Consenso attivo e abilitazione dei cookies
Le modalità di utilizzo dei cookies sono sempre state oggetto di attenzione da parte degli organismi nazionali e internazionali.
Nel 2014 anche il nostro Garante della Privacy aveva pubblicato una scheda informativa nella quale fornire agli utenti alcune informazioni di base su cosa fossero i cookies e come gestirli al meglio, fornendo nel giugno del 2015 ulteriori chiarimenti.
In entrambi i casi, la preoccupazione dell’autorità di controllo era sempre quella della corretta gestione del consenso e della consapevolezza dell’utilizzo di tali mezzi di tracciamento.
La Corte di Giustizia e la Sentenza Planet49
Una recente sentenza della Corte di Giustizia Europea ha riportato l’attenzione sul tema, stabilendo che non è valido il consenso dell”utente espresso attraverso caselle preselezionate di un sito internet.
Questo il caso: la società tedesca Planet49 gestisce un sito di giochi a premi on line. Sul sito è presente una casella di spunta preselezionata mediante la quale gli utenti danno il consenso all’installazione di cookie. Tali cookie sono diretti a raccogliere informazioni a fini pubblicitari riguardanti prodotti dei partner della Planet49.
Sulla base di tali circostanze, la Corte federale di Giustizia tedesca ha chiesto alla Corte di giustizia di interpretare il diritto dell’Unione in materia di tutela della vita privata nel settore delle comunicazioni elettroniche.
La Corte di Giustizia ha stabilito che “il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”.
L’uso di una casella preselezionata rende “impossibile chiarire in modo obiettivo se l’utente di un sito Web abbia effettivamente dato il proprio consenso al trattamento dei propri dati personali: (…) non si può escludere che l’utente non abbia letto le informazioni allegate alla casella di controllo o che non abbia notato questa casella prima di continuare la sua attività sul sito Web visitato.”.
Il consenso non si può quindi desumere solo dal fatto che l’utente abbia fatto clic attivamente sul pulsante “partecipa”, poiché da tale azione non si può “presumere che l’utente abbia dato il proprio consenso effettivo alla memorizzazione dei cookie”.
La Corte ha altresì precisato che è ininfluente il fatto che le informazioni archiviate o consultate costituiscano o meno dati personali. Il diritto dell’Unione mira, infatti, a tutelare l’utente da qualsiasi ingerenza nella sua vita privata, in particolare dal rischio che identificatori occulti o altri dispositivi analoghi si introducano nell’apparecchiatura terminale dell’utente a sua insaputa.
Secondo la Corte, inoltre, il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente.
Il Caso Vueling Airlines e la AEPD
Sulla scia di tale decisione, il Garante della Privacy spagnolo, la AEPD – Agencia Española de Protección de Datos, ha comminato una sanzione di 30 mila euro, successivamente ridotta a 18mila, nei confronti della Vueling Airlines, perché visitando il sito web della compagnia gli utenti non avevano la possibilità di accettare o rifiutare i cookie sui loro dispositivi.
Secondo la AEPD, infatti, non è di per sé sufficiente il fatto che il sito pubblichi un’informativa con la descrizione di cosa siano i cookies e quali operazioni possano essere effettuate riconfigurando il browser: queste informazioni risultano essere “insufficienti allo scopo previsto di consentire all’utente di configurare le preferenze in forma granulare o selettiva”.
La legge spagnola sui servizi della società dell’informazione e il commercio elettronico prevede inoltre che “i fornitori di servizi possono utilizzare i dispositivi di archiviazione e recupero dei dati sui dispositivi terminali dei destinatari, a condizione che abbiano dato il loro consenso dopo che sono state fornite informazioni chiare e complete sul loro utilizzo, in particolare, ai fini del trattamento dei dati”
Ruolo dell’utente
Le due sentenze citate sono fondate su un unico principio: non è considerato valido un consenso reso implicitamente, ma deve essere frutto di un’attività volontaria e soprattutto consapevole dell’utente.
Per soddisfare tale principio, il sito web deve essere strutturato in modo tale che l’utente possa abilitare o disabilitare i cookies in maniera diretta e intuitiva, attraverso l’utilizzo di pulsanti che possano consentirgli di gestire le proprie preferenze tramite un pannello di configurazione dei cookies.
Avv. Antonia Cossa