290 likes | 450 Views
OBA & Cookie. Giangiacomo Olivi – DLA Piper Italy Digital Frontrunners: chi vincerà ? Milano, 26 febbraio 2013. OBA?. 2. Cookies?. Cookies, web beacons, clear GIF… Autentificazioni informatiche, monitoraggio sessioni, memorizzazioni di informazioni Fist Party e Third Party Cookies.
E N D
OBA & Cookie Giangiacomo Olivi – DLA Piper Italy Digital Frontrunners: chi vincerà ? Milano, 26 febbraio 2013
OBA? Digital Frontrunners: chi vincerà? – Giangiacomo Olivi 2
Cookies? • Cookies, web beacons, clear GIF… • Autentificazioni informatiche, monitoraggio sessioni, memorizzazioni di informazioni • Fist Party e Third Party Cookies Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Il dilemma del consenso: Opt-out o Opt-in? "Article 5.3 was changed when the e-Privacy Directive was amended in 2009. The changes in the amended version clarify and reinforce the need for users' informed prior consent. This is done in two ways: first, by changing the words "right to refuse" by the need to obtain "consent", as referred to in Directive 95/46/EC and by using the verb in past tense "has been provided". (Art. 29 Working Party - Parere 2/2010 sulla pubblicità comportamentale online) "A cookie that is used to build a profile of what you are doing online is less OK: it might mean that your web surfing over time (searches, web pages visited, the content viewed, etc.) is tracked, for example in order to match ads against your interests as determined from the profile. The use of such cookies requires your consent. Applying this in practice is not easy." (Dal blog ufficiale "Blog of Neelie KROES", Vice-Presidente della Commissione Europea responsabile dell'Agenda Digitale) "The European Union’s e-Privacy Directive (2009/136/EC) does not require websites to obtain prior consent for cookies to be placed on users’ terminals. […] the Parliament eventually adopted Recital 66 that was intended to clarify that use of browser settings could be considered an indication of consent […] it was therefore my particular concern as rapporteur that the new article 5.3 and recital 66 must be read together to understand my intention. […] had the Parliament intended [for example] the placing of all cookies on a user’s terminal to require ‘‘prior’’ and/or ‘‘explicit’’ consent, it would have adopted such language, consistent with the other occurrences of such terms elsewhere in the text and it would not have adopted the language of Recital 66 as it currently appears in the Directive." (Alexander Alvaro, Deputato del Parlamento Europeo, relatore Direttiva 2009/136/EC) Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Direttive UE e Cookies… • Articolo 5.3 della Direttiva 2002/58/CE (vecchio testo e-Privacy) "Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentitounicamente a condizione che l'abbonato o l'utenteinteressato sia stato informatoin modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutaretale trattamento da parte del responsabile del trattamento. Ciò non impedisce l'eventuale memorizzazione tecnica o l'accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente." • Articolo 5.3 della Direttiva 2002/58/CE (come modificata dalla Direttiva 2009/136/CE) "Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informatoin modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio". • Premessa 66 della Direttiva 2009/136/CE "Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e diofferta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE." Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Il dilemma del consenso: impostazioni del browser? "Browser settings may only deliver consent in very limited circumstances. Notably, if browsers are set up by default to reject all cookies (having the browser set to such an option) and the user has changed the settings to affirmatively accept cookies, for which he has been fully informed about the name of the data controller, the processing, its goals and the data that are collected. Therefore, the browser must either alone or in combination with other means effectively convey clear, comprehensive and fully visible information about the processing. […] The Working Party 29 calls upon browser makers to take urgent action and coordinate with ad network providers." (Art. 29 Working Party - Parere 2/2010 sulla pubblicità comportamentale online) "As most current browsers accept cookies by default and most current users lack the skills to change browser settings, this recital refers to a scenario that is presently too often not realistic. However, this could of course change in the future." (Peter Hustinx, Supervisore Europeo per la Protezione dei Dati – Conferenza pubblica, Università di Edimburgo, School of Law Edinburgh, 7 Luglio 2011) "In the online environment – given the opacity of privacy policies – it is often more difficult for individuals to be aware of their rights and give informed consent. This is even more complicated by the fact that, in some cases, it is not even clear what would constitute freely given, specific and informed consent to data processing, such as in the case of behavioral advertising, where internet browser settings are considered by some, but not by others, to deliver the user's consent." (Comunicazione alla Commissione Europea in data 4 Novembre 2010) "We need a user-friendly solution, possibly based on browser (or another application) settings. Obviously we want to avoid solutions which would have a negative impact on the user experience. On that basis it would be prudent to avoid options such as recurring pop-up windows.” (Neelie Kroes, Vice-Presidente della Commissione Europea responsabile dell'Agenzia Digitale – Discorso/10/452 del 17 Settembre 2010) Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Difficile traduzione… Traduzione dell'Articolo 5.3 della Direttiva 2002/58/CE Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Assimmetria normativa (aggiornato al Luglio 2012) Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
UK: Consenso Implicito • Nel Maggio 2012, la guida sui cookies dell'ICO (Information Commissioner's Office) ha fornito le indicazioni circa i provvedimenti da adottare: • • "il consenso implicito è una valida forma di consenso; • • "gli utenti devono essere debitamente informati che dalle loro azioni conseguirà l'installazione di cookies; • • le aziende non devono semplicemente presupporre che gli utenti abbiano preso visione di una "privacy policy" che è forse difficile da trovare o da comprendere; • • in alcune circostanze, per esempio nel caso in cui le aziende raccolgano dati sensibili quali informazioni sulla salute, il consenso esplicito sarebbe più appropriato". Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
UK: Consenso Implicito Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
UK: Conformità con la normativa europea? "Opt-out mechanisms do not in principle deliver data subjects' consent. Only in very specific, individual cases, could implied consent be argued. This could be the case when an experimented user, who is aware of the practice of behavioral advertising, knows that he/she can opt out from it, but chooses to exercise a volitional act of not opting-out (particularly if this is done before any cookie has been sent to the user). However, this mechanism is not an adequate mechanism to obtain average users informed consent. The reasons are similar to those indicated above in the context of browser setting, namely: • First, in general users lack the basic understanding of the collection of any data, its uses, how the technology works and more importantly how and where to opt-out; • Second, consent means active participation of the data subject prior to the collection and processing of data […] under opt-out mechanism there is no active participation; simply the will of the data subject is assumed or implied. This does not meet the requirements for legally effective consent." (Art. 29 Working Party - Parere 2/2010 sulla pubblicità comportamentale online) Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
UK: Industry Reaction • Dalle ricerche TRUSTe risulta che il 63% dei siti più visitati in UK si è impegnato ad attuare la normativa sui cookies. Di questi il 51% ha adottato una notifica privacy "minima" con controllo "limitato" dei cookie, mentre il 12% ha introdotto "corpose" notifiche con controlli "forti". Solo il 37% degli intervistati non ha adottato alcun provvedimento. • QuBit, società di consulenza privacy londinese, ha stimato che la normativa sui cookies potrebbe "costare" all'economia britannica £10bn. • Secondo il PC Pro magazine, 320 siti sono stati segnalati al comitato di controllo della privacy attraverso gli strumenti online, in quanto il "periodo di grazia" annuale è terminato il 26 Maggio 2012. Ciononostante nessuno di questi siti sembrerebbe essere stato oggetto di indagine. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
UK: Industry Reaction • Silktide, azienda produttrice di software, ha contestatoil provvedimento dell'ILO in merito al sanzionamento dei propri cookies. • Silktide ha creato www.nocookielaw.com al fine mettere in evidenza le regole "inefficaci" per il blocco dei siti che utilizzano "tracking" cookies. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Francia: Laizzez Faire? • Il governo francese ha recepito la direttiva con un decreto legislativo pubblicato il 24 Agosto 2011 ("Ordonnance n. 2011-1012 du 24 août 2011 relative aux communications électroniques"), che ha modificato l'articolo 32 II della Legge sulla Privacy francese del 6 Gennaio 1978. • Il 26 Ottobre 2011 l'Autorità francese (CNIL) ha emanato delle linee guida per l'attuazione della nuova legge (revisionata il 26 Aprile 2012), indicando che: • i browsers attuali non offrono impostazioni che consentano di conformarsi adeguatamente ai requisiti di legge; • l'interessato deve essere informato circa lo scopo dei cookies (ad esempio pubblicità) e successivamente dare il proprio consenso alla memorizzazione del cookie nel proprio computer: Esempio: • Applicazione? Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Spagna: nuovo approccio? • Alternativa dell' "Europa del Sud"? • No consenso implicito ma "Opt-in creativo" (richiesta un'azione dell'interessato, ma "no click based opt-in") • Soluzioni pratiche? Provvedimento dell'Autoritàspagnola (aprile / marzo 2013)? Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Italia: un nuovo Opt-in? • Garante Privacy: "La direttiva e-Privacy è stata modificata nel 2009 da un'altra direttiva che ha introdotto il principio dell'opt-in in tutti i casi in cui si accede o si registrano informazioni" ("giàin precedenzavigeva la regoladell'opt-in ma soltanto per i cookie tecnici. Ognialtroaccesso era vietato. Regolamentazionedemandata ad un codice di deontologia"). • Eccezione: "al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio". • L'Italia ha recepito la Direttiva 2009/136/CE con ilDecretoLegislativo n. 69 del 28 Maggio 2012 (emendandoilDecretoLegislativo n. 196 del 30 Giugno 2006 ("Codicedella Privacy"). • Le nuoveprevisioniriflettono la Premessa 66 dellaDirettivaCookie e l'articolo 5(3) dellaDirettiva E-Privacy (così come modificatadallaDirettivaCookie) e sollevano le stesseproblematiche interpretative, soprattutto in merito al consenso. • L'unicadifferenzasignificativaconsistenellapossibilità del Garante Privacy di determinare con proprioprovvedimento le modalitàsemplificate per fornirel'informativaagliutenti. • Art. 122 comma 1: Ai fini della determinazione delle modalità semplificate per l'informativa di cui all'art. 13, comma 3, "tiene conto anche delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte" Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Consultazione Pubblica • 22/11/2012 – Consultazione Pubblica (G.U. 19/12/12). • "Idonee modalità per informare gli utenti con messaggi che siano al tempo stesso chiari e snelli. (..) l'informativa deve indicare chiaramente quali sono le finalità perseguite mediante il ricorso ai cookies"; • "A titolo esemplificativo, la finalità consistente nel creare profili degli utenti al fine di inviare loro messaggi pubblicitari mirati, non potrà essere indicata nell'informativa con il riferimento alla mera finalità pubblicitaria dell'uso dei cookie, ma occorrerà specificare che gli stessi consentiranno al gestore del sito di realizzare appunto una profilazione finalizzata alla successiva attività di direct marketing"; • "Ai fine dell'espressione del consenso dell'utente all'uso dei cookie, possono essere utilizzate 'specifiche configurazioni di programmi informativi o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente' "; • "Nel caso in cui un sito consenta la trasmissione anche di cookie di "terze parti", l'informativa e l'acquisizione del consenso sono di norma a carico del terzo. E' necessario che l'utente venga adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui accede al sito che consente la memorizzazione dei cookie terze parti, ovvero quando accede ai contenuti forniti dalle terze parti"; • "Non è escluso che, anche sulla base di accordi con i siti terze parti, l'informativa fornita agli utenti del sito 'prima parte' contenga anche le informazioni sui cookie trasmessi automaticamente dalle terze parti" / [acquisizione del] consenso dalla 'prima parte' "; • Disciplina rapporti titolare / responsabile. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
La Proposta IAB/EASA – Come funziona L'iniziativa di autoregolamentazione IAB/EASA è nata nell'Aprile 2012 al fine di introdurre degli standards europei per accrescere la trasparenza e il controllo dell'utente nella pubblicità comportamentale online. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
La proposta IAB/EASA – Rispetta la normativa comunitaria? "Adherence to the EASA/IAB Code on online behavioral advertising and participation in the website www.youronlinechoices.eu does not result in compliance with the current e-Privacy Directive. Moreover, the Code and the website create the wrong presumption that it is possible to choose not be tracked while surfing the Web. This wrong presumption can be damaging to users but also to the industry if they believe that by applying the Code they meet the requirements of the Directive." (Art. 29 Working Party, Parere 16/2011 relativo alla raccomandazione dell'EASA/IAB sulle buone prassi in materia di pubblicità comportamentale online, Dicembre 2011) "Self-regulation has also been developed more actively. This applies to initiatives by NAI in the US and by EASA and IAB Europe on this side of the ocean. However, typically these initiatives are designed to facilitate an opt-out model, and thus fit better with the previous model than with the current one. In a speech delivered in September 2010, the Commission's Vice-President Neelie Kroes, responsible for the EU Digital Agenda, has encouraged the advertising community to develop a self-regulatory framework in compliance with the e-Privacy Directive. In a speech delivered on 22 June 2011, she welcomed the recent adoption of a Best Practice Recommendation and Framework on behavioral advertising by EASA and IAB Europe. However, these associations have in fact failed to implement the new consent requirement. At the same time, she expressed support for a US driven ‘do-not-track’ initiative that – although valuable – also seems to fall short of the e-Privacy Directive requirements. Unfortunately, this also raises doubts on the position of the European Commission on this subject. […]. The Commission should avoid any ambiguity as to its determination in making sure that these rights are delivered in the European Union." (Peter Hustinx, Supervisore Europeo sulla Protezione dei Dati personali - Conferenza, Università di Edimburgo, School of Law Edinburgh, 7 Luglio 2011) Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
USA: Do Not Track • Le attuali norme in materia di identificazione del consumatore online consistono in principi di autoregolamentazione e raccomandazioni. • Il Congresso ha proposto regole in materia di identificazione del consumatore online, ma nessuna di questi è divenuta "Legge". • La FTC (Federal Trade Commission) ha affrontato il tema della pubblicità comportamentale e dell'identificazione del consumatore esclusivamente con raccomandazioni. • Nel 2010, l'FTC ha suggerito l'adozione di un sistema "do-not-track", un meccanismo di opt-out semplice e di facile comprensione. • Nel Febbraio 2011 il congresso ha iniziato le consultazioni in merito al "Do Not Track Me Online Act of 2011", cherichiede agli advertisers di consentire agli utenti di poter scegliere efficacemente e semplicemente di non essere identificati o registrati con finipubblicitari. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Do-not-track anche per l'Europa? “DNT is the most practical method of providing uniform choice for online behavioral advertising would likely involve placing a setting similar to a persistent cookie on a consumer’s browser and conveying that setting to sites that the browser visits, to signal whether or not the consumer wants to be tracked or receive targeted advertisements. To be effective, there must be an enforceable requirement that sites honor those choices” (FTC, "Protecting consumer privacy in an era of rapid change", Dicembre 2010) "The Article 29 WP welcomes recent initiatives by browser providers to develop privacy solutions such as Do Not Track, which could pave the way for compliant consent mechanisms based on browser settings, on the condition that such mechanisms truly enable users to express their consent on a case by case basis, without being tracked by default." (Art. 29 Working Party, Parere 16/2011 relativo alla raccomandazione dell'EASA/IAB sulle buone prassi in materia di pubblicità comportamentale online, Dicembre 2011) "The Working Party has been actively participating since December 22, 2011 in the work of the World Wide Web Consortium (W3C) to standardize the technology and the meaning of Do Not Track. […] In order for the Do Not Track standard to bring compliance to companies serving cookies to European citizens, Do Not Track must effectively mean “Do Not Collect” without exceptions. Therefore where a user has expressed the preference to not be tracked (DNT=1) no identifier, for the purpose of tracking, must be set or otherwise processed." (Art. 29 Working Party, Parere 04/2012 sulle Eccezioni al Consenso nei Cookie Consent Exemption, Giugno 2012) "I am convinced that DNT can become a very successful standard. […] So I look forward to news about a rich and sound DNT standard that really makes it easy to comply with privacy laws" (Neelie Kroes, Vice-Presidente della Commissione Europea responsabile dell'Agenda Digitale – Discorso/10/452 del 17 settembre 2010) Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Alcune conclusioni • La normativa comunitaria sui cookies sembra inidonea ad affrontare le problematiche in materia di privacy senza compromettere le funzionalità e i benefici di Internet. • Non vi è accordo sull'interpretazione e applicazione delle normative privacy. Vi è incertezza giuridica con inevitabili ricadute sull'industria pubblicitaria. • L'approccio comunitario alla tutela della privacy online evidenzia la difficoltà nel regolare pratiche identificative dei comportamenti degli utenti sul Web. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
I Paradossi della Tutela basata sul Consenso Le severe normefondatesulibertàe diritto di autodeterminazionedell'individuopossonoripercuotersinegativamentesuglistessi diritti che si voglionosalvaguardare? Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Primo paradosso: Identificazione • Disparità. Diversi (i più forti) operatori internet, a causa della diminuzione delle entrate pubblicitarie, autorizzeranno l'accesso ai loro siti esclusivamente agli utenti registrati e, mediante appositi strumenti contrattuali, consentiranno l'accesso a condizione dell'accettazione dei cookies e a fronte di un più invasivo "behavioral advertising". E gli editori più deboli? • Tutti registrati! La registrazione degli utenti porterà a una piena identificazione dell'utente stesso e, conseguentemente, alla possibilità di creare profili altamente dettagliati (gli operatori non si baserebbero su dati probabilistici, ma su informazioni oggettive su persone reali). • Modelli di pagamento. Altri operatori decideranno al contrario di modificare completamente il proprio modello di business: chiederanno agli utenti il pagamento di servizi già offerti a titolo gratuito, compensando (ove possibile) le norme pubblicitarie. • Il risultato potrebbe essere la sostituzione dell'offerta di servizi gratuiti con un profilo generico con l'offerta degli stessi servizi a titolo oneroso e con un profilo più dettagliato. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Secondo paradosso: Incentivazione Avversa • L'introduzione di un sistema di opt-in potrebbe compromettere il modello di business che è stato alla base del successo di internet. Favorirebbe operatori stabiliti al di fuori della UE meno rigorosi in materia di tutela della privacy. • Anche se le normative comunitarie sono applicabili agli operatori extracomunitari, l'esperienza ha dimostrato che le possibilità di agire nei confronti di tali operatori è limitata. • L'assimmetria normativa esistente tra UE e gli altri Stati, potrebbe portare ad una importante migrazione dell'industria pubblicitaria europea al di fuori della UE. • Il risultato potrebbe essere quello di un incremento nel trasferimento dei dati personali di cittadini comunitari a paesi che non offrono un sistema adeguato di protezione dei dati e, allo stesso tempo, un serio danno alla e-economy, che nella crisi economica attuale ha dimostrato un trend positivo. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Terzo paradosso: Libertà inconsapevole (1) • Entrambi i sistemi di opt-in e opt-out, lasciano l'utente libero di scegliere se, e in che misura, acconsentire all'installazione di cookies nei loro computer, e al conseguente trattamento dei loro dati personali. Una valutazione più attenta mostra come si tratti di una falsa libertà. • La legislazione EU regola gli spyware (e altri software dannosi) e i cookies (utili per il behavioural advertising o valutativi delle performance dei trading sites – i cosiddetti cookies analitici) esattamente nello stesso modo. Il consenso è sufficiente ad installare qualsiasi cosa. • Qualsiasi sistema di protezione basato sul consenso potrebbe pertanto essere molto rischioso – non vi è limite a quello che gli utenti possono ritenere legittimo fornendo il proprio consenso. • L'utente "medio", generalmente, non legge le "privacy policies" presenti sui siti (e, se lo fa, è improbabile che ne abbia comprenso a pieno il senso). Vi è inoltre la diffusa abitudine di accettare passivamente qualsiasi documento al fine di fruire del contenuto desiderato il più in fretta possibile. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Terzo paradosso: Libertà inconsapevole (2) Lasciare agli utenti la facoltà di definire il limite di ciò che è socialmente accettabile, in assenza di un livello di consapevolezza adeguato, può produrre risultati tutt'altro che desiderabili in termini di tutela della privacy. Ti sentirestirassicurato se venissesemprechiestoiltuoconsenso per inserireciascuningrediente in un prodotto? Digital Frontrunners: chi vincerà? – Giangiacomo Olivi
Un'idea • I legislatori europei dovrebbero assumersi la responsabilità e stabilire se e quanto gli advertising cookies possono essere utilizzati al fine di creare profili degli utenti. E' una questione di evitare, a monte, i rischi alla privacy dell'interessato, ma anche permettere, all'industria pubblicitaria di sopravvivere e di continuare con la propria importante funzione di supporto degli editori online e della e-economy. • La normativa comunitaria dovrebbe introdurre la categoria degli "advertising tracking tool" (ATT) e stabilire qual'è il massimo livello consentito per la profilazione, specificando il periodo massimo di conservazione dei dati, indicando il tipo di informazioni che possono essere raccolte, proibendo il trattamento dei dati meritevoli di essere salvaguardati, imponendo l'adozione di specifiche misure di sicurezza e, se necessario, di tecniche di amministrazionegià presenti sul mercato. • Alle aziende dovrebbe, inoltre, essere richiesto di garantire un diritto di opt-out al fine di proteggere gli utentiche ritengono che tale trattamento sia una violazione della propria privacy. I tracking tool non conformi utilizzati per fini pubblicitari dovrebbero richiedere un sistema di previo opt-in per il consumatore. Qualsiasi altro tracking tool (non utilizzato per finipubblicitari) dovrebbeessereproibito, a menoche non sianecessariofornire un servizio a seguito di un contrattonel quale l'utente è parte. Digital Frontrunners: chi vincerà? – Giangiacomo Olivi