Siti Internet: il problema della gestione dei cookie attraverso recenti provvedimenti europei

I cookie sono piccoli file di testo che vengono inviati al browser durante la navigazione sul web e sono fonte di preoccupazione per molti utenti, ma anche per molti proprietari di siti internet in quanto la loro non corretta “gestione” può comportare sanzioni sgradevoli e non è sempre facile individuarne i corretti adempimenti.

La materia è stata disciplinata dalla direttiva comunitaria 2009/136/CE che ha modificato la direttiva 2002/58/CE (E-Privacy), imponendo al gestore del sito web di informare l'utente del fatto che fa uso dei cookie sul sito, e in determinati casi a ottenere il consenso preventivo all'uso degli stessi.

La direttiva europea del 2009 si limitava a creare un quadro normativo all'interno del quale erano, eventualmente, i singoli Garanti nazionali a definire una regolamentazione di dettaglio. La normativa in materia di cookie, di cui alle direttive europee, è stata recepita in Italia con la nuova formulazione dell'art. 122 D. Lgs 196/2003 ad oggi ancora in vigore in quanto il Regolamento ePrivacy che dovrebbe sostituire la Direttiva 2009/136/CE è in fase di approvazione. Nel frattempo, tuttavia, il nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR) 2016/679 non può dirsi del tutto estraneo alla materia, vista anche l’inclusione dei Cookie all’applicazione del GDPR nel Considerando 30.

Si ricorda, poi che il rapporto tra GDPR e Regolamento ePrivacy è già stato esaminato dall’European Data Protection Board (si veda articolo “Il digital marketing tra la disciplina del GDPR e la "normativa ePrivacy") ma il tema dei cookie resta di grande interesse, come dimostrato dai Provvedimenti emanati di recente.

Si riportano di seguito alcuni interessanti Provvedimenti di Autorità e Corti Europee che hanno trattato la tematica fornendo utili suggerimenti.

Il 7 marzo 2019, l’Autorità di controllo per la protezione dei dati personali olandese ha emesso una guida sull’utilizzo dei cookie nei siti web. La guida in questione ha ritenuto illegittimo l’impiego dei cosiddetti “cookie wall”, cioè di quei banner che informano l’utente dell’utilizzo dei cookie che consentono di accedere al contenuto del sito solo a seguito dell’accettazione degli stessi.

L’unico modo che hanno i fruitori del sito stesso per accedere ai contenuti della pagina web è quello di accettare i cookie in questione.

L’Autorità olandese ha motivato la propria posizione ritenendo che il cookie wall non permette di ottenere validamente il consenso degli utenti. Infatti, ai sensi dell’articolo 4, n. 11) del Regolamento (UE) 2016/679, il consenso dell’interessato si definisce come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Secondo l’Autorità i problema è il requisito della “libertà del consenso”, che sarebbe pregiudicato nel caso in cui all’interessato non fosse data la possibilità di rifiutare l’installazione dei cookie, in particolare quelli di profilazione, quantomeno senza incorrere in conseguenze negative, quali l’impossibilità di utilizzare il sito.

In altri termini: il gestore del sito, nel proporre il banner, deve effettuare una distinzione tra i cookie tecnici e quelli di profilazione, dando la possibilità di accedere ai contenuti anche a coloro che dovessero rifiutare i secondi.

La posizione del Garante Olandese, peraltro è in linea con l’approccio già adottato dall’Autorità per la protezione dei dati personali austriaca (decisione del 30 novembre 2018) dove è stata sanzionata la modalità di acquisizione del consenso al "cookie di marketing” che non era realmente volontario in conformità con i principi del GDPR.

In materia di cookie un'altra interessante sentenza è stata emessa dal Consiglio di Stato francese il 6 giugno 2018.

Nel caso specifico il CNIL, cioè l’Autorità Garante francese, aveva imposto alla società Editions Croque Future di rispettare le norme in materia di protezione dei dati personali nell’utilizzo di cookie. La società in questione, infatti, depositava i cookie sui terminali degli utenti senza informarli preventivamente. La suddetta società impugna il provvedimento del Garante, ma il Consiglio di Stato da ragione al Garante francese.

In particolare, il Consiglio di Stato conferma che i cookie che hanno finalità pubblicitaria non possono essere ritenuti “strettamente necessari”, e quindi sono soggetti a consenso preventivo. Anche se tali cookie sono necessari per la redditività economica del sito, nel senso che il sito dipende letteralmente dai guadagni pubblicitari per mantenersi, i cookie in questione devono comunque essere preventivamente autorizzati dagli utenti, consentendo loro anche di esercitare il diritto di opposizione. In tal senso la base giuridica per i cookie pubblicitari può essere solo il consenso dell’utente e non l’interesse legittimo.

Si segnala un interessante elemento trattato dal Consiglio francese: la problematica dei cookie di terze parti. In particolare il Consiglio evidenzia che l’“editore” di un sito (cioè il gestore materiale) è comunque “responsabile” (nel senso che ne risponde) dei cookie anche se questi sono di “terze parti” (es. Facebook), in quanto ne autorizza il trattamento. In tal senso è “titolare” (controller) del trattamento, anche se le finalità dei cookie sono effettivamente stabilite dalla terza parte.

In tal senso il titolare del trattamento, cioè il gestore del sito, deve anche garantire i tempi di conservazione del cookie, che devono essere proporzionati alla finalità, e quindi fissati dal CNIL in un massimo di 13 mesi.

Si segnalano, infine, due casi in attesa del giudizio della Corte di Giustizia.

Il prima relativo alla Causa Fashion ID (C-40/17) riguardante una società La Fashion ID GmbH & Co. KG che commercializza articoli di moda online. Essa ha inserito un plugin nel suo sito Internet: il pulsante «Like» di Facebook. Di conseguenza, quando un utente entra nel sito Internet della Fashion ID, le informazioni relative all’indirizzo IP e alla stringa del browser di tale utente sono trasferite a Facebook. Detto trasferimento avviene automaticamente quando si apre il sito Internet della Fashion ID, indipendentemente dal fatto che l’utente abbia cliccato o meno il pulsante «Like» e abbia o meno un account Facebook.

L’associazione tedesca per la tutela dei consumatori riteneva che l’uso di tale plugin comporta la violazione della normativa sulla protezione dei dati. Il Caso arriva davanti al Tribunale tedesco che richiede alla Corte di Giustizia chiarimenti sull’interpretazione di varie disposizioni della direttiva 95/46/CE. Tra le questioni poste riguardanti il trattamento dati, alcune riguardano il dovere di Fashion ID di informare e raccogliere il consenso dagli interessati.

Il secondo Giudizio atteso dalla Corte di Giustizia (C- 673/2017) ha origine da caso pendente davanti alla Corte federale di giustizia tedesca che riguarda un gioco a premi organizzato dalla “Planet49”, il cui sito richiedeva agli utenti il consenso installazione di cookie mediante una casella di spunta preselezionata. In sostanza viene richiesto alla Corte di chiarire se, alla luce del diritto Ue, il consenso all’istallazione di cookie possa essere validamente ottenuto nei modi sopra descritti, e quali informazioni debbano essere fornite all’utente riguardo all’uso dei cookie affinché si possa ritenere che il consenso espresso sia “informato”. Particolarmente interessante di tale ultimo caso è che nelle Conclusioni dell’Avvocato Generali viene interpretato il caso alla luce non solo da Direttiva 95/46/CE, ma anche del Regolamento 2016/679.