Giro di vite della Corte UE al consenso prestato relativamente all’utilizzo dei cookie, con la Sentenza del 1° ottobre 2019, la CGUE ha fornito importanti indicazioni sull’utilizzo dei cookies per i gestori di siti internet, vietando la possibilità di richiedere agli utenti il consenso all'uso dei cookie attraverso caselle di spunta preselezionate.
Ad oggi, infatti, non è da considerarsi valido un consenso fornito mediante una dichiarazione preformulata, ossia tramite il “pre Flag” delle caselle di accettazione dei cookie.
La Corte ha stabilito che non deve essere richiesto all’utente di opporsi tramite un’azione o un comportamento attivo qualora decida di non acconsentire al trattamento dei dati.
È stata, invero, contesta l’efficacia del consenso così prestato dato che risulterebbe “praticamente impossibile determinare in modo oggettivo se, non deselezionando una casella preselezionata, l’utente di un sito Internet abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale consenso sia stato manifestato in modo informato”. Pertanto, non è da considerarsi validamente espresso il consenso all’utilizzo di cookie mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso. A tale riguardo, è ininfluente che le informazioni archiviate o consultate tramite i cookie costituiscano o meno dati personali. Ciò implica che siano da considerarsi non conformi anche i consensi impliciti (come i consensi derivati da un uso del servizio). Tale pratica è stata finora effettuata facendo ricorso ad un’interpretazione meno restrittiva della direttiva 2002/58, in cui si richiedeva solamente il consenso espresso, ma senza prevedere come lo stesso dovesse essere fornito.
È, inoltre, importante sottolineare come la Corte ha colto l’occasione per ricordare che, per il pieno rispetto del GDPR (Regolamento UE 2016/679), ogni utente debba essere informato anche sulla persistenza dei cookie, nonché sul fatto che altri soggetti terzi possano avere accesso ai cookie e ai dati raccolti.
Il medesimo orientamento della Corte Europea è seguito dalle Autorità Garanti Europee, a riprova di ciò, pochi giorni dopo la decisione dalla Corte di giustizia dell’Unione europea sui requisiti di consenso per l’uso dei cookie, l’autorità spagnola per la protezione dei dati ha sanzionato la famosa compagnia aerea Vueling Airlines per non aver raccolto correttamente il consenso sui cookie conformemente ai requisiti previsti dal GDPR.
La violazione ha portato l’Autorità spagnola a comminare una sanzione per 30.000 euro, successivamente rimodulata a 18.000 euro, per il pagamento in una unica soluzione e senza contestazioni da parte della compagnia aerea.
Queste pronunce fungono da linee guida in attesa del c.d. regolamento ePrivacy, che fungerà da complemento al Gdpr e andrà a sostituire la direttiva 2002/58 sulle comunicazioni elettroniche. In cui ricordiamo che tra le proposte presenti nel regolamento è stata paventata la possibilità di un controllo centralizzato dei cookie direttamente dal browser.
Occorre pertanto che i gestori di siti internet prestino da oggi una attenzione maggiore alla gestione dei cookie e dei relativi consensi, al fine di evitare importanti sanzioni, che possono comprendere il blocco dei dati trattati e/o sanzioni di natura economica anche di rilevante entità.
Cookie cosa serve sapere ora:
- È necessario che i cookie di profilazione e marketing non vengano installati in automatico;
- L’informativa cookie dovrà essere messa a disposizione dell’utente nel pieno rispetto del regolamento europeo;
- Deve essere possibile all’utente la possibilità di rifiutare i cookie;
- Le impostazioni del browser che indicano un’opt-out possono essere utilizzate per completare la gestione del rifiuto dei singoli cookie, ma non sono sostitutive.
- Nel banner dovrà essere presente una funzione che consente l’accettazione dei cookie o la gestione dei singoli cookie.
- Non è più legittimo il consenso tramite “scroll” del sito