Cookie: per installarli serve il consenso attivo dell’utente
Cookie, il consenso all’installazione è valido solo se subordinato ad un comportamento attivo dell’utente.
La Corte di Giustizia dell’Unione Europea, nella causa C-673/2017, ha emanato una sentenza che potrebbe rivoluzionare la disciplina sui cookie.
IL FATTO
Il caso riguarda un gioco a premi organizzato dalla società tedesca Planet49, il cui sito richiedeva agli utenti il consenso all’installazione di cookie mediante una casella di spunta preselezionata. Tali cookie erano diretti a raccogliere informazioni a fini pubblicitari riguardanti prodotti dei partner di Planet49.
Con una domanda pregiudiziale, il Bundesgerichtshof (Corte federale di giustizia della Germania) ha chiesto alla Corte di giustizia europea di chiarire se, alla luce del diritto Ue, il consenso all’istallazione di cookie possa essere validamente ottenuto nel modo sopra descritto, e quali informazioni debbano essere fornite all’utente riguardo all’uso dei cookie affinché si possa ritenere che il consenso espresso sia “informato”.
COSA SONO I COOKIE
I cookie, ricordiamolo, sono piccoli file di testo che vengono immessi sul dispositivo dell’utente quando visita un sito web. Ad ogni visita successiva i cookie sono rinviati al sito web che li ha originati (cookie di prime parti) o ad un altro sito che li riconosce (cookie di terze parti). Essi hanno diverse finalità come, per esempio, consentire di navigare efficientemente tra le pagine, ricordare i siti preferiti e, in generale, migliorare l’esperienza di navigazione. I cookie contribuiscono anche a fornire contenuti pubblicitari mirati all’utente sulla base dei suoi interessi. In base alla funzione nonché in base al soggetto che li ha originati. I cookie possono suddividersi in cookie tecnici, cookie analitici, cookie di profilazione, cookie di prima parte e cookie di terze parti.
LA DECISIONE DELLA CORTE
L’art. 5 paragrafo 3 della Direttiva 2002/58 (la cosiddetta Direttiva e-privacy, che regola la disciplina sui cookie) prevede esplicitamente che l’archiviazione di informazioni nel dispositivo usato dall’utente sia consentito unicamente a condizione che quest’ultimo abbia “espresso preliminarmente il proprio consenso”; la disposizione non contiene, tuttavia, indicazioni relative al modo in cui tale consenso debba essere espresso.
Sotto tale aspetto, chiarisce la Corte, la norma deve essere letta in combinato disposto con la vecchia Direttiva 95/46 – ora abrogata dal Regolamento UE 2016/679 (il “GDPR”) – la quale definisce il consenso come qualsiasi manifestazione di volontà libera, specifica e informata, attraverso la quale l’interessato accetta che i propri dati personali siano oggetto di trattamento.
Se questi sono i requisiti per aversi un valido consenso – ecco il punto centrale della decisione della Corte – l’installazione di cookies nel dispositivo dell’utente non può essere autorizzata mediante una casella preselezionata dal fornitore del servizio, che l’utente dovrebbe deselezionare al fine di negare il proprio consenso. È necessario, dunque, che il consenso sia manifestato in maniera attiva.
Inoltre, la Corte di Giustizia ha sottolineato che il consenso deve essere specifico, cosicché il fatto che un utente attivi il pulsante di partecipazione ad un gioco a premi non è sufficiente per ritenere che l’utente abbia validamente espresso il proprio consenso all’installazione di cookie.
Tale interpretazione, a giudizio della Corte, si impone in modo particolare con l’entrata in vigore del GDPR.
Infine, la Corte ha stabilito che il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente.
COSA SUCCEDERÀ ADESSO?
A questo punto occorre chiedersi quale effetto produrrà questa sentenza e, soprattutto, se i titolari dei siti internet dovranno in qualche modo modificare le modalità attraverso le quali richiedono il consenso agli utenti al fine dell’utilizzo dei cookies.
Una questione non di poco conto, posto che è prassi diffusa installare cookie con modalità che potrebbero porsi in contrasto con i principi sanciti nella sentenza in commento. Il consenso, infatti, è spesso acquisito attraverso il cosiddetto “scrolling” della pagina o cliccando su una qualsiasi sezione del sito.
Prassi fino ad adesso ritenuta pienamente valida e avvalorata dal provvedimento del Garante per la Protezione dei Dati Personali sui cookie dell’8 maggio del 2014. È proprio il Garante ad affermare che il banner, visibile al primo accesso al sito web e contenente l’informativa breve sui cookie, deve contenere l’indicazione che “la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.”
Alla luce della pronuncia in commento, sussistono forti dubbi che tali modalità possano ritenersi ancora adeguate.
E adesso? La soluzione più prudente, in attesa di una presa di posizione del Garante, è quella di modificare il banner prevedendo un’apposita casella per l’accettazione o il diniego all’installazione del cookie. Naturalmente tali nuove modalità potranno avere un impatto sulla user experience dell’utente e sul numero di consensi acquisiti all’installazione di quei cookie per i quali è richiesta l’accettazione dell’utente (analitici di terza parte, profilazione di prima e terza parte).
Prima di concludere, va osservato che la sentenza arriva in un momento in cui è ancora in corso di finalizzazione il testo del nuovo Regolamento e-privacy, che andrà a sostituire la normativa attualmente in vigore in materia. E’ comunque estremamente probabile che i principi sanciti dalla Corte di Giustizia vengano recepiti dal legislatore europeo.
Avv. Pasquale Distefano – Ughi e Nunziante Studio Legale
Ti sei adeguato al GDPR?
ANES ha redatto, in collaborazione con i legali dello Ughi e Nunziante Studio Legale, una Guida che spiega in modo semplice i principi chiave introdotti dalla nuova direttiva sul diritto d’autore nel mercato digitale e indica i passaggi operativi che dovrebbero essere seguiti da ciascuna organizzazione ai fini dell’adeguamento al GDRP.
