Read 4 min

La Corte di Giustizia Ue, con una decisione del 1° ottobre 2019, bandisce le caselle di spunta preselezionate per il consenso all’uso dei cookie. Vediamo le indicazioni a cui devono attenersi i gestori dei siti internet

Il caso

La vicenda riguardava una società di giochi online la quale, nell’ambito di un gioco a premi dalla stessa organizzato, trattava dati personali dei partecipanti ed installava cookie nei computer di questi, con la finalità di trasferire le informazioni raccolte a sponsor e partner.

La Corte di Giustizia europea veniva investita dalla Corte federale di giustizia tedesca su una questione pregiudiziale emersa nella causa C-673/17 sorta tra la suddetta società e la Federazione delle Organizzazioni di Consumatori della Germania.

Ai giudici europei veniva richiesta la corretta interpretazione delle disposizioni della direttiva 2002/58/CE modificata dalla direttiva 2009/136/CE (nota come e-Privacy), sul trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, in combinato con la direttiva 95/46/CE, abrogata e sostituita dal Regolamento Ue 2016/679.

In particolare, la questione riguardava la validità del consenso rilasciato dagli utenti per l’impiego di cookie tramite una casella di spunta preselezionata nonché la portata dell’obbligo di informazione gravante sul fornitore di servizi.

La sentenza della Corte di Giustizia europea

La Grande sezione della Corte di Giustizia EU con una decisione del 1° ottobre 2019 dichiara che per l’installazione dei cookie è necessario il consenso attivo degli internauti. Il ragionamento svolto si poggia principalmente su questi aspetti:

  • Il comportamento “attivo” dell’utente

Per consenso dell’interessato, a norma della riformulazione svolta dal GDPR della definizione fornita dalla direttiva del ’95, è da intendersi “qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. A sostegno del consenso “attivo” il Considerando 32 del suddetto regolamento prevede infatti espressamente che “il silenzio, l’inattività o la preselezione di caselle” non possano configurare consenso.

Nel caso di specie, orbene, una casella preselezionata non implica un comportamento attivo del visitatore, anche quando questi possa togliere la spunta per negare il proprio consenso.

A tal fine la Corte precisa che è irrilevante che l’informativa fornita dal titolare del sito web sia corretta e completa poiché: “non può essere escluso che detto utente non abbia letto l’informazione che accompagna la casella preselezionata, o addirittura che lo stesso non abbia visto tale casella, prima di continuare la propria attività sul sito Internet che visita.”

Un comportamento attivo si realizza unicamente spuntando la casella con quale si dichiara di aver preso visione dell’informativa e si presta il proprio consenso all’implementazione dei cookie.

  • La tutela si estende a tutti i dati raccolti

La Corte evidenzia inoltre che, ai sensi della direttiva 2002/58, “qualsiasi informazione archiviata nell’apparecchiatura terminale degli utenti di reti di comunicazione elettronica fa parte della sfera privata dell’utente, che deve essere tutelata ai sensi della Convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali.”

Alla luce di ciò questa tutela deve essere applicata a qualsiasi informazione archiviata, indipendentemente dal fatto che si tratti o meno di dati personali ed è finalizzata a tutelare gli utenti dal rischio che identificatori occulti o altri dispositivi analoghi si introducano, a loro insaputa, nel proprio dispositivo elettronico.

  • La manifestazione “specifica” della volontà

Secondo la Corte l’utente deve essere informato sulle attività per le quali presta il proprio consenso. Alla stregua della direttiva 95/46 confermata dal GDPR, infatti, la volontà per essere specifica deve riferirsi precisamente al trattamento dei dati interessati e non può essere desunta da una manifestazione della volontà avente un oggetto distinto.

Innanzitutto preme sottolineare che il consenso al trattamento dei dati personali deve essere distinto dal consenso all’implementazione dei cookie. L’utente è tenuto (e deve essere messo in condizione di poterlo fare) a rilasciare un duplice consenso in tal senso.

Inoltre con riferimento ai cookie il visitatore deve avere contezza delle finalità per le quali tale installazione viene realizzata dovendo manifestare per ciascuna di essa la propria volontà. Si precisa che la previsione normativa esclude il consenso per i soli cookie tecnici, necessari per un corretto funzionamento del sito web.

  • Il consenso “informato”

In ultimo, i giudici europei chiariscono quali informazioni debbano essere fornite all’utente riguardo all’uso dei cookie affinché si possa ritenere che il consenso espresso sia “informato”.

Le informazioni fornite devono essere chiaramente comprensibili e sufficientemente dettagliate, al fine di consentire all’utente di comprendere il funzionamento dei cookie utilizzati.

Oltre alle informazioni che il titolare del trattamento deve fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano, secondo la normativa del GDPR, il gestore del sito internet, in osservanza della direttiva del 2002,  deve informarla sul periodo di utilizzo dei cookie nonché la possibilità o meno per i terzi di avere accesso a tali cookie.

Il consenso sarà quindi ritenuto validamente prestato quando, per l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie, questi riceva preliminarmente adeguate indicazioni a garanzia di un trattamento corretto e  trasparente.  

Conclusione

Sebbene sia tuttora una prassi impiegata da moltissimi siti web, il provvedimento della Corte di giustizia Ue specifica quanto già ampiamente previsto dalla normativa sulla materia.

La definizione del consenso fornita dalla direttiva del ’95 nonché dal GDPR, viene quindi applicata anche ai fini della direttiva e-Privacy in materia di cookie, oggi recepita in Italia con il d.lgs 69/2012.

La sentenza della Corte ha contribuito principalmente ad individuare quali comportamenti dell’internauta possano essere classificati come attivi dai quali si evince in maniera inequivocabile il suo benestare, vietando quindi la modalità delle caselle prespuntate, e ciò indipendentemente dal fatto che le informazioni di cui trattasi costituiscano o meno dati a carattere personale.

Per un approfondimento sulla materia dei cookie si consiglia la lettura del provvedimento del Garante italiano della Privacy dell’8 maggio 2014 (Link).

 

VP