L'analisi web ai tempi della nuova legge sulla protezione dei dati TTDSG

L'articolo 25 del TTDSG riguarda l'accesso alle apparecchiature terminali degli utenti. I cookie sono solo una delle possibilità di accesso. Anche altre tecnologie sono interessate dal TTDSG. Ad esempio, la lettura delle variabili di sistema nel browser dell'utente tramite JavaScript potrebbe essere un accesso di questo tipo.

Il TTDSG stabilisce che il consenso deve essere ottenuto dall'utente se vi è un accesso (cookie o lettura di una variabile di sistema) che non è necessario (nella sezione 25 (2) del TTDSG è un po' più preciso, ma più lungo e incomprensibile per i profani del diritto).

In precedenza, solo i cookie per scopi di marketing e di profilazione degli utenti erano interessati dalla normativa sul consenso prevista dalla legge sui media telematici. Ora il TTDSG rende ancora più difficile il conteggio dei visitatori se questo deve essere effettuato senza consenso.

Tracciamento e conteggio dei visitatori

Il termine "tracciamento" non è definito con precisione. Di solito si riferisce al tracciamento degli utenti attraverso più sessioni e siti web. Uno strumento ben noto che traccia gli utenti in modo così invasivo è Google Analytics. Non solo per questo motivo, ma anche per i cookie utilizzati, Google Analytics richiede il consenso. Dovreste quindi visualizzare un fastidioso pop-up sui cookie ogni volta che qualcuno visita il vostro sito web. Tuttavia, questi pop-up di cookie non sono solo fastidiosi, ma molto spesso conducono a siti web illegali (si veda la mia inchiesta su Cookiegeddon).

Per semplicità, in questo articolo utilizzeremo il termine tracking anche per riferirci al conteggio dei visitatori, che di per sé non è critico. Contare i visitatori significa che un utente deve poter essere distinto dagli altri. Se manca questa distinzione, vengono contate troppe visite o troppo poche. Contare un utente due volte nella categoria visitatore unico se visita due pagine in successione distorce le statistiche. Anche il conteggio di due utenti che visitano lo stesso sito web una sola volta in totale non sembra una scienza esatta.

La questione è quindi come distinguere gli utenti gli uni dagli altri. Il protocollo http, utilizzato per accedere ai siti web, non riconosce alcuno stato. Gli utenti senza stato non possono essere distinti ad hoc. È come se qualcuno non avesse memoria e pensasse di essere qualcun altro ogni volta che passa la stessa persona.

In passato questa memoria era costituita dai cookie. Tuttavia, ora sono soggetti a consenso, anche per il conteggio innocuo dei visitatori. Almeno così può essere inteso il TTDSG. Si parla di "assolutamente necessario". I cookie per il conteggio dei visitatori non sono assolutamente necessari per due motivi. In primo luogo, il conteggio esatto dei visitatori non è già assolutamente necessario (questo può essere contestato, anche se vedo più possibilità a favore della visione rigorosa). In secondo luogo, i cookie non sono necessari per il conteggio dei visitatori. È questo secondo punto che è ora in discussione.

Come si possono differenziare gli utenti gli uni dagli altri?

I cookie non sono un'opzione se si vuole evitare una richiesta di consenso.

Gli utenti possono essere facilmente distinti l'uno dall'altro anche senza cookie. A questo scopo si possono utilizzare i metadati, che vengono trasferiti dal browser dell'utente alla destinazione di un sito web con ogni connessione http.

I tecnici si riferiscono spesso a questi metadati come dati di connessione o dati sul traffico. Tuttavia, gli esperti legali possono utilizzare questi due ultimi termini in un senso diverso. Pertanto, in questa sede ci riferiamo ai metadati in modo più generale.

I metadati che vengono sempre trasferiti dall'utente a un sito web visitato comprendono

• Tipo e versione del browser. Esempio: Mozilla Firefox versione 95.3, sotto-versione 47.11
• Tipo e versione del sistema operativo. Esempio: Microsoft Windows 10, 64 bit
• Lingua preferita. Esempio: tedesco
• Indirizzo di rete (indirizzo IP)
• Impostazione della cache
• Pagina richiesta. Esempio: https://dr-dsgvo.de/
• Tempo di recupero (non viene inviato direttamente, ma è logicamente disponibile quando la richiesta viene ricevuta)

Se questi metadati vengono utilizzati per rendere gli utenti distinguibili l'uno dall'altro senza cookie, si parla di browser fingerprinting.

Il fingerprinting può essere reso ancora più preciso se si determinano informazioni aggiuntive sugli accessi a JavaScript. Queste includono, ad esempio

• Risoluzione dello schermo. Esempio: 1920×1080
• Dimensione della finestra del browser. Esempio: 1788×910
• Esempio: 24 bit
• Fuso orario: Esempio: GMT+1

Questi dati sulle impronte digitali devono essere interrogati esplicitamente, mentre i metadati di cui sopra sono disponibili direttamente (perché sono obbligatori) e quindi non devono essere interrogati. Anche se, a mio parere, la risoluzione dello schermo non è memorizzata nel dispositivo finale dell'utente, l'interpretazione del TTDSG potrebbe contraddirlo. Uno degli argomenti che utilizzo a favore del mio punto di vista è che l'orientamento di uno smartphone, cioè il formato verticale o orizzontale, ovviamente non deve essere memorizzato nel dispositivo finale perché questo orientamento può cambiare costantemente. Inoltre, il formato dell'immagine (verticale o orizzontale) dopo la riaccensione dello smartphone non dipende da come era prima dello spegnimento, ma da come l'utente tiene lo smartphone.

Tecniche come il canvas fingerprinting possono essere utilizzate per ottenere dati aggiuntivi sull'utente, che contribuiscono a renderlo ancora più distinguibile dagli altri. Tuttavia, il canvas fingerprinting è senza dubbio un accesso che richiede il consenso.

Il massimo livello di certezza giuridica si ottiene se non vengono letti i metadati dell'utente.

La sfida consiste nel disporre di una qualità dei dati sufficientemente elevata per poter contare correttamente i visitatori.

Conteggio dei visitatori senza consenso

Trackboxx dimostra che la versione più blanda del tracciamento funziona senza cookie, senza accesso al dispositivo e quindi senza consenso.

I metadati utilizzati da Trackboxx sono solo i dati che sono sempre disponibili ogni volta che si accede a un sito web. Ciò significa che non viene effettuato alcun accesso al browser dell'utente. Se la TTDSG viene interpretata in modo restrittivo, sarebbe necessario il consenso per questo accesso.

Anche Trackboxx non utilizza cookie, nemmeno quelli di sessione (a meno che il cliente non configuri diversamente lo strumento). Se un cookie è valido solo per una sessione, è certamente meno critico di un cookie che dura, ad esempio, un mese (questa è anche chiamata durata funzionale o lifetime). Tuttavia, il TTDSG non fa una distinzione legale tra cookie di sessione e persistenti, ma riconosce solo i cookie o gli accessi necessari e non necessari.

Poiché non avviene alcun accesso ai sensi del TTDSG, l'utilizzo di Trackboxx non è soggetto a consenso dal punto di vista del TTDSG.

GDPR e TTDSG

Ma ora si applica anche il GDPR, anche se entra in gioco solo dopo che il TTDSG (per i cookie e altri accessi) è stato elaborato. GDPR è l'acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati) e in realtà si scrive DS-GVO. Il trattino viene spesso omesso nei testi per i non giuristi.

Il GDPR si applica ai dati personali e ai dati di identificazione personale. I dati sono personali anche se gli utenti possono essere distinti l'uno dall'altro. La Corte di giustizia europea aveva già stabilito nel 2016 che gli indirizzi di rete (indirizzi IP) devono essere considerati dati personali. Il BGH ha confermato questa sentenza nel 2017.

Per questo motivo, l'indirizzo IP dell'utente non può essere memorizzato in questo modo, perlomeno non per poter contare meglio sull'utente. Se l'indirizzo IP venisse memorizzato in chiaro, sarebbe probabilmente necessario ottenere il consenso sulla base dell'art. 6 del GDPR.

Per evitare anche in questo caso il requisito del consenso, Trackboxx non memorizza gli indirizzi IP. Ogni indirizzo IP viene invece pseudonimizzato, nemmeno direttamente, ma combinandolo con altri valori.

A questo scopo viene utilizzata una chiave limitata nel tempo. Questa chiave viene ora applicata alla combinazione di indirizzo IP, versione del browser, versione del sistema operativo e giorno corrente del calendario. Nel database di Trackboxx non è quindi presente alcun indirizzo IP. Solo se un utente visita nuovamente il sito web nello stesso giorno, il suo indirizzo IP potrebbe (teoricamente) essere recuperato dai dati criptati. Tuttavia, ciò non è necessario, in quanto l'indirizzo IP dell'utente è comunque (di nuovo) esplicitamente disponibile in una visita successiva. Il GDPR è quindi conforme e la memorizzazione dei dati pseudonimizzati può essere giustificata sulla base del legittimo interesse. Il legittimo interesse è una delle basi giuridiche previste dal GDPR, oltre al consenso.

A differenza del consenso, il legittimo interesse non richiede un fastidioso pop-up per i cookie. Un altro vantaggio, oltre al fatto che gli utenti non sono più infastiditi da una richiesta di consenso, è la maggiore certezza giuridica. Questo perché i pop-up dei cookie sono soggetti a numerose normative, comprese quelle derivanti dall'art. 7 GDPR e dall'art. 13 GDPR. Ad esempio, quando viene richiesto il consenso, devono essere fornite anche informazioni su dove e come il consenso può essere ritirato. Se si osservano i pop-up dei cookie su vari siti web, si noterà che spesso mancano queste informazioni richieste dalla legge.

Gli indirizzi IP di solito cambiano nel tempo. Questo sembra accadere meno frequentemente con l'accesso a Internet via cavo che con l'ADSL. Tuttavia, gli indirizzi di rete non cambiano esattamente quando un utente accede a un sito web. In questo senso, l'utente può essere riconosciuto entro un giorno con una probabilità molto elevata. Nelle reti aziendali, gli utenti sono meno facilmente distinguibili se viene utilizzato un meccanismo di aggiornamento sincronizzato per i computer dei dipendenti. Questo perché l'aggiornamento garantisce che i browser e i sistemi operativi dei dipendenti dell'azienda appaiano uguali al mondo esterno. Tuttavia, l'esperienza pratica dimostra che l'offuscamento che le reti aziendali comportano non è significativo.

Conclusione

La registrazione dei visitatori e l'ottimizzazione dei contenuti funzionano completamente senza cookie e senza pop-up di cookie fastidiosi e soggetti a errori. Strumenti come Trackboxx offrono una soluzione che rispetta i requisiti del TTDSG e del GDPR.

La qualità dei dati è talmente buona che non è necessario temere alcun compromesso rispetto al conteggio dei visitatori basato sui cookie. Dopo tutto, tutte le soluzioni basate sui cookie hanno un altro punto debole, oltre all'incertezza legale. Come è noto, chiunque può semplicemente cancellare i cookie dal proprio browser. Esistono persino strumenti per farlo, come CCCleaner o programmi antivirus. Un cookie cancellato priva i tracker ostili alla privacy della loro memoria. Non funzionano meglio di Trackboxx, ma richiedono comunque il consenso. I tracker basati sui cookie non sono migliori nemmeno quando si tratta di reti aziendali. Nelle grandi aziende, infatti, i cookie vengono regolarmente cancellati automaticamente dai computer dei dipendenti per motivi di sicurezza.