Ci siamo spesso occupati come studio legale delle problematiche privacy dei siti internet in generale e della gestione dei cookie in particolare.
Dal punto di vista normativo la difficoltà risiede nel fatto che l’attuale normativa di riferimento, la direttiva ePrivacy (Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) è in fase di “aggiornamento” e non è stata abrogata direttamente dal Regolamento UE 2016/679 (di seguito anche solo GDPR). Quindi, la normativa precedente e il GDPR devono convivere nella regolamentazione di molti aspetti tra cui la problematica dei cookie. Dal punto di vista tecnico, i cookie sono in veloce e rapida evoluzione e spesso si fatica a individuarne la corretta gestione dal punto di vista normativo.
Recentemente la Corte di Giustizia è stata chiamata a pronunciarsi su tale tema.
Vediamo brevemente il caso sottoposto alla Corte.
La società Planet49 ha organizzato un gioco a premi sul sito Internet www.dein-macbook.de.
Gli utenti di Internet che desideravano partecipare a detto gioco dovevano fornire il loro codice postale, il che li rinviava ad una pagina web in cui dovevano inserire il loro nome e il loro indirizzo. Al di sotto dei campi da riempire per l’indirizzo si trovavano due didascalie accompagnate da caselle di spunta.
La prima didascalia, la cui rispettiva casella (in prosieguo: la «prima casella di spunta») non era preselezionata, recitava come segue: «Acconsento a ricevere informazioni per posta, per telefono, per posta elettronica o via SMS da sponsor e partner sulle offerte del loro rispettivo settore commerciale. È mia facoltà stabilire qui autonomamente i soggetti legittimati ad inviarmi dette offerte, in caso contrario la scelta spetta all’organizzatore. Posso revocare il consenso in qualsiasi momento. Ulteriori informazioni al riguardo si trovano qui».
La seconda didascalia, la cui rispettiva casella (in prosieguo: «la seconda casella di spunta») era preselezionata, recitava come segue: «Acconsento a sottopormi al servizio di analisi web Remintrex. Di conseguenza, l’organizzatore del gioco a premi, [la Planet49], a seguito dell’approvazione della mia registrazione al gioco, installa cookie al fine di analizzare tramite Remintrex le mie navigazioni sul web e le mie visite ai siti Internet dei partner commerciali e di inviarmi pubblicità centrata sui miei interessi. Posso cancellare i cookie in ogni momento. Per ulteriori dettagli si legga qui».
Era possibile partecipare al gioco a premi solo dopo aver selezionato quanto meno la prima casella di spunta.
Il caso viene esaminato dalla Corte federale di giustizia tedesca (Bundesgerichtshof) che sottopone alla Corte di giustizia europea di chiarire se, alla luce del diritto UE, il consenso all’istallazione di cookie possa essere validamente ottenuto nei modi sopra descritti, e quali informazioni debbano essere fornite all’utente riguardo all’uso dei cookie affinché si possa ritenere che il consenso espresso sia “informato”.
Il giudizio della Corte UE
È bene ricordare che il consenso dell’interessato è solo una delle basi giuridiche che autorizzano il trattamento dei dati personali. Di fatto, però, è quella più utilizzata su internet. Nonostante ciò, i requisiti da soddisfare perché il consenso venga ritenuto valido sono da tempo circondati da un alone di incertezza.
La normativa Ue previgente al GDPR (ovvero, la Direttiva 95/46/CE) prevedeva che l’interessato dovesse esprimere il proprio consenso al trattamento dei propri dati tramite una “manifestazione di volontà libera, specifica e informata”. Tuttavia, tali requisiti venivano interpretati in maniera differente nei diversi Stati membri. L’entrata in vigore del GDPR ha anche l’obiettivo proprio di rafforzare e armonizzare le norme sul consenso.
A tal fine, la definizione di “consenso” attualmente fornita dall’articolo 4 (11) del GDPR specifica che, oltre a dover essere libero, specifico ed informato, il consenso debba tradursi in una manifestazione di volontà “inequivocabile” dell’interessato, con la quale lo stesso manifesta il proprio assenso a che i dati personali che lo riguardano siano oggetto di trattamento.
Tale definizione di consenso si applica anche ai fini della Direttiva ePrivacy 2002/58/CE, ovvero la Direttiva che fissa l’obbligo di ottenere il consenso dell’utente all’istallazione ed uso di cookie.
Secondo la Corte Ue, in particolare, sia a norma della Direttiva 95/46/CE che del GDPR, il consenso dev’essere manifestato in maniera attiva.
A tal proposito, non è da considerarsi valido un consenso espresso mediante una dichiarazione preformulata che richieda all’utente di opporsi attivamente qualora non acconsentisse al trattamento dei dati.
Sul punto, la Corte sottolinea come risulti “praticamente impossibile determinare in modo oggettivo se, non deselezionando una casella preselezionata, l’utente di un sito Internet abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale consenso sia stato manifestato in modo informato”. Pertanto, non è da considerarsi validamente espresso il consenso all’utilizzo di cookie mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso, ciò indipendentemente dalla circostanza che le informazioni archiviate o consultate tramite i cookie costituiscano o meno dati personali.
Inoltre, la Corte ritiene che, al momento in cui gli viene richiesto di prestare il proprio consenso all’uso di cookie, l’utente debba essere informato, tra le altre cose, sulla durata dei cookie, nonché sul fatto che taluni terzi abbiano accesso o meno ai cookie stessi.
***
Le considerazioni della Corte Ue forniscono qualche punto fermo in un tema, “la privacy nei cookie”, non sempre di facile applicazione.
Da quanto è possibile evincere dalla sentenza della Corte, infatti, viene definitivamente vietata la pratica, ancora abbastanza frequente, di chiedere il consenso degli utenti con caselle di spunta preselezionate.
In aggiunta si è potuto comprendere che i requisiti di informativa relativi all’uso dei cookie vanno rafforzati e integrati, tra le altre cose, anche sui tempi di conservazione degli stessi.
In ultimo, è bene sottolineare come la Corte non si sia espressa sulla compatibilità con il GDPR della pratica di subordinare l’accesso ad un sito internet al consenso dell’utente al trattamento dei propri dati personali tramite cookie.
Pertanto, per il momento, la compatibilità dei cosiddetti cookie wall con il GDPR rimane incerta, dal punto di vista della Corte, in quanto l’autorità garante olandese si è espressa in senso contrario.
Sicuramente ai gestori dei siti internet consigliamo di rivedere la propria policy, nella consapevolezza che il lavoro di revisione andrà nuovamente ripetuto, forse a breve.