Fingerprinting: cos’è, come funziona e normativa

Il termine Fingerprinting, dall’inglese “fingerprint”, vuol dire letteralmente impronta digitale.
Ciascun individuo possiede una combinazione unica e irripetibile di linee e solchi che costituiscono le impronte digitali, allo stesso modo, ciascun utente del web è identificabile attraverso l’insieme delle informazioni raccolte da un dispositivo digitale (telefono, pc, tablet) ogni volta che viene usato (il cd. “digital fingerprint”, traducibile in “impronta virtuale”).
Si stima che la raccolta di queste informazioni sia tale da poter escludere che al mondo ci siano due client identici.
Si tratta di una tecnica che permette l’identificazione dell’utente anche quando i cookie sono disattivati.
Pertanto, l’uso diffuso e indiscriminato per il monitoraggio delle attività online degli utenti solleva indubbi problemi di natura giuridica, contrastando con le indicazioni del Regolamento Europeo sulla privacy (GDPR), che impone di informare in modo chiaro e puntuale gli interessati sui trattamenti cui sono sottoposti.
Dal punto di vista giuridico rilevano, inoltre, le Linee guida del Garante sull’utilizzo dei cookie e altri strumenti di tracciamento del 10 giugno 2021, che individuano la normativa applicabile alle operazioni di lettura e di scrittura all’interno del terminale di un utente, con specifico riferimento all’utilizzo di cookie e di altri strumenti di tracciamento, nonché specificano le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli interessati, ove necessario, alla luce del Regolamento (UE) 2016/679.

Fingerprinting e cookie policy – differenze

Le Linee Guida del Garante sull’utilizzo dei cookie, disciplinano il fingerprinting come strumento «passivo» di tracciamento, caratteristica che non permette all’utente né di disattivarlo autonomamente, né di avere libero accesso al profilo creato tramite le informazioni raccolte, talvolta non essendo nemmeno a conoscenza della sua esistenza.
Infatti, al contrario dei cookie, piccoli file di testo che si installano direttamente sul dispositivo dell’utente, il fingerprinting agisce sulle funzionalità del browser o di app presenti sul device inviando i dati ad un server remoto.
Occorre evidenziare, quindi, una non trascurabile differenza tra l’impiego di una tecnica “attiva”, quale quella relativa ai cookie, ed una che viene definita “passiva”, come quella relativa al fingerprinting.
Nel primo caso, infatti, l’utente che non intenda essere profilato, oltre a poter rifiutare il proprio consenso, o a ricorrere alle tutele di carattere giuridico connesse all’esercizio dei diritti di cui al Regolamento Europeo, ha anche la possibilità di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo.
Diversamente, con riguardo al fingerprinting ed agli altri identificatori “passivi”, l’utente non dispone di strumenti autonomamente azionabili, dovendo necessariamente far ricorso all’azione del titolare.
Con il fingerprinting, infatti, il tracciamento è “invisibile”.
Ciò in quanto quest’ultimo fa uso di una tecnica di lettura che non presuppone l’archiviazione di informazioni all’interno del dispositivo dell’utente, bensì la mera osservazione delle configurazioni che lo contraddistinguono rendendolo identificabile, ed il cui esito si sostanzia in un “profilo” che resta nella sola disponibilità del Titolare.

Cosa si intende per DNA fingerprinting

È doveroso osservare che non sempre la tecnica del fingerprinting ha un’accezione negativa. Tale tecnica, infatti, può essere utilizzata anche per individuare potenziali frodi, come nel caso delle banche che la impiegano per identificare comportamenti sospetti.
Una precisazione ulteriore merita il DNA fingerprinting (o impronta digitale del DNA), metodo che permette l’identificazione di un individuo a livello molecolare, analizzando le caratteristiche uniche del DNA.
Il termine DNA fingerprinting fu usato per la prima volta nel 1984 da Alec Jeffreys, in analogia con le tradizionali impronte digitali, basate sul disegno di creste sui polpastrelli delle dita, usate per l’identificazione umana.
A differenza del fingerprinting che analizza un tratto fenotipico, la tipizzazione del DNA analizza direttamente informazione genotipica. La tecnica si basa sulla presenza nel DNA umano di sequenze altamente variabili che fanno sì che non esistano due individui (esclusi i gemelli identici) con la stessa identica sequenza.
Per poter effettuare il fingerprinting del DNA è necessario un campione di tessuto dal quale possa essere estratto il DNA. Infatti, con l’ausilio di una tecnica che amplifica il DNA, la Polymerase Chain Reaction (PCR), è possibile ottenere il DNA fingerprinting di un individuo combinando le informazioni che derivano dall’analisi di due tipi di sequenze altamente variabili presenti nel genoma umano, le VNTR (Variable Number Tandem Repeats) e le STR (Short Tandem Repeats).
Per il vero, sono diverse le applicazioni pratiche del DNA fingerprinting: oltre che per l’analisi di malattie genetiche o nei trapianti d’organo, per stabilire la compatibilità tra i soggetti coinvolti, può essere utilizzato in campo forense, per l’identificazione di individui responsabili di crimini, per l’analisi di paternità o di resti biologici (per esempio per l’identificazione di vittime di disastri).

Come funziona il fingerprinting

Come detto, il fingerprinting agisce sulle funzionalità del browser o delle app presenti nei dispositivi, inviando i dati ad un server remoto.
Si utilizza tale tecnica per identificare un dispositivo o un utente, basandosi sulle caratteristiche uniche del loro ambiente di navigazione, tra cui versione del browser, sistema operativo, risoluzione dello schermo, lingue abilitate, plugin installati, font disponibili e altre caratteristiche tecniche del dispositivo client, ed osservando i seguenti step:

• Raccolta di informazioni: Quando un utente visita un sito web o utilizza un’app, il browser o l’applicazione raccoglie una vasta gamma di informazioni sul dispositivo e sul suo ambiente. Queste informazioni possono includere l’indirizzo IP, il tipo di browser, la versione del sistema operativo, le caratteristiche hardware (come memoria, scheda grafica), la lingua del browser, la risoluzione dello schermo, il fuso orario e altri dettagli tecnici.
• Creazione dell’impronta digitale: Le informazioni raccolte vengono quindi elaborate e combinate in un insieme unico di caratteristiche, creando così un profilo specifico per quel dispositivo. Questo profilo costituisce l’”impronta digitale” o fingerprint.
• Invio delle informazioni: L’”impronta digitale” viene inviata al server del sito web o dell’applicazione, che può utilizzare questa informazione per identificare e tracciare il dispositivo nel tempo.
• Persistenza nel tempo: Poiché molte delle caratteristiche considerate nel processo di fingerprinting tendono a rimanere relativamente costanti nel tempo (ad esempio, risoluzione dello schermo o versione del sistema operativo), l’impronta digitale può essere utilizzata per identificare in modo univoco un dispositivo anche attraverso sessioni diverse e nel corso del tempo.

La normativa sul fingerprinting

Approfondendo quanto anticipato in apertura, il quadro giuridico di riferimento del tema in esame, oggi è costituito tanto dalle disposizioni della direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’art. 122 del d.lgs. 30 giugno 2003, n. 196 (“Codice”), quanto dal Regolamento Europeo, per ciò che concerne la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679, adottate il 4 maggio 2020.
Ebbene, gli strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale (di sessione o permanenti), o soggettivo (a seconda che il publisher agisca autonomamente o per conto della “terza parte”). Tuttavia, la classificazione che risponde alla ratio della legge e, dunque, alle esigenze di tutela della persona, è quella che si basa sulla finalità per la quale vengono utilizzati: di natura “tecnica” o di natura “non tecnica”, dovendosi intendere quest’ultima in senso ampio, dal momento che l’attuale disciplina di legge, tesa alla tutela della confidenzialità delle comunicazioni elettroniche oltre che delle informazioni di carattere personale, proibisce il trattamento dei dati degli interessati, salvo eccezioni rigorosamente codificate, insuscettibili di estensione analogica.
Conseguentemente, per l’utilizzo di cookie e di altri identificatori tecnici, il Titolare del trattamento sarà assoggettato solo all’obbligo di fornire specifica informativa, anche inserita all’interno di quella di carattere generale. Invece, i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche, come per l’ipotesi in commento del fingerprinting, potranno essere utilizzati esclusivamente previa acquisizione del consenso informato del contraente o utente, secondo quanto previsto dall’art. 122 del Codice ed in osservanza dei principi di privacy by design e by default.

Link utili:

• Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021… – Garante Privacy
• Direttiva – 2002/58 – EN – EUR-Lex (europa.eu)
• DECRETO LEGISLATIVO 30 giugno 2003, n. 196 – Normattiva
• REGOLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO – del 27 aprile 2016 – relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/ 46/ CE (regolamento generale sulla protezione dei dati) (europa.eu)