QUANDO È VALIDO IL CONSENSO COOKIE?

Le precisazioni della Corte di Giustizia Europea.

Quando è valido il consenso cookie

Con la sentenza n. 673 del 1° ottobre 2019, la Corte di Giustizia Europea – Grande Sezione, a definizione del procedimento iscritto al n. C – 673/17, ha precisato alcuni obblighi in capo al titolare di un sito web in ordine all’acquisizione del consenso dell’interessato all’installazione di cookies sul proprio dispositivo.

1. IL CASO DECISO DALLA CORTE DI GIUSTIZIA UE

La vicenda trae origine da un procedimento incardinato avanti all’Autorità Giudiziaria tedesca nel corso del quale la Federazione delle organizzazioni ed associazioni di consumatori contestava l’utilizzo da parte di una società tedesca, la Planet49 GmbH, di una casella di spunta preselezionata mediante la quale gli utenti di Internet che intendevano partecipare ad un gioco a premi online manifestavano il loro accordo all’installazione di cookie.

2. LE QUESTIONI SOTTOPOSTE ALLA CORTE

Le questioni pregiudiziali sottoposte al vaglio della Corte erano le seguenti:

  • Il consenso all’installazione di cookies può essere validamente prestato tramite la previsione di una casella preselezionata che l’utente deve deselezionare per negare il proprio accordo?
  • Tale meccanismo subisce delle deroghe nel caso in cui le informazioni archiviate o consultate attraverso i cookies consistano in dati personali?
  • Tra le informazioni che garantiscono all’utente un consenso valido vi devono essere anche la durata della funzione dei cookies ed il fatto che terzi possano avere accesso ai cookies medesimi?

La risposta fornita dalla Corte di Giustizia ha preso le mosse dall’interpretazione della normativa UE concernente la disciplina del trattamento dei dati personali e della tutela della vita privata nel settore delle comunicazioni contenuta della Direttiva 2002/58/CE.

3. IL CONSENSO COME CONDOTTA ATTIVA DEL’UTENTE

in primo luogo la Corte evidenzia che la Direttiva 2002/58/CE prevede che il consenso debba essere espresso dall’utente preliminarmente all’installazione e alla consultazione di cookie. Tuttavia la normativa non individua né specifica le modalità in cui tale consenso deve essere manifestato.

Per far fronte a questa lacuna la Corte richiama il concetto di “consenso della persona informata” cristallizzato dalla citata direttiva, che viene definito come “qualsiasi manifestazione della volontà della persona”.

Ebbene ad avviso della Corte il requisito della “manifestazione” della volontà evoca chiaramente un comportamento attivo e non uno meramente passivo.

Tale interpretazione risulta altresì confortata dalle previsioni normative contenute sia nella Direttiva 95/46/CE, in tema di tutela delle persone fisiche in ordine al trattamento dei dati personali, sia  nel Regolamento UE 2016/679 che, a decorrere dal 25 maggio 2018, ha abrogato e sostituito la direttiva.

La Corte di Giustizia rileva, invero, come la Direttiva del 1996 abbia previsto che il consenso della persona interessata deve essere manifestato “in maniera inequivocabile”; tale previsione richiede necessariamente un comportamento attivo da parte dell’utente.

Calando il ragionamento nel caso in esame la Corte evidenzia come risulti “praticamente impossibile determinare in modo oggettivo se, non deselezionando una casella preselezionata, l’utente di un sito Internet abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale consenso sia stato manifestato in modo informato.

Tale modalità di manifestazione del consenso, dunque, non rispecchia le previsioni normative dell’Unione Europea.

4. NON SONO VALIDE LE CASELLE PRE-SELEZIONATE

A ciò si aggiunga che, oggi, il Regolamento (UE) 2016/679 pone un punto fermo sulla tematica laddove riconosce la possibilità di esprimere il consenso dell’interessato attraverso la selezione di un’apposita casella in un sito web, escludendo, tuttavia, che “il silenzio, l’inattività o la preselezione di caselle” configurino consenso.

La Corte, dunque, in risposta al primo quesito afferma che il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il consenso.

Esempio di caselle pre-selezionate non conformi ai nuovi standard del GDPR, anche alla luce della sentenza riportata.

In relazione alla seconda questione la Corte sancisce che è irrilevante il fatto che le informazioni archiviate o consultate costituiscano o meno dati personali poiché il diritto dell’Unione Europea mira a tutelare l’utente da qualsiasi ingerenza nella sua vita privata, ed in particolare dal rischio che identificatori occulti o altri dispositivi analoghi si introducano nell’apparecchiatura terminale dell’utente a sua insaputa.

Da ultimo si precisa che affinché si possa parlare di consenso informato è necessario che tra le informazioni che il fornitore di servizi deve comunicare all’utente vi siano anche il periodo di attività dei cookie e la possibilità o meno per i terzi di avere accesso ad essi.

Alla luce della pronuncia in commento si deve necessariamente concludere che la pratica – frequentemente adottata – di richiedere il consenso agli utenti all’utilizzo dei cookie mediante la predisposizione di caselle di spunta preselezionate è da intendersi, oggi, definitivamente vietata.