La disciplina in materia di cookie è fornita dalla Direttiva 2002/58/CE “ePrivacy” e dal GDPR. L’art. 122, comma 1, del D. Lgs. n. 196/2003 s.m.i. (“Codice Privacy”), nel fornire attuazione alla Direttiva ePrivacy, ha stabilito che i cookie c.d. “tecnici” – generalmente installati direttamente dal titolare o gestore del sito web- non vengono utilizzati per scopi ulteriori, con la conseguenza che l’installazione di altre tipologie di cookie richiederà la preliminare raccolta del consenso dell’interessato.
La summenzionata direttiva, in realtà, lasciava, in sede di attuazione, ampio margine agli Stati Membri sull’opportunità di prevedere un esplicito consenso dell’interessato (opt-in), ovvero il suo mancato rifiuto (opt-out), ma il legislatore italiano ha scelto il sistema dell’opt-in, ritenuto maggiormente idoneo a garantire la piena consapevolezza dell’utente, maturata sulla base di precise e complete informazioni relative a modalità e finalità del trattamento.
Coerentemente, il Garante per la protezione dei dati personali (nel seguito, il “Garante”) con provvedimento dell’8 maggio 2014, ha chiarito la necessità di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche.
In particolare, il Garante ha chiarito che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:
Se, da un lato, ai sensi del Considerando 173[1] e dell’art. 95[2] del GDPR, tra le due fonti normative prevale la disciplina dell’ePrivacy, dall’altro, anche il GDPR, al Considerando 30, si occupa dei cookie[3], con la conseguenza che le caratteristiche del consenso vanno rinvenute nelle più recenti disposizioni del Regolamento: il consenso, ai sensi dell’art. 7 del GDPR, dovrà dunque essere libero, specifico, informato, inequivoco, dimostrabile e revocabile.
.
Nonostante l’apparente chiarezza della lettera delle norme citate, è stato recentemente richiesto alla Corte di giustizia dell’Unione Europea (in seguito, anche, la “Corte”) di chiarire ulteriormente quali siano gli esatti requisiti del consenso, in particolare per quanto riguarda l’installazione di cookie, anche a norma del GDPR.
Sul punto, la Corte con la sentenza dell’1 ottobre 2019 – rinvio pregiudiziale nella causa C-673/17- resa nel caso “Planet 49”, ha stabilito che l’unica forma di consenso valido per il trattamento dei dati degli utenti nell’UE è il consenso esplicito, per tale intendendosi un consenso attivamente e specificatamente accordato dagli utenti del sito web e che pertanto non può considerarsi validamente prestato nel caso esemplare di una casella pre-spuntata.
In particolare, infatti, la Corte ha affermato: “il consenso (…) non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”.
Fine modulo
Parimenti, il Garante per la protezione dei dati spagnolo (“Agencia española protecciòn datos”, di seguito “AEPD”) – con la Resolución R/00499/2019 – ha sanzionato la compagnia aerea “Vueling Airlines” perché l’utilizzo dei cookie sul sito web di quest’ultima è stato ritenuto contrario ai principi del GDPR.
Secondo l’AEPD, nonostante fosse vero che gli utenti fossero informati in modo corretto e dettagliato sulla tipologia di cookie utilizzati all’interno del sito della compagnia, mancava un sistema di gestione o un pannello di configurazione dei cookie che consentisse all’utente di rifiutarli in modo granulare.
Dall’esame del provvedimento, in particolare, si apprende come l’AEDP abbia considerato illegittima la pratica di non prevedere la possibilità di opporsi all’installazione dei cookie sui vari dispositivi, ritenendo insufficiente prevedere la sola possibilità di negare il consenso all’installazione dei cookie attraverso le opzioni del browser.
Ciò premesso, con le Linee Guida, l’EDPB ha chiarito come risulti contraria ai principi del GDPR la pratica dei titolari del trattamento che condiziona l’accesso al sito web al rilascio di apposito consenso da fornirsi mediante i c.d. “cookie wall”, “muri” in grado di impedire l’accesso al sito sino a quando l’interessato non accetti i cookie del caso o proceda, mediante le apposite impostazioni, alla scelta tra i cookie installati.
In particolare, chiariscono le Linee Guida, si otterrebbe un consenso non liberamente espresso qualora il titolare bloccasse la visibilità di tutti i contenuti della propria pagina web, rendendo agli utenti unicamente visibile la propria cookie policy e l’opzione “Accetta i cookie”, dunque impedendo ai naviganti la possibilità di accedere al sito senza fornire tale accettazione[4].
Quanto al secondo tema di novità, rappresentato dal c.d. “scrolling”, l’EDPB ha ritenuto opportuno chiarire – in maniera ancora più incisiva rispetto a quanto già fatto in precedenza dal WP29 – come il consenso debba generalmente tradursi in una manifestazione inequivocabile di volontà da parte dell’interessato.
Tale chiarimento si traduce nell’evidente circostanza che – proprio sulla base del Considerando 32 – azioni come lo scorrimento di una pagina web (appunto, lo “scrolling”) -o attività simili- poste in essere dall’utente non soddisferanno in nessun caso la necessità di un’azione chiaramente affermativa alla base del rilascio di un consenso.
Inoltre, simili categorie di azioni potrebbero risultare difficilmente distinguibili da altre attività inerenti la navigazione e non connesse al trattamento dei dati personali, con estrema difficoltà per il titolare di ottenere un consenso univoco. In siffatte ipotesi, del resto, sarà difficile fornire all’utente la possibilità di revocare il consenso facilmente così come l’ha concesso.
La posizione dell’EDPB si pone in linea con la proposta di Regolamento ePrivacy, attualmente ancora in discussione in seno al Consiglio dell’Unione Europea.
In particolare, la bozza dell’art. 8 della proposta di Regolamento ePrivacy, al suo secondo comma prevederebbe che “La raccolta delle informazioni emesse dall’apparecchiatura terminale per consentirne la connessione a un altro dispositivo o a un’apparecchiatura di rete è proibita, eccetto se:
La raccolta di tali informazioni è subordinata all’applicazione di opportune misure tecniche e organizzative per garantire un livello di sicurezza proporzionato ai rischi, conformemente a quanto disposto all’articolo 32 del regolamento (UE) 2016/679.
Le informazioni da comunicare agli interessati a norma del paragrafo 2, lettera b), possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme della raccolta”.
A fronte dell’intervenuto aggiornamento delle Linee Guida, a conferma dell’orientamento già assunto dai giudici europei e della normativa, i gestori di siti web che prevedano ad oggi modalità di raccolta del consenso difformi rispetto alle indicazioni fornite (es. caselle preflaggate, scrolling o, appunto, “cookie wall”) dovranno provvedere a stretto giro all’adeguamento degli stessi.
Tale attività di adeguamento non dovrà limitarsi all’aggiornamento della cookie policy in ottemperanza al principio di trasparenza, ma potrà costituire una opportunità per il titolare, per procedere all’adozione di una procedura di digital consent management che, mediante l’adozione di appositi sistemi informativi, consenta, da un lato, all’utente di esprimere agevolmente il proprio consenso in relazione alle singole finalità specificate dall’informativa, dall’altro, all’azienda di documentare le azioni di autorizzazione.
L’implementazione di una simile procedura, oltre a mettere al riparo il titolare da paventabili rischi sanzionatori, potrebbe scongiurare la dispersione di un ingente numero di cookie, strumentali al proprio business: si pensi, ad esempio, ai publishers che instaurano rapporti contrattuali con advertisers per l’inserimento presso le proprie piattaforme di inserzioni pubblicitarie rese profilate proprio grazie all’installazione di cookie di profilazione di terze parti, inserzioni che perderebbero il proprio scopo commerciale laddove non venisse validamente raccolto il consenso degli interessati.
Pertanto, contestualmente all’aggiornamento delle cookie policy ed alla valutazione dei sistemi di consent managment platform, si ritiene opportuno, non solo in termini di stretta compliance ma anche e soprattutto di business, procedere alla verifica delle modalità di acquisizione dei cookie di profilazione.
Raccogliamo solo le informazioni che decidi di fornirci e le elaboriamo con il tuo consenso…