Cookies, le Linee Guida del Garante della privacy spagnolo

Dato che Internet riveste, com’è noto, un ruolo fondamentale all’interno della nostra società al punto da contribuire per il 3,8% al PIL dell’Unione Europea^[1], e considerato che, in base a un recente sondaggio effettuato dalla società IHS Markit, la pubblicità digitale^[2] contribuisce con 526 miliardi di euro al PIL euro comunitario, si ritiene opportuno occuparsi – in attesa della pubblicazione della versione definitiva delle “Linee Guida sull’utilizzo dei cookies e di altri strumenti di tracciamento” a opera del Garante Privacy italiano^[3] – di uno dei principali metodi per effettuare, con successo, pubblicità su Internet (ossia, i cookies), dal punto di vista, tuttavia, della normativa spagnola^[4], alla luce delle Linee Guida emanate, sul punto, dall’Agencia Espanola Proteccion Datos (AEPD) nel mese di gennaio 2021.

Le Linee Guida dell’AEPD

1. Cookies: definizione e categorie (soggettive e oggettive)

Fatta questa doverosa premessa, occorre ora illustrare le principali caratteristiche, da un punto di vista soggettivo e da un punto di vista oggettivo, dei cookies^[5], la cui definizione (generale) si rinviene all’interno dell’art. 22 comma 2 della Legge n. 34 del 11.7.2002^[6] (cd. LSSI) (“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”^[7]), da leggersi, in combinato disposto, con la lettera d)^[8] dell’Allegato della medesima Legge, oltre che con il Considerando n. 30) del Regolamento UE n. 2016/679^[9] (GDPR).

Da un punto di vista soggettivo (da intendersi, quale ente che gestisce il dominio URL o tecnologia similare (es. applicazione software mobile) da cui vengono inviati i relativi cookies e che tratta, di conseguenza, i dati personali così ottenuti), i cookies possono essere suddivisi nelle seguenti categorie:

• Cookies propri: sono quelli inviati al dispositivo terminale dell’utente (es. personal computer; telefono cellulare) da un dominio (o elemento similare) gestito dal soggetto a cui è riferibile il servizio richiesto dall’utente medesimo;
• Cookies di terze parti: all’opposto, sono quelli inviati al dispositivo dell’utente da un’entità differente rispetto a quella che gestisce, in modo diretto ovvero indiretto, il servizio richiesto dall’utente medesimo.

A seconda, invece, dello scopo perseguito mediante l’installazione dei cookies (e conseguente trattamento dei dati personali raccolti), essi possono essere così classificati:

• Cookies tecnici: sono quelli utilizzati al solo fine di fornire, in modo ottimale, uno specifico servizio (e relative funzionalità) richiesto dall’utente (es. identificazione di sessione; completamento del processo di pagamento; controllo di frodi; completamento di una iscrizione; abilitazione di contenuti e/o condivisione degli stessi); all’interno di essi, vi rientra la (micro) categoria dei cookies di preferenza (o di personalizzazione), i quali memorizzano una serie di informazioni al fine così di permettere all’utente di accedere al servizio in una condizione differente rispetto a quella di qualsivoglia altro soggetto (es. memorizzazione del basket degli acquisti, della lingua selezionata).

Tale tipologia di cookies è, dunque, esentata dagli oneri prescritti dall’art. 22 comma 2 della Legge n. 34/2002, a meno che, com’è ovvio, vengano utilizzati per il perseguimento di altre e differenti finalità di trattamento.

• Cookies analitici (o di misurazione): sono quei cookies che consentono al gestore di un dominio (o elemento similare) di effettuare il follow up e analisi del comportamento degli utenti all’interno del sito internet (o applicazione software mobile) a cui tali cookies sono collegati, onde così ottenere un’analisi quantitativa dell’impatto di una pubblicità ivi inserita ovvero al fine di ottenere informazioni tese ad introdurre eventuali miglioramenti sulla fruibilità dei servizi messi a disposizione degli utenti.

L’installazione di tale tipologia di cookies è soggetta agli oneri ex art. 22 c. 2 della LSSI, a meno che essi non elaborino dati cd. aggregati per finalità meramente statistiche, così come ricordato dal Parere n. 4/2012 del Working Party Art. 29 (infra “WP 29”).

• Cookies di profilazione (o di pubblicità comportamentale): sono quelli che consentono la memorizzazione di informazioni sul comportamento tenuto dall’utente grazie all’osservazione (continua) delle abitudini di navigazione di quest’ultimo, onde così sviluppare uno specifico profilo e, di conseguenza, inserire e far visualizzare all’utente uno o più messaggi pubblicitari personalizzati.

L’installazione di tale tipologia di cookies è soggetta, com’è noto, agli oneri ex art. 22 c. 2 della Legge n. 34/2002.

Sempre con riguardo alle caratteristiche oggettive, è opportuno, infine, osservare come i cookies si possano distinguere nelle seguenti due (macro) categorie, a seconda della durata temporale di attivazione:

• Cookies di sessione: sono quelli progettati per raccogliere e memorizzare dei dati mentre gli utenti accedono al sito internet (o elemento similare), e scompaiono una volta che l’utente ha chiuso la relativa sessione di navigazione;
• Cookies persistenti: sono quelli idonei a durare per un periodo di tempo prestabilito, che può variare da pochi minuti sino ad alcuni anni.

2. Informativa sui cookies: requisiti

In linea con quanto già prescritto, a livello europeo, dal WP 29 (ora, EDPB) all’interno delle Linee Guida n. 260/2018, l’AEPD ricorda come le informazioni in merito ai cookies debbano rispettare i seguenti criteri (basilari):

• L’informazione (e/o la comunicazione) deve essere concisa, trasparente e comprensibile.

Nel rispetto del combinato disposto tra l’art. 5 paragrafo 1) lettera a) e il Considerando n. 39) del GDPR (principi interpretati, in maniera estensiva, da parte del WP 29 nelle proprie Linee Guida n. 260/2018), l’informazione non solo deve essere “concisa e trasparente” al fine di evitare il rischio di un subissamento informativo ma, soprattutto, deve essere costituita da un linguaggio semplice e chiaro, onde così renderla intellegibile a un esponente medio del pubblico a cui è diretta: in altri termini, un soggetto interessato deve essere in grado di determinare, in anticipo, quale sia la portata del trattamento e le relative conseguenze, affinché non sia poi colto, di sorpresa, circa le modalità (e finalità) di utilizzo dei propri dati personali.

• Il linguaggio da utilizzare deve essere chiaro e semplice.

In proposito, l’AEPD ha consigliato di evitare l’utilizzo di termini potenzialmente fuorvianti o comunque evasivi, come “può”, “potrebbe”, “alcuni”, “qualsiasi” e, infine, “possibile”.

• L’informazione deve essere facilmente accessibile.

L’elemento della “facile accessibilità” implica che il soggetto interessato non sia costretto a cercare le informazioni, ma che, anzi, gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perché gli sono fornite direttamente ovvero in quanto vi è un link (da posizionare in uno spazio maggiormente visibile all’utente ovvero ove quest’ultimo si aspetta, in via generale, di trovarlo) che lo dirige verso di esse: come evidenziato dal WP 29, un modo per soddisfare questo requisito consiste nel garantire che le informazioni non siano mai a più di due “tocchi” di distanza (es. includendo un’opzione “cookies/protezione dati” nella funzione “menù” di un applicazione mobile software ovvero (a piè pagina) di un sito internet).

A tal riguardo, l’AEPD consiglia che le informazioni relative alle modalità di gestione dei cookies (ivi incluse, quelle finalizzate a revocare il consenso ovvero a rimuovere i cookies stessi) siano disponibili in modo accessibile e permanente all’interno del sito web o strumento ad esso similare: a tal fine, viene consigliato di far sì che tale requisito sia integrato all’interno della cookies policy ovvero che la stessa includa, al suo interno, un collegamento che conduca, in modo agevole, al sistema di gestione dei cookies.

• L’informazione deve essere stratificata.

Come già affermato dal WP 29 all’interno delle citate Linee Guida n. 260/2018, l’AEPD raccomanda l’utilizzo di un informazione a più livelli, onde così permettere all’utente di accedere, ove lo ritenga, a quelle sezioni informative che gli interessano maggiormente, evitando, in tal modo, il (già affrontato) sovraccarico di informazioni; questo sistema composto da due (o più) step informativi, può essere ben costituito da un primo livello ove sono illustrate soltanto le informazioni di essenziale conoscibilità (da visualizzare quando l’utente accede ad un sito internet ovvero ad un applicazione software mobile), e da una seconda fase composta da un pagina (o sezione) contenente le informazioni più dettagliate e specifiche sui cookies.

A parere dell’AEPD, il primo strato (che, per chiarezza, deve essere identificato da un termine di uso generale (es. “cookies”) deve includere, ove opportuno, una serie di informazioni: i) identificazione del gestore del sito internet, dell’applicazione software mobile o strumento similare^[10]; ii) finalità di utilizzo dei cookies installati o da installare; iii) titolarità soggettiva (di prima o di terza parte) dei cookies installati o da installare; iv) tipologia di dati personali che devono essere raccolti ed utilizzati nel caso in cui venga effettuata la profilazione dell’utente, previo ottenimento del consenso da parte di quest’ultimo; v) modalità con cui l’utente può accettare, impostare e rifiutare l’utilizzo dei cookies, ivi incluso l’avviso che l’effettuazione di determinate azioni implica l’accettazione dell’utilizzo/installazione dei cookies; vi) un link (chiaramente visibile) indirizzato ad un secondo livello informativo che racchiude informazioni maggiormente dettagliate, e da denominare in modo facilmente comprensibile (es. “cookies”; “cookies policy”; “Fare clic qui per maggiori informazioni”).

A tal proposito, l’AEPD ha fornito tre esempi di cookies banner di rilevante (e agevole) utilità pratica:

1. Compresenza del pulsante “Accetta i cookies” e “Rifiuta i cookies” (con la medesima enfasi), unitamente a un link volto a consentire all’utente di impostare le proprie preferenze sui cookies^[11];
2. Presenza del solo pulsante “Accetta i cookies”, a cui aggiungersi un link finalizzato a permettere all’utente di impostare le proprie preferenze sui cookies^[12];
3. Presenza del pulsante “Accetta i cookies” affiancato da un pulsante “Impostazioni”, unitamente ad un link teso a far sì che l’utente possa impostare le proprie preferenze sui cookies^[13].

In merito, l’AEPD ha, altresì, tenuto a precisare la non tassatività del contenuto testuale dei pulsanti in questione, dato che il primo di essi può essere ben sostituito con termini equivalenti come “Accetta e continua”, “OK” o “Accetta e chiudi”, così parimenti l’ultimo con espressioni quali “Opzioni” o, infine, “Impostazioni Privacy”.

In connessione a ciò, l’Authority iberica ha aggiunto, da ultimo, che il collegamento ovvero il pulsante per la gestione delle preferenze da parte dell’utente deve indirizzare direttamente quest’ultimo al pannello di configurazione (da includere eventualmente nel secondo livello di informazione) che può comprendere, al suo interno, l’opzione di accettare tutti cookies e quella di rifiutarli tutti, permettendo, in tal modo, all’utente medesimo di non fornire (o di revocare), in modo agevole, il consenso (anche mediante, ad esempio, il salvataggio delle proprie impostazioni senza aver selezionato alcun cookies^[14]).

Per concludere, l’AEPD afferma che il secondo strato – il quale deve essere disponibile, in modo permanente, all’interno del sito internet, dell’applicazione software mobile (o di un qualsivoglia strumento similare) – deve includere le seguenti informazioni: i) definizione e funzionalità (generale) dei cookies; ii) indicazione della tipologia di cookies installati e/o che si intende installare, previo ottenimento del relativo consenso; iii) destinatario (finale) dei cookies^[15]; iv) modalità su come accettare, negare o revocare il consenso^[16]; v) ove opportuno, indicazione del paese terzo oggetto di trasferimento (e relative misure legislative di garanzia adottate); vi) ove ricorra l’ipotesi ex art. 22 paragrafo 1) del GDPR, le informazioni previste dall’art. 13 paragrafo 2) lettera f) del GDPR; vii) periodo di conservazione dei dati personali; viii) ogni altra informazione prevista dall’art. 13 del GDPR (che non riguardi, tuttavia, i cookies) può essere illustrata nella specifica “privacy policy”.

3. Consenso: regole generali

Tenendo a mente quanto ha, di recente, affermato l’EDPB all’interno delle proprie Linee Guida n. 5/2020, il Garante Privacy spagnolo, dopo aver ricordato che la semplice inadempienza di un utente non può mai essere intesa come un consenso, ha precisato che esso per essere considerato valido deve essere stato liberamente concesso da parte di un utente informato.

In ragione di ciò, l’AEPD ha osservato che è, a tal fine, necessario considerare i seguenti aspetti: i) l’utente deve aver eseguito una chiara azione affermativa; ii) deve essere evidente per l’utente che, grazie a quella sua determinata azione, accetta l’utilizzo dei cookies (a tal proposito, l’utilizzo del pulsante “Accetta” viene considerato come un’informazione sufficiente); iii) l’utente può, in ogni caso, rifiutarsi di accettare qualsiasi cookies; iv) l’accettazione dei termini e condizioni di un servizio deve essere separata, com’è noto, dall’accettazione della privacy policy e/o della cookies policy.

4. Consenso: servizio rivolto a un minore di anni 14

Laddove un servizio sia rivolto ad un minore di anni 14^[17], il Titolare del trattamento è tenuto a compiere ogni ragionevole sforzo per verificare che il consenso al trattamento dei dati personali sia stato concesso dall’esercente della relativa responsabilità genitoriale, tenuto in considerazione le tecnologie disponibili (e le circostanze ove i dati sono stati oggetto di elaborazione).

A tal riguardo, l’AEPD ha individuato una serie di ipotesi esemplificative, a seconda delle quali parametrare, sulla base del livello di rischio relativo all’utilizzo dei cookies, gli adempimenti da porre in essere^[18]:

1. nel caso di utilizzo di cookies soltanto analitici, viene raccomandato di ottenere il consenso, da parte dell’esercente della responsabilità genitoriale, mediante l’avvertimento, da inserire al primo livello informativo, all’utente che deve informare quest’ultimo al fine così di fargli accettare, rifiutare o impostare i cookies ivi indicati^[19];
2. le medesime (o comunque similari) prescrizioni di cui al precedente punto I), si applicano nel caso di utilizzo della (micro) categoria dei cookies di preferenza (o di personalizzazione) mediante i quali vengono raccolte alcune informazioni personali^[20];
3. in relazione, invece, a un utilizzo di cookies che presentano un rischio maggiormente elevato rispetto alle ipotesi descritte ai precedenti punti I) e II) (ovverosia, laddove gli aspetti personali vengono valutati al fine di prevedere delle preferenze o interessi personali, o al fine di visualizzare specifici annunci pubblicitari), è necessario ottenere ulteriori informazioni da parte dell’esercente della responsabilità genitoriale (mediante, ad esempio, un indirizzo e-mail di contatto a cui il gestore del sito internet (o strumento similare) può spedire un messaggio al fine di controllare e verificare l’effettiva accettazione a opera del responsabile genitoriale)^[21].

5. Consenso: cookies installati su differenti siti internet riconducibili a un medesimo soggetto

Da ultimo, l’AEPD fornisce un interessante lettura innovativa ove afferma che, nel caso in cui un soggetto fornisca un servizio mediante differenti siti internet, questi può, attraverso un unico sito web, informare ed ottenere il consenso all’utilizzo di qualunque cookies inviato dai domini internet posseduti (e che presentino caratteristiche simili), a condizione, tuttavia, che l’utente presti il proprio consenso dopo essere stato informato, inter alia, circa il nominativo dei siti internet (detenuti da un medesimo soggetto), oltre ché le categorie (e finalità) dei cookies ivi installati o da installare.

Note

1. In Spagna, Internet rappresentava, nel 2018, già il 7% del PIL nazionale, con una contribuzione di 81.600 milioni di euro. ↑
2. Secondo un sondaggio intitolato “The economic contribution of advertising in Europe”, rilasciato da Deloitte, il settore della pubblicità digitale rappresenta il 2,6% dei posti di lavoro all’interno dell’UE. ↑
3. A tal riguardo, in data 10.12.2020 l’Authority italiana ha avviato una consultazione pubblica, conclusasi formalmente dopo 30 giorni dalla pubblicazione, all’interno della Gazzetta Ufficiale, dell’avviso di tale procedura consultiva. ↑
4. Per quanto riguarda il mercato spagnolo, la pubblicità online è cresciuta, nel 2019, del 10,9% (3.150 milioni di euro; 46,3% della spesa totale sui media), così da superare, al primo posto, gli investimenti sulla televisione (anche satellitare) (cfr. iabspain.es/estudio/estudio-anual-de-inversion-publicitaria-en-medios-digitales-2019). ↑
5. Se, in passato, i cookies erano tradizionalmente associati a un sito web, oggi essi sono sempre più frequentemente utilizzati anche all’interno di piattaforme ovvero in applicazioni software mobili. ↑
6. La LSSI ha attuato, a livello nazionale, la Direttiva n. 2002/58/CE, poi modificata dalla Direttiva n. 2009/136/CE (cd. Direttiva E-Privacy). ↑
7. Traduzione (letterale) in lingua italiana: “I fornitori di servizi possono utilizzare dispositivi di archiviazione e recupero dei dati nell’apparecchiatura terminale dei destinatari, a condizione che abbiano dato il loro consenso dopo aver ricevuto informazioni chiare e complete sul loro utilizzo, in particolare, sulle finalità del trattamento dei dati, in conformità con le disposizioni della Legge Organica n. 15/1999 del 13 dicembre, sulla protezione dei dati personali. Quando tecnicamente possibile ed efficace, il consenso del destinatario ad accettare il trattamento dei dati può essere fornito utilizzando gli appositi parametri del browser o di altre applicazioni. Quanto precede non osta all’eventuale memorizzazione o accesso di natura tecnica al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica oppure nella misura strettamente necessaria per la fornitura di un servizio della società dell’informazione espressamente richiesto dal destinatario”) stante il riferimento alla Legge n. 15/1999, tale articolo deve essere letto alla luce sia del GDPR sia della Legge n. 3 del 5.12.2018 sulla protezione dei dati personali. ↑
8. Lettera d) dell’Allegato alla Legge n. 34/2002: “Destinatario del servicio” o “destinatario”: persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”) (traduzione (letterale) in lingua italiana: “Destinatario del servizio” o “destinatario”: persona fisica o giuridica che utilizza, per motivi professionali o meno, un servizio della società dell’informazione”). ↑
9. Considerando n. 30) del GDPR: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”. ↑
10. Non è necessario indicare il gestore/editore con l’inserimento della propria ragione sociale, a condizione che i suoi dati identificativi completi siano indicati in altre sezioni del sito internet (es. note legali; informativa sulla privacy) ovvero la sua identità possa essere chiaramente dedotta dal sito internet o applicazione software mobile medesima (es. laddove il nome a dominio sia uguale a quello del gestore o del marchio con il quale è conosciuto al grande pubblico). ↑
11. Esempio di testo: “Utilizziamo cookies nostri e di terze parti per analizzare i nostri servizi e mostrare annunci relativi alle tue preferenze, secondo una profilazione basata sulle tue abitudini di navigazione (ad esempio, siti web visitati). Potresti saperne di più e impostare le tue preferenze QUI”: 2 pulsanti: “Accetta cookies”, e “Rifiuta cookies”. ↑
12. Esempio di testo: “Utilizziamo cookies propri e di terze parti per finalità analitiche e per mostrare annunci personalizzati in base alla profilazione delle tue abitudini di navigazione (es. siti web visitati). Clicca QUI per saperne di più. È possibile accettare tutti i cookies facendo clic su “Accetta” o rifiutare o impostare la configurazione preferita facendo clic su QUI”: 1 pulsante: “Accetta”. ↑
13. Esempio di testo: “Utilizziamo cookies propri e cookies di terze parti per finalità di analisi e per mostrarti pubblicità comportamentale basata su una profilazione realizzata sulle tue abitudini di navigazione (es. pagine che hai visitato). Clicca QUI per ottenere maggiori informazioni. Puoi accettare tutti i cookies cliccando su “Accetta” oppure impostarli o rifiutarli cliccando su “Imposta”; 2 pulsanti: “Impostazioni” e “Accetta”. ↑
14. Esempio di testo: “Cliccando su “Salva impostazioni” verrà memorizzata la selezione dei cookie da te effettuata. Se non hai selezionato alcuna opzione, fare clic su questo pulsante equivale a rifiutare tutti i cookie”: 1 pulsante: “Salva le impostazioni”. ↑
15. Nel rispetto del GDPR, le informazioni specifiche sulle eventuali terze parti (ossia, il loro nome o marchio conosciuto dal grande pubblico e, se del caso, un collegamento alle informazioni che questa parte offre sui loro cookies) non devono essere visualizzate direttamente nella politica dei cookies ma possono essere utilizzati meccanismi come pulsanti o testo pop-up per distribuire queste informazioni specifiche, a condizione che ciò consenta agli utenti di accedere facilmente alle informazioni quando lo desiderano. ↑
16. In merito, l’AEPD ha precisato che qualora il sistema di gestione dei cookies o di set up abilitato non consenta di disabilitare i cookies di terze parti una volta che l’utente l’ha accettato, è necessario fornire un informativa in merito agli strumenti inseriti dal browser ed offerti dalle terze parti, con l’avvertenza che se l’utente accetta i cookies di terze parti e successivamente desidera rimuoverli deve farlo dal proprio browser o tramite il sistema a tal fine abitato dal terzo soggetto. ↑
17. La Spagna, come l’Italia, ha attestato la soglia agli anni 14 per la prestazione del consenso del minore al trattamento dei suoi dati personali in relazione ad un servizio della società dell’informazione. ↑
18. In merito, l’AEPD ha precisato che il gestore di un sito internet (o strumento similare) è libero di utilizzare qualsiasi mezzo ragionevole per verificare che il consenso sia stato effettivamente prestato dal titolare della responsabilità genitoriale, e non dall’utente under 14 anni (es. domande; captcha). ↑
19. Esempio di testo: “Se hai meno di 14 anni, chiedi a tuo padre, madre o tutor di leggere questo messaggio. Utilizziamo cookie propri e di terze parti per scoprire come si utilizza il nostro sito web e preparare sondaggi statistici. Maggiori informazioni. Tuo padre, tua madre o un tutore può premere “Accetta” se è d’accordo che noi utilizziamo questi cookie. Può anche impostare o rifiutare questi cookie QUI”: 1 pulsante: “Accetta”. ↑
20. Esempio di testo: “Per favore chiama tuo padre, tua madre o un tutore e chiedigli di inserire l’anno in cui è nato. [spazio per l’inserimento del campo di nascita]. Utilizziamo cookie nostri e di terze parti per sapere perché utilizzi il nostro sito web e per preparare sondaggi statistici nonché per personalizzare la tua esperienza (es. adattando il layout o la lingua del nostro sito). Maggiori informazioni. Puoi anche impostare e rifiutare questi cookie QUI”; 1 pulsante: “Accetta”. ↑
21. A tal proposito, il WP 29 ha raccomandato, all’interno delle proprie Linee Guida n. 251/2018, di evitare l’esecuzione di un’attività di profilazione (di marketing) nei confronti di utenti minorenni, dato che, come precisato dal Considerando n. 38) del GDPR, essi, essendo soggetti vulnerabili, meritano una specifica protezione (cfr. anche punti 5.1.), 5.3.5.) e 7.6.2.) delle Linee Guida sulla “Protezione dei dati dei bambini in un contesto educativo” del 20.11.2020 a firma del Consiglio d’Europa). ↑