Le regole per la raccolta del consenso all’installazione di cookie o di software analoghi su device dell’utente sono state definite in Italia da un Provvedimento Generale del 2014 dell’Autorità Garante per la Protezione dei Dati Personali. Le recenti linee guida in materia di consenso dello European Data Protection Board (“EDPB”), seguite al Gdpr, alla sentenza della Corte di Giustizia dell’Unione Europea sul caso Planet49 e a vari interventi dei Garanti europei, rendono non più praticabile la raccolta dei consensi all’installazione dei cookie e di strumenti analoghi attraverso lo scrolling di una pagina web o l’interazione con link ed altri elementi del sito. Vediamo le implicazioni e le questioni che restano ancora aperte in tema di interesse legittimo delle aziende nell’uso di cookie per scopi diversi dal marketing online.
Il Provvedimento Generale del 2014 alla luce del GDPR
Le modalità di ottemperanza agli obblighi informativi e di raccolta del consenso dettate dalla Direttiva 2002/58/CE e dall’art. 122 del D.Lgs. n. 196/2003 prevedevano che il banner cookie, ossia un’informativa di primo livello, contenesse “le seguenti informazioni:
- che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;
- che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);
- il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;
- l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;
- l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.
Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l’informativa, seppur breve, deve essere parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso)”.
In altre parole, l’Autorità Garante per la Protezione dei Dati Personali consentiva ai titolari italiani di raccogliere il consenso all’utilizzo dei cookie con modalità “semplificate”, ritenendo valida ai fini del conferimento del consenso al trattamento la semplice attività costituita dalla prosecuzione della navigazione del sito web.
Parimenti, non era necessario garantire all’interessato la facoltà di revocare il consenso con la stessa facilità con cui questo era fornito: a fronte di una raccolta mediante lo scorrimento della pagina o il clic su un link, per il rifiuto e/o la revoca del consenso si prescriveva che all’interno dell’informativa estesa (raggiungibile tramite link presente nel banner o in calce ad ogni pagina del sito web) “deve essere richiamata la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni. Qualora, poi, le tecnologie utilizzate dal sito siano compatibili con la versione del browser utilizzata dall’utente, l’editore potrà predisporre un collegamento diretto con la sezione del browser dedicata alle impostazioni stesse”.
La definitiva applicazione del Regolamento 679/2016, meglio noto come GDPR, il 25 maggio 2018, ha cominciato a far vacillare la validità del Provvedimento Generale del 2014 sollevando criticità riconducibili a due diversi profili:
- come deve essere raccolto il consenso ai cookie? È ancora possibile raccogliere il consenso mediante lo scroll della pagina o un click ad altri elementi del sito web?
- è ancora necessario fondare il trattamento sul consenso o è possibile individuare una diversa base giuridica?
Il consenso all’utilizzo dei cookie e il comportamento attivo e inequivocabile dell’utente
Con riferimento alla prima domanda, il primo segno di cedimento si ha quando il 21 marzo 2018 l’Avvocato Generale presso la Corte di Giustizia dell’Unione Europea (“CGUE”) Maciej Szpunar deposita le proprie conclusioni in merito alla causa C-673/17 Planet49 GmbH c. Bundesverband: alla luce del GDPR, della Direttiva e-privacy e, in generale, dal complesso delle disposizioni vigenti in materia di protezione dei dati personali, il consenso all’utilizzo dei cookie può essere associato alla navigazione dell’utente solo quando necessario e indispensabile per la fruizione dei contenuti del sito web.
A ciò si aggiunga, nell’opinione dell’Avvocato Generale, che gli utenti di un sito web:
- devono essere informati in modo chiaro circa la finalità dei cookie che si intende installare, la durata del trattamento che ne deriva e l’identità di eventuali terzi a cui sono comunicati i dati personali;
- devono fornire il proprio consenso nel rispetto dei requisiti sanciti dal GDPR (art. 4, par. 1, n. 11 e art. 7), ossia consensi specifici per ciascun trattamento ed inequivocabili (non ritenendo adeguata la previsione di caselle preselezionate).
Le parole di Maciej Szpunar arrivano quasi come un fulmine a ciel sereno ma sono ben presto recepite a livello locale tanto che il successivo 3 luglio 2019 l’Autorità di controllo inglese aggiorna le proprie linee guida in materia di cookie sancendo che “l’installazione di un cookie non essenziale senza che l’utente compia un’azione positiva precedente all’installazione sul device, non costituisce un consenso valido. In questo modo, si nega all’utente la possibilità di scegliere”.
Non sorprende quindi se pochi mesi dopo la Corte di Giustizia dell’Unione Europea accolga e faccia proprie nella sentenza dell’1 ottobre 2019 le parole dell’Avvocato Generale affermando inoltre, con un netto rinvio anche al Considerando n. 32 del GDPR, che il consenso “non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”.
Proprio tale ultima osservazione porta, a pochi giorni dalla sentenza che decide la causa C-673/17 Planet49 GmbH c. Bundesverband, alla prima sanzione pecuniaria in materia: infatti, il 21 ottobre 2019, al termine del Procedimento n. PS/00300/2019, l’Autorità di controllo spagnola condanna Vueling al pagamento di una sanzione amministrativa pari a 30.000 euro contestando l’assenza di interfaccia che rendesse possibile agli utenti un consenso, nonché l’eventuale successiva revoca dello stesso, in maniera specifica e granulare.
Il progetto di linee guida dello CNIL
La prima autorità ad avvertire il vuoto creato dalla sentenza della Corte di Giustizia dell’Unione Europea è l’Autorità di controllo francese (“CNIL”) che, infatti, il 14 gennaio 2020 pubblica la propria Proposta di raccomandazione sulle modalità pratiche di raccolta dei consensi all’utilizzo di cookie ed altri sistemi di tracciamento.
Il documento, in parte riferito al solo ordinamento francese in cui la materia è anche disciplinata dall’art. 82 del French Data Protection Act, è a più di un anno di distanza il miglior punto di riferimento per l’implementazione di adeguati strumenti di gestione dei cookie e dei consensi.
In tal senso, l’indicazione di maggior impatto concerne la possibilità di estendere l’ambito di applicazione di un consenso raccolto su uno specifico sito web o app mobile ad altri siti web ed applicazioni dello stesso titolare del trattamento a condizione che l’interessato venga informato dell’elenco dettagliato dei siti web su cui produrrà effetti la sua scelta.
Inoltre, le best practice delineate dallo CNIL richiedono:
- la previsione di caselle e checkbox per la richiesta dei consensi all’installazione dei cookie;
- per ogni diversa finalità (es. tracking, profilazione, geolocalizzazione, etc.) deve essere previsto uno specifico consenso e dunque una checkbox;
- le checkbox non devono essere preselezionate.
mentre ammettono e suggeriscono:
- l’implementazione di soluzioni che consentano all’utente una scelta più rapida (es. due distinti pulsanti per accettare e rifiutare tutti i cookie) purché queste si aggiungano – e non sostituiscano – alla facoltà dell’utente di indicare nel dettaglio le proprie scelte;
- l’implementazione di una soluzione che permetta all’utente di non effettuare alcuna scelta (es. la possibilità di chiudere il banner mediante una apposta “x”).
A ciò si aggiunge inoltre la necessità, in linea con l’art. 24 del GDPR, di adottare sistemi che consentano di tenere traccia e fornire le evidenze della raccolta dei consensi ad esempio tramite marche temporali in grado di rappresentare l’ambito in cui il consenso è stato richiesto, la risposta dell’utente e la singola finalità acconsentita.
Le linee guida del DPC ed i cookie analitici
Lo scorso 6 aprile anche l’Autorità di controllo irlandese (“DPC”) ha pubblicato le proprie linee guida sui cookie e sulle altre tecnologie di tracciamento nelle quali, per grandi tratti, riprende temi già affrontati dalla Corte di Giustizia dell’Unione Europea, dall’ICO e dallo CNIL.
Le linee guida irlandesi sono però interessanti perché chiariscono il tema dei cookie analitici e della necessità di un consenso alla loro installazione, nel momento in cui il Provvedimento Generale del 2014 sembrava accomunarli ai cookie tecnici.
Infatti, secondo la Data Protection Commission, gli strumenti di analytics, utilizzati come strumento di misurazione per i siti web in grado di fornire informazioni sul numero di visitatori unici e sulle pagine navigate in occasione delle diverse visite necessitano di un consenso espresso dell’utente.
Tuttavia, la stessa autorità riconosce che i trattamenti di dati derivanti dall’utilizzo di cookie analitici di prima parte, di cui sia data completa e chiara informativa sul trattamento ed ove sia implementata un’interfaccia di opt-out user friendly, non saranno considerati prioritari nelle attività ispettive (dell’Autorità irlandese) perché deve ritenersi escluso che da tali trattamenti possa derivare un rischio per gli interessati.
Le linee guida dell’EDPB
Infine, anche lo European Data Protection Board ha fornito ulteriori chiarimenti con le Linee Guida sul Consenso dello scorso 4 maggio, rilevando che:
- sulla base del citato Considerando n. 32 al GDPR, le attività di scrolling o navigazione del sito web non costituiscono un valido consenso all’installazione dei cookie in quanto impediscono di determinare se l’intenzione dell’utente sia quella di fornire il consenso o, piuttosto, quella di continuare a navigare ed interagire con il sito web. In tal senso, il consenso è invalido perché non inequivocabile, ossia non costituito da una condotta attiva dell’utente;
- una raccolta del consenso mediante la prosecuzione della navigazione sembrerebbe impedire, o quanto meno rendere veramente difficoltosa, l’implementazione di sistemi che consentano la revoca del consenso con la stessa facilità con cui lo ha fornito;
- parimenti invalidi sono anche i consensi all’installazione di cookie raccolti mediante caselle e checkbox preselezionate ovvero tramite i cosiddetti cookie wall, ossia banner che impediscono la fruizione di contenuti e funzionalità del sito a meno che l’utente non acconsenta all’installazione dei cookie.
La necessità di un consenso e la tentazione dell’interesse legittimo del titolare
Come anticipato in premessa, una seconda criticità riguarda la possibilità di individuare basi giuridiche diverse dal consenso per l’installazione di cookie, tecnologie di tracciamento ed altri software analoghi sui device degli interessati.
Infatti, nell’intervallo di tempo che intercorre fra il deposito delle conclusioni dell’Avvocato Generale in merito alla causa C-673/17 Planet49 GmbH c. Bundesverband (21 marzo 2018) e la sentenza che definisce la causa (1 ottobre 2019), la stessa Corte di Giustizia dell’Unione Europea si pronuncia il 29 luglio 2019 sulla causa C-40/17 Fashion ID GmbH & Co. KG c. Verbraucherzentrale NRW eV aprendo la strada ad una soluzione alternativa all’opt-in.
La pronuncia, che verte sull’implementazione su un sito web del plug-in “mi piace” di Facebook, evidenzia come il trattamento che ne consegue – ossia la comunicazione di dati personali a Facebook per attività di profilazione – possa fondarsi su un interesse legittimo laddove entrambi i soggetti coinvolti (titolare del sito web e fornitore del plug-in o del cookie che effettua il trattamento di analisi o profilazione) “perseguano ciascuno, con le operazioni di trattamento succitate, un interesse legittimo al fine di poter addurre una giustificazione per dette operazioni”.
Questa diversa soluzione, tendenzialmente applicabile anche ai cookie, che consentirebbe di derogare all’obbligo di consenso mantenendo quindi un’interfaccia impostata sull’opt-out purché il titolare e/o i titolari siano in grado di giustificare e formalizzare un proprio interesse legittimo prevalente è confluita anche nei lavori preparatori al cosiddetto Regolamento ePrivacy di – si spera – prossima adozione: all’interno di una delle più recenti bozze del testo era infatti rappresentata la facoltà per il titolare del trattamento di effettuare attività di trattamento dei dati personali mediante l’utilizzo di cookie sulla base di un proprio legittimo interesse formalizzato nell’ambito di una valutazione di impatto ai sensi dell’art. 35 GDPR.
Tuttavia, nell’attesa di conoscere quale sarà il testo finale adottato dal legislatore europeo, l’EPDB ha colto l’occasione fornita dall’adozione delle linee guida sul consenso per ribadire la propria posizione: come già espresso nell’ambito dello Statement on ePrivacy del 25 maggio 2018 e dello Statement 3/2019 on an ePrivacy regulation, l’aggiornamento della disciplina ePrivacy deve necessariamente statuire la necessità di un consenso “per la maggior parte delle attività di marketing online, telefonate commerciali, tracking online mediante cookie, app ed altri software”.
La netta presa di posizione da parte dell’EDPB certifica come l’interesse legittimo non sia solo una tentazione dei più incoscienti interpreti, quanto piuttosto una vera e propria idea in seno al nostro legislatore. Sperando ovviamente di non dover attendere tutta la vita per leggere il Regolamento ePrivacy nella Gazzetta Ufficiale.
Conclusioni
Alla luce di quanto precede, non sembrano esserci elementi per considerare ancora applicabile quanto dettato dall’Autorità Garante per la Protezione dei Dati Personali con il Provvedimento generale del 2014 e quindi è da escludersi che la raccolta dei consensi all’installazione dei cookie e di strumenti analoghi possa avvenire attraverso lo scrolling di una pagina web o l’interazione con link ed altri elementi del sito. Al contrario, occorre prevedere modalità di raccolta in grado di i) dimostrare l’inequivocabile volontà dell’utente di acconsentire al trattamento e ii) consentire all’utente stesso una revoca del consenso con la stessa facilità e modalità del suo conferimento.
Dall’altra parte, le stesse Linee Guida sul consenso sembrano escludere l’interesse legittimo del titolare del trattamento quale base giuridica per l’utilizzo di cookie nonostante le citate considerazioni dell’Autorità irlandese.
Ma resta una domanda ancora senza risposta: l’EDPB, come visto, limita la necessità di un consenso a “la maggior parte delle attività di marketing online”. Significa quindi che le aziende possono oggi (o potranno alla luce del Regolamento ePrivacy) giustificare con un proprio interesse legittimo l’utilizzo di cookie per scopi diversi dal marketing online (es. per attività statistiche aggregate svolte con cookie analitici di prima parte, in quanto trattamenti che, come sostenuto dal DPC, non presentano rischi per interessati)?
