Linee Guida EDPB

La normativa vigente

  La disciplina in materia di cookie è fornita dalla Direttiva 2002/58/CE “ePrivacy” e dal GDPR. L’art. 122, comma 1, del D. Lgs. n. 196/2003 s.m.i. (“Codice Privacy”), nel fornire attuazione alla Direttiva ePrivacy, ha stabilito che i cookie c.d. “tecnici” – generalmente installati direttamente dal titolare o gestore del sito web- non vengono utilizzati per scopi ulteriori, con la conseguenza che l’installazione di altre tipologie di cookie richiederà la preliminare raccolta del consenso dell’interessato.

La summenzionata direttiva, in realtà, lasciava, in sede di attuazione, ampio margine agli Stati Membri sull’opportunità di prevedere un esplicito consenso dell’interessato (opt-in), ovvero il suo mancato rifiuto (opt-out), ma il legislatore italiano ha scelto il sistema dell’opt-in, ritenuto maggiormente idoneo a garantire la piena consapevolezza dell’utente, maturata sulla base di precise e complete informazioni relative a modalità e finalità del trattamento.

Coerentemente, il Garante per la protezione dei dati personali (nel seguito, il “Garante”) con provvedimento dell’8 maggio 2014, ha chiarito la necessità di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche.

In particolare, il Garante ha chiarito che nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti indicazioni:

• che il sito utilizza cookiedi profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell´ambito della navigazione in rete;
• che il sito consente anche l’invio di cookie“terze parti” (laddove ciò ovviamente accada);
• il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a uso dei cookietecnici e analytics, possibilità di scegliere quali specifici cookie autorizzare; possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;
• l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
• l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie;
• ai fini di mantenere distinta la responsabilità dei gestoridi siti web da quella delle terze parti i medesimi gestori sono tenuti ad acquisire già in fase contrattuale i collegamenti alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti (con ciò intendendosi anche i concessionari).

Se, da un lato, ai sensi del Considerando 173^[1] e dell’art. 95^[2] del GDPR, tra le due fonti normative prevale la disciplina dell’ePrivacy, dall’altro, anche il GDPR, al Considerando 30, si occupa dei cookie^[3], con la conseguenza che le caratteristiche del consenso vanno rinvenute nelle più recenti disposizioni del Regolamento: il consenso, ai sensi dell’art. 7 del GDPR, dovrà dunque essere libero, specifico, informato, inequivoco, dimostrabile e revocabile.

.

I precedenti giurisprudenziali

 Nonostante l’apparente chiarezza della lettera delle norme citate, è stato recentemente richiesto alla Corte di giustizia dell’Unione Europea (in seguito, anche, la “Corte”) di chiarire ulteriormente quali siano gli esatti requisiti del consenso, in particolare per quanto riguarda l’installazione di cookie, anche a norma del GDPR.

Sul punto, la Corte con la sentenza dell’1 ottobre 2019 – rinvio pregiudiziale nella causa C-673/17- resa nel caso “Planet 49”, ha stabilito che l’unica forma di consenso valido per il trattamento dei dati degli utenti nell’UE è il consenso esplicito, per tale intendendosi un consenso attivamente e specificatamente accordato dagli utenti del sito web e che pertanto non può considerarsi validamente prestato nel caso esemplare di una casella pre-spuntata.

In particolare, infatti, la Corte ha affermato: “il consenso (…) non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”.

Fine modulo

Parimenti, il Garante per la protezione dei dati spagnolo (“Agencia española protecciòn datos”, di seguito “AEPD”) – con la Resolución R/00499/2019 – ha sanzionato la compagnia aerea “Vueling Airlines” perché l’utilizzo dei cookie sul sito web di quest’ultima è stato ritenuto contrario ai principi del GDPR.

Secondo l’AEPD, nonostante fosse vero che gli utenti fossero informati in modo corretto e dettagliato sulla tipologia di cookie utilizzati all’interno del sito della compagnia, mancava un sistema di gestione o un pannello di configurazione dei cookie che consentisse all’utente di rifiutarli in modo granulare.

Dall’esame del provvedimento, in particolare, si apprende come l’AEDP abbia considerato illegittima la pratica di non prevedere la possibilità di opporsi all’installazione dei cookie sui vari dispositivi, ritenendo insufficiente prevedere la sola possibilità di negare il consenso all’installazione dei cookie attraverso le opzioni del browser.

  Le novità delle Linee Guida

Ciò premesso, con le Linee Guida, l’EDPB ha chiarito come risulti contraria ai principi del GDPR la pratica dei titolari del trattamento che condiziona l’accesso al sito web al rilascio di apposito consenso da fornirsi mediante i c.d. “cookie wall”, “muri” in grado di impedire l’accesso al sito sino a quando l’interessato non accetti i cookie del caso o proceda, mediante le apposite impostazioni, alla scelta tra i cookie installati.

In particolare, chiariscono le Linee Guida, si otterrebbe un consenso non liberamente espresso qualora il titolare bloccasse la visibilità di tutti i contenuti della propria pagina web, rendendo agli utenti unicamente visibile la propria cookie policy e l’opzione “Accetta i cookie”, dunque impedendo ai naviganti la possibilità di accedere al sito senza fornire tale accettazione^[4].

Quanto al secondo tema di novità, rappresentato dal c.d. “scrolling”, l’EDPB ha ritenuto opportuno chiarire – in maniera ancora più incisiva rispetto a quanto già fatto in precedenza dal WP29 – come il consenso debba generalmente tradursi in una manifestazione inequivocabile di volontà da parte dell’interessato.

Tale chiarimento si traduce nell’evidente circostanza che – proprio sulla base del Considerando 32 – azioni come lo scorrimento di una pagina web (appunto, lo “scrolling”) -o attività simili- poste in essere dall’utente non soddisferanno in nessun caso la necessità di un’azione chiaramente affermativa alla base del rilascio di un consenso.

Inoltre, simili categorie di azioni potrebbero risultare difficilmente distinguibili da altre attività inerenti la navigazione e non connesse al trattamento dei dati personali, con estrema difficoltà per il titolare di ottenere un consenso univoco. In siffatte ipotesi, del resto, sarà difficile fornire all’utente la possibilità di revocare il consenso facilmente così come l’ha concesso.

Linee Guida e proposta di Regolamento ePrivacy

La posizione dell’EDPB si pone in linea con la proposta di Regolamento ePrivacy, attualmente ancora in discussione in seno al Consiglio dell’Unione Europea.

In particolare, la bozza dell’art. 8 della proposta di Regolamento ePrivacy, al suo secondo comma prevederebbe che “La raccolta delle informazioni emesse dall’apparecchiatura terminale per consentirne la connessione a un altro dispositivo o a un’apparecchiatura di rete è proibita, eccetto se:

• effettuata esclusivamenteal fine di e per il tempo necessario a stabilire una connessione; oppure
• se è visualizzato un avviso chiaro e ben visibile, inteso a informare almeno delle modalità, delle finalità, del responsabile e di ogni altra informazione richiesta a norma dell’articolo 13 del regolamento (UE) 679/2016, della raccolta di dati personali nonché di ogni misura a disposizione dell’utente finale dell’apparecchiatura terminale per arrestare o minimizzare tale raccolta.

La raccolta di tali informazioni è subordinata all’applicazione di opportune misure tecniche e organizzative per garantire un livello di sicurezza proporzionato ai rischi, conformemente a quanto disposto all’articolo 32 del regolamento (UE) 2016/679.

Le informazioni da comunicare agli interessati a norma del paragrafo 2, lettera b), possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme della raccolta”.

Conclusioni

A fronte dell’intervenuto aggiornamento delle Linee Guida, a conferma dell’orientamento già assunto dai giudici europei e della normativa, i gestori di siti web che prevedano ad oggi modalità di raccolta del consenso difformi rispetto alle indicazioni fornite (es. caselle preflaggate, scrolling o, appunto, “cookie wall”) dovranno provvedere a stretto giro all’adeguamento degli stessi.

Tale attività di adeguamento non dovrà limitarsi all’aggiornamento della cookie policy in ottemperanza al principio di trasparenza, ma potrà costituire una opportunità per il titolare, per procedere all’adozione di una procedura di digital consent management che, mediante l’adozione di appositi sistemi informativi, consenta, da un lato, all’utente di esprimere agevolmente il proprio consenso in relazione alle singole finalità specificate dall’informativa, dall’altro, all’azienda di documentare le azioni di autorizzazione.

L’implementazione di una simile procedura, oltre a mettere al riparo il titolare da paventabili rischi sanzionatori, potrebbe scongiurare la dispersione di un ingente numero di cookie, strumentali al proprio business: si pensi, ad esempio, ai publishers che instaurano rapporti contrattuali con advertisers per l’inserimento presso le proprie piattaforme di inserzioni pubblicitarie rese profilate proprio grazie all’installazione di cookie di profilazione di terze parti, inserzioni che perderebbero il proprio scopo commerciale laddove non venisse validamente raccolto il consenso degli interessati.

Pertanto, contestualmente all’aggiornamento delle cookie policy ed alla valutazione dei sistemi di consent managment platform, si ritiene opportuno, non solo in termini di stretta compliance ma anche e soprattutto di business, procedere alla verifica delle modalità di acquisizione dei cookie di profilazione.

NOTE

1. Considerando 173: “È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (18), compresi gli obblighi del titolare del trattamento e i diritti delle persone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, è opportuno modificare quest’ultima di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere riesaminata in particolare per assicurare la coerenza con il presente regolamento”.
2. 95: “Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”.
3. Considerando 30: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
4. par. 40 delle Linee Guida: “Example 6a: A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button”.