei Cookie non possono mai funzionare con affidabilità.
Quali dati archiviano i cookie?
In generale questa domanda non può essere risposta. Potenzialmente tutti i dati possibili possono essere memorizzati in un o più cookie. Ecco alcuni esempi di valori dei cookie. Sono indicati solo i valori, perché il nome del cookie decide la sua interpretazione e la significato dei valori è riportato nella tabella.
| Valore | Esempio significativo |
|---|---|
| X | Il pop-up del cookie è stato confermato (informazione “Sì/No”) |
| ab6729cc92027fd165442 | Identificatore univoco per un utente |
| 2021-12-07 12:51:22 | Tempo, circa l'ultima visita al sito web |
| UA-4711-4712 | Conto Google Analytics del gestore del sito web |
| 7777-8888-9999-aaaa-2222 | ID Google dell'utente che è registrato con un account Google |
| 8.56829,50.22335 | Luogo dell'utente |
I valori stampati in grassetto sono direttamente correlabili a persona. Se quindi un valore memorizzato in un cookie è correlabile a persona, allora logicamente anche il cookie come contenitore di dati è correlabile a persona. In effetti, la formazione del valore del cookie viene trasmessa e letta ogni volta che si esegue l'accesso ai dati con la corrispondente dominio.
Un cookie con un valore personalizzato è personalizzato e quindi da considerarsi di per sé come informazione personalizzata.
La mia conclusione sui cookie.
Il fatto che i cookie vengano effettivamente letti è in sé relativamente irrilevante per rispondere alla domanda se si verifichi una trattamento dei dati, se si considerano le tre tipologie di cookie menzionate sopra. Una raccolta di dati avviene già quando (oggettivamente) si conosce i dati, se questa raccolta è avvenuta in seguito a un'offerta. Un'offerta è sempre presente su una pagina web. La [7] trattamento dei dati impliciti [8] avviene sempre per i cookie di terze parti. Lo stesso vale per i cookie di prima parte della pagina web visitata, che vengono trasferiti durante il [9] richiamo delle risorse. Il riferimento alla persona si verifica già solo a causa del canale di comunicazione, oltre ad altri motivi.
È assolutamente chiaro per i cookie come quelli di Google Analytics. I valori di questi vengono esplicitamente letti da una logica JavaScript, per poi essere inviati a un server Google che, come si può vedere è sempre in USA.
Ecco la traduzione: E adesso alla domanda, cosa succede con i cookie che non hanno valori associati a una persona specifica. Sono quindi i cookie come contenitori di dati salvati su un dispositivo di una persona personale?
Inizialmente è tecnologicamente provato che i cookie presentano un riferimento a persona. In effetti vengono gestiti nel dispositivo di un utente, quindi una persona.
Poiché i cookies specifici vengono sempre associati a una persona attraverso il suo dispositivo, sono della mia opinione che siano anche sempre personalizzati. Secondo la mia opinione, questo spirito è stato preso in considerazione dalla direttiva ePrivacy, che è stata infine implementata esplicitamente in Germania dal 5 § 25 TTDSG a partire da dicembre 2021. Ciò vale secondo la mia opinione anche se la direttiva ePrivacy pone l'attenzione sul proteggere le apparecchiature terminali. ([1])
Analogamente si comportano anche i "Dati di traffico" (metadati), che con una probabilità superiore al 90% possono essere ricondotti a una persona. Vedi le referenze alla fine del contributo.
I dati di traffico sono qui intesi in senso tecnico. Ci sarà anche una portata giuridica del concetto che non affronterò qui!
Con i dati di traffico intendo qui il firma digitale di un utente, che utilizza un browser. Ciò comprende la risoluzione dello schermo, la versione del sistema operativo, la zona oraria e altre informazioni, anche l'indirizzo IP. Con l'indirizzo IP la probabilità è ancora molto più alta per poter dedurre un individuo. Anche senza questa indirizzo di rete riesce la correlazione dei dati di traffico a una persona con una probabilità di oltre il 90%.
Non a caso il Tribunale di giustizia dell'Unione europea nel sentenza sulle IP-Adressi aveva stabilito che anche le indirizzi IP dinamici sono considerati dati personali. Gli indirizzi dinamici possono cambiare quotidianamente o ancora più spesso (per esempio il Reconnect, cioè il riavvio della connessione).
Se vengono letti i cookie, al momento della lettura è inevitabile che sia presente l'indirizzo IP dell'utente. Di conseguenza, i cookie, anche se da soli non sono personalizzati (il che però, secondo le mie descrizioni e la mia opinione, è il caso), sono sempre collegati al dato personale dell'indirizzo di rete. Anche se l'indirizzo di rete è stato anonimizzato, è stato comunque registrato. Ecco il motivo per cui, secondo art. 12 GDPR , ogni sito web deve contenere avvisi sulla protezione dei dati (a patto che il sito non sia vuoto, ovvero rappresenti un'offerta). L'anonymizzazione come processo di elaborazione dovrebbe essere possibile, ma è difficile da giustificare, come si potrebbe pensare spontaneamente. ([1])
I cookie e l'indirizzo di rete personalizzato di una persona sono sempre accessibili insieme per decisione giurisdizionale suprema. Per questo motivo i cookie appaiono personalizzati.
Conseguenza logica da una condizione tecnica
Conclusione
Dopo tutto ciò, arrivo alla seguente conclusione: i cookie, per la loro funzione di archiviazione dei dati, sono sempre presenti nel dispositivo di una persona e quindi rappresentano dati personali, in quanto l'accesso ai cookie può avvenire solo in combinazione con l'indirizzo di rete personale.
| Fatto | Argomento per la personalizzazione |
|---|---|
| Valore cookie personalizzato | Riferimento alle persone del valore del cookie |
| Posizione di archiviazione per tutti i cookie | L'apparecchio del utente può essere associato a una persona tramite segnale di posizione/GPS, identificatore (ID pubblicitario ecc.), indirizzo di rete etc |
| L'indirizzo di rete è sempre presente con i cookie | L'indirizzo di rete contiene un riferimento a persona |
| Analogia tra cookie e dati di traffico ed indirizzi IP | I dati di traffico sono personalizzabili, gli indirizzi IP sono addirittura personalizzati |
Con i cookie che hanno un riferimento alle persone attraverso la valutazione della loro qualità, a mio avviso non si pone più la questione del riferimento alle persone.
La circostanza che Cookies nel dispositivo di un utente, associato a una persona, vengano lasciati, dimostra inoltre il legame con la persona dei Cookies.
La circostanza che l'indirizzo di rete potenzialmente sempre personale sia sempre accessibile quando viene impostato o letto un cookie, dimostra ulteriormente il collegamento con la persona dei cookies.
La stessa circostanza che la direttiva ePrivacy dichiari i cookie, indipendentemente dal loro valore, come obbligatori per l'assenso (vedere anche sentenza del Tribunale di Giustizia dell'Unione Europea in merito a Planet49), potrebbe essere un indicatore della persona legato ai cookie. Tuttavia, sono stato informato che la direttiva ePrivacy si concentra principalmente sulla protezione del dispositivo finale di un utente. Il dispositivo finale di un utente è ovviamente personale, poiché può essere associato a una persona che lo possiede. La direttiva ePrivacy protegge in particolare la privacy. La privacy è direttamente legata alla persona, penso. Ciò viene anche chiarito in punto 24 della direttiva. In punto 25 si fa riferimento invece all'utilizzo di un dispositivo finale da parte di più utenti.
Anche la conoscenza dei dati di traffico di un utente senza conoscere la sua IP reca con oltre il 90% di probabilità a identificare una persona singola.
Anche la sentenza del Tribunale di Giustizia dell'Unione Europea, secondo cui anche le indirizzi IP dinamici sono dati personali, è un indicatore per il collegamento personale dei cookie. Infatti la sentenza stabilisce che il collegamento personale si verifica già molto presto. In realtà riusciamo a individuare una persona solo in casi eccezionali grazie ad un indirizzo IP. Ciò nonostante, secondo il Tribunale di Giustizia dell'Unione Europea, ciò non conta nulla. Anche la Corte Suprema di Germania ha chiarito recentemente (sentenza del 15.06.2021, Az. VI ZR 576/19), che il concetto di dati personali o collegabili a persona è da intendersi in senso largo. La Corte Suprema di Germania scrive: il concetto dei dati personali “… comprende tutte le tipologie di informazioni, sia oggettive che soggettive in forma di dichiarazione o valutazione, a condizione che si tratti di informazioni relative alla persona in questione. La menzionata condizione è soddisfatta quando l'informazione, per il suo contenuto, scopo o effetti, è collegata ad una determinata persona …”.
I cookie sono dati personali.
La mia conclusione, che vorrei discutere.
Quindi concludo che i cookie debbono sempre essere considerati come dati personali. Naturalmente sono aperto a contraddizioni e pronto a rivedere o correggere la mia opinione, qualora ci siano motivazioni oggettive per farlo.
Tutto ciò era valido prima dell'entrata in vigore del TTDSG: In base a quanto detto, anche le autorità di vigilanza tedesche potrebbero, ai sensi § 15 comma 1 TMG, applicare sanzioni per l'uso non autorizzato dei cookie, e farlo in modo da chiarire la questione giuridicamente nel caso peggiore.
Le autorità tedesche sembrano non essere disposte a farlo su larga scala. C'è forse qualcosa di complesso in questo tema? Molte cose dovrebbero essere finalmente note e chiarite, o addirittura sottoposte a un giudizio se necessario.
Riferimenti al fingerprinting
Fingerprinting è un modo per risalire ai dati di traffico di un sistema di un utente e identificarlo in modo molto preciso, distinguendolo dagli altri utenti. Al Fingerprinting non serve neanche un dato personale reale. La somma dei caratteri noti del sistema di un utente è una buona possibilità per risalire all'individuo. Quindi il (digitale) fingerprint di un utente è un dato personenbeziehbar, cioè personale.
Confronta con ciò le seguenti fonti:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Brevetto Google per il Device Fingerprinting
- Ulteriori brevetti di Google per il device fingerprinting
Messaggi chiave
I cookie possono contenere dati personali e quindi sono soggetti alle regole sulla privacy.
I cookie possono contenere informazioni personali se permettono di identificare una persona.
I cookie sono piccoli pezzi di informazione che i siti web memorizzano sul tuo computer per diverse funzioni, come tenere traccia della tua sessione o personalizzare la tua esperienza.
I cookie, anche quelli senza valori direttamente collegati a una persona, sono comunque informazioni personali perché sono associati al dispositivo di un individuo.
I cookie, perché contengono dati e sono sempre accessibili insieme all'indirizzo IP personale, rappresentano dati personali.
I cookie possono essere collegati a persone perché possono contenere informazioni personali o essere associati a dispositivi che appartengono a persone specifiche.
I cookie e il fingerprinting sono considerati dati personali perché possono essere utilizzati per identificare un individuo.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
