Dalla CGUE indicazioni più rigorose sull’uso dei cookies
Con la Sentenza del 1° ottobre 2019 resa nella causa C‑673/17 la CGUE ha fornito due importanti indicazioni interpretative in materia di impiego dei cookies.
In particolare, le questioni di cui la Corte era stata investita dal giudice del rinvio avevano ad oggetto: 1) la validità o meno del consenso dell’utente all’archiviazione di sue informazioni o all’accesso a sue informazioni già archiviate, mediante cookie, da parte del gestore di un utente di un sito Internet, laddove tale consenso non sia stato acquisito attraverso la selezione di un’apposita casella; 2) il rientrare o meno delle informazioni circa il periodo di attività dei cookie e della possibilità per i terzi di avervi accesso tra i dati che il fornitore di servizi deve comunicare all’utente di un sito Internet.
In entrambi i casi, i dubbi sono stati sciolti aderendo a una lettura del dato normativo di estrema tutela dell’interessato.
In particolare, per quanto riguarda la necessità di selezionare un’apposita casella per esprimere consenso all’installazione dei cookies sul proprio terminale, sebbene la vigente Direttiva UE e-privacy (n. 2002/58) richieda il carattere preliminare della scelta, ma non rechi indicazioni relative al modo in cui tale consenso debba essere espresso, a parere della Corte è possibile un’interpretazione delle disposizioni tale per cui un’azione dell’utente sia necessaria per esprimere il suo consenso (dal considerando 17 della Direttiva 2002/58 emerge che il consenso dell’utente può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, in particolare, attraverso la «selezione di un’apposita casella nel caso di un sito Internet»). Interpretazione, questa, che la Corte ritiene ancor più fondata alla luce della Direttiva Privacy 95/46 e, a fortiori, alla luce del GDPR (Regolamento UE 2016/679) che richiede, ai fini del consenso, una dichiarazione o un’azione positiva inequivocabile.
Relativamente alla seconda questione, e cioè se tra le informazioni che il fornitore di servizi deve comunicare all’utente di un sito Internet rientrino il periodo di attività dei cookie e la possibilità o meno per i terzi di avervi accesso, la risposta è ancora una volta affermativa, facendo perno su due punti essenziali: il primo, dato dal fatto che l’articolo 5, paragrafo 3, della Direttiva 2002/58 esige l’informazione chiara e completa dell’interessato sugli scopi del trattamento quale dato preliminare all’acquisizione del consenso; il secondo, rappresentato dalla nozione di “trattamento leale” dei dati della persona interessata, che presuppone, specie in presenza di un lungo periodo di attività dei cookies, o addirittura di un periodo illimitato, con conseguente raccolta di numerose informazioni su abitudini di navigazione e frequenza delle eventuali visite dell’utente ai siti dei partner pubblicitari del sito, che l’interessato ne sia reso preventivamente edotto, come peraltro esige il GDPR laddove stabilisce (articolo 13, paragrafo 2, lettera a) che il titolare del trattamento debba fornire all’interessato, per garantire un trattamento corretto e trasparente, informazioni relative, in particolare, al periodo di conservazione dei dati personali oppure, se ciò non è possibile, ai criteri utilizzati per determinare tale periodo. Quindi, il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie, rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente di un sito Internet.
Il tema dei cookies e della cookie policy conforme a GDPR verrà esaminato, unitamente a molte altre tematiche di grande impatto in materia di data protection, nell’ambito del Forum Privacy di Paradigma in programma il 14 e il 15 ottobre a Milano e il 13 e il 14 novembre a Roma.
Potrebbe interessare anche
Trasferimento dati UE-USA: l’EDPB conclude il primo riesame del framework regolatorio
12 Novembre 2024