È da considerarsi definitivamente vietata la pratica, oggi spesso utilizzata da svariati siti internet, di richiedere il consenso degli utenti – all’utilizzo dei cookie, ma non solo – mediante caselle di spunta preselezionate.
Lo stop definitivo arriva da un’attesa sentenza della Corte di Giustizia europea sul caso Planet49, che ha di fatto seguito il parere espresso qualche mese fa dall’Avvocato generale della Corte Maciej Szpunar.
Il consenso all’utilizzo di cookie
Il consenso dell’interessato è solo una delle basi giuridiche che autorizzano il trattamento dei dati personali. Di fatto, però, è quella più utilizzata su internet. Nonostante ciò, i requisiti da soddisfare perché il consenso venga ritenuto valido sono da tempo circondati da un alone di incertezza.
Ad esempio: il consenso può essere tacito o presunto? Quali e quante informazioni è necessario fornire all’interessato affinché il consenso si possa considerare “informato”?
Queste sono alcune delle domande a cui la Corte di giustizia europea è stata chiamata a dare risposte nel caso Planet49, in particolare per quanto riguarda il consenso all’uso dei cookie.
Il consenso nel GDPR e nella Direttiva ePrivacy
La normativa Ue previgente al GDPR (ovvero, la Direttiva 95/46/CE) prevedeva che l’interessato dovesse esprimere il proprio consenso al trattamento dei propri dati tramite una “manifestazione di volontà libera, specifica e informata”. Tuttavia, tali requisiti venivano interpretati in maniera differente nei diversi Stati membri. Ad esempio, mentre in alcuni Stati vigeva l’obbligo generale del consenso scritto, altri Stati ammettevano il consenso tacito o presunto.
A questo proposito, uno degli obbiettivi del GDPR è proprio quello di rafforzare e rendere più chiare le norme sul consenso. A tal fine, la definizione di “consenso” attualmente fornita dall’articolo 4(11) del GDPR specifica che, oltre a dover essere libero, specifico ed informato, il consenso debba tradursi in una manifestazione di volontà “inequivocabile” dell’interessato, con la quale lo stesso manifesta il proprio assenso a che i dati personali che lo riguardano siano oggetto di trattamento.
Tale definizione di consenso ̶ ed i relativi requisiti ̶ si applicano anche ai fini della Direttiva ePrivacy 2002/58/CE, ovvero la Direttiva che fissa l’obbligo di ottenere il consenso dell’utente all’istallazione ed uso di cookie, ossia di quegli strumenti utilizzati dai siti web per memorizzare le azioni o le preferenze degli utenti nel corso del tempo.
Il caso Planet49: consenso all’uso di cookie
Nonostante i requisiti del consenso risultino meglio delineati nel GDPR, è stato recentemente richiesto alla Corte di giustizia europea di chiarire ulteriormente quali siano esattamente i requisiti del consenso, in particolare per quanto riguarda l’installazione di cookie, sia a norma del GDPR che della Direttiva 95/46/CE.
La domanda di pronuncia pregiudiziale in questione trova la sua origine in un caso pendente davanti alla Corte federale di giustizia tedesca (Bundesgerichtshof). Il caso riguarda un gioco a premi organizzato dalla Planet49, il cui sito richiedeva agli utenti il consenso installazione di cookie mediante una casella di spunta preselezionata.
In sostanza, il Bundesgerichtshof ha richiesto alla Corte di giustizia europea di chiarire se, alla luce del diritto Ue, il consenso all’istallazione di cookie possa essere validamente ottenuto nei modi sopra descritti, e quali informazioni debbano essere fornite all’utente riguardo all’uso dei cookie affinché si possa ritenere che il consenso espresso sia “informato”.
La sentenza della Corte Ue
Secondo la Corte Ue, sia a norma della Direttiva 95/46/CE che del GDPR, il consenso dev’essere manifestato in maniera attiva. A tal proposito, non è da considerarsi valido un consenso espresso mediante una dichiarazione preformulata che richieda all’utente di opporsi attivamente qualora non acconsentisse al trattamento dei dati. Sul punto, la Corte sottolinea come risulti “praticamente impossibile determinare in modo oggettivo se, non deselezionando una casella preselezionata, l’utente di un sito Internet abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale consenso sia stato manifestato in modo informato”. Pertanto, non è da considerarsi validamente espresso il consenso all’utilizzo di cookie mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso. A tale riguardo, è ininfluente che le informazioni archiviate o consultate tramite i cookie costituiscano o meno dati personali.
Inoltre, la Corte ritiene che, al momento in cui gli viene richiesto di prestare il proprio consenso all’uso di cookie, l’utente debba essere informato, tra le altre cose, sulla durata dei cookie, nonché sul fatto che taluni terzi abbiano accesso o meno ai cookie stessi.
L’impatto della decisione della Corte Ue
Alla luce della decisione della Corte Ue, la pratica di richiedere il consenso degli utenti – all’utilizzo dei cookie, ma non solo – mediante caselle di spunta preselezionate (una pratica ad oggi abbastanza comune) è da ritenersi definitivamente vietata. Anche i requisiti di informativa relativi all’uso dei cookie ne escono rafforzati. Sarebbe quindi auspicabile che i gestori di siti internet verificassero la compatibilità delle proprie policy sulla raccolta del consento con la decisione della Corte, visto che le autorità garanti della privacy europee saranno tenute a rispettarla.
In aggiunta, è probabile che la decisione della Corte giochi un ruolo importante nell’ambito dei negoziati che si stanno attualmente svolgendo sul testo del nuovo Regolamento ePrivacy (ovvero, quel Regolamento che dovrebbe andare a sostituire la Direttiva ePrivacy), visto che il tema dei cookie è proprio uno di quelli dove si registrano maggiori divergenze di vedute. A questo proposito, è importante notare come i legislatori europei tendano a codificare quanto deciso dalla Corte quando si trovano a legiferare su temi su cui la Corte si è già espressa.
In ultimo, è bene sottolineare come la Corte non si sia espressa sulla compatibilità con il GDPR della pratica di subordinare l’accesso ad un sito internet al consenso dell’utente al trattamento dei propri dati personali tramite cookie. Pertanto, per il momento, la compatibilità dei cosiddetti cookie wall con il GDPR rimane incerta, anche se di recente l’autorità garante olandese si è espressa in senso contrario. Ulteriori chiarimenti sul concetto di consenso “libero” dovrebbero venire dal caso Orange Romania, attualmente pendente di fronte alla Corte Ue.
