Il consenso per l’installazione dei cookie wall: ultimi orientamenti
a cura di Ramona Cavalli
Sommario: 1) Il consenso al trattamento dei dati: requisiti di validità. – 2) La normativa sui Cookie e protezione dei dati personali. – 3) I cookie wall: ultimi orientamenti.
1) Il consenso al trattamento dei dati: requisiti di validità.
La trasparenza e la correttezza nel trattamento dei dati viene garantita già nella fase di progettazione degli stessi, allorquando viene previsto l’obbligo per il titolare del trattamento di fornire agli interessati le informazioni relative alle finalità e alle modalità dei trattamento dei dati forniti (art. 12 GDPR).
L’informativa, quale condizione di legittimità del consenso al trattamento dei dati, deve essere facilmente accessibile e intellegibile per l’interessato (Considerando 39), va resa per iscritto o con altri mezzi, come la posta elettronica, ma se richiesto dall’interessato l’informativa va data in forma orale.
Tuttavia, al fine di consentire alle autorità di vigilanza di verificarne la completezza e correttezza, è consigliabile l’utilizzo di una forma che permetta di provare sia l’esistenza del consenso in conformità al principio di accountability, sia l’esistenza di regole di controllo per la gestione dei rischi mirate a tutelare l’integrità dei dati stessi.
Il GDPR consente la possibilità di pubblicare l’informativa privacy su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea.
Generalmente i siti acquisiscono informazioni, tra cui i dati personale, anche senza la necessità di registrarsi al sito, per cui sarebbe consigliabile pubblicare sempre l’informativa.
Infatti sussiste l’obbligo di fornire l’informativa privacy ogni volta esista una raccolta e il trattamento dei dati (es. indirizzi IP, e-mail) degli utenti, anche nel caso in cui il sito utilizzi cookie tramite i quali raccoglie dati degli utenti, quando il consenso dell’interessato non è richiesto, oppure quando l’interessato è tenuto obbligatoriamente per legge a fornire i dati.
Diversamente occorre solo l’informativa privacy ma non occorre la raccolta del consenso qualora il sito web consenta la registrazione degli utenti, ma i dati vengono usati solo per fini del sito medesimo e non per l’invio di proposte commerciali, profilazioni o attività di marketing.
Conseguentemente occorrerà l’informativa privacy e il consenso espresso con accettazione separata dell’informativa quando il sito permette la registrazione degli utenti e raccoglie dati anche a fini promozionali e pubblicitari, compreso la trasmissione a terzi. Infatti non è ammissibile un consenso tacito o presunto, neppure utilizzando caselle prespuntate su un modulo di raccolta dati, perché il GDPR prevede che il consenso al trattamento dei dati personali è valido solo se è informato, specifico, libero e revocabile (art. 4, punto 11).
In particolare, l’articolo 6, paragrafo 1, lettera a), prescrive che il consenso dell’interessato debba essere espresso in relazione a “una o più specifiche” finalità e che l’interessato debba poter scegliere in relazione a ciascuna di esse garantendogli, in tal modo, un elevato livello di controllo dei propri dati personali e un ampio grado di trasparenza. Conseguentemente il consenso non può essere ritenuto valido qualora l’interessato non disponesse di una scelta effettiva, ma in qualsiasi modo risulti condizionato nell’espressione del suo consenso. Infatti, conformemente al considerando n. 32 del GDPR, l’interessato deve essere libero di scegliere quale finalità accettare anziché dover essere costretto ad acconsentire a tutto l’insieme delle finalità prospettate dal Titolare del trattamento (c.d. consenso granulare).
Sotto il profilo della specificità del consenso, l’art. 5 del GDPR introduce il requisito della trasparenza del trattamento dei dati personali, tale per cui fornire informazioni chiare, trasparenti e semplici agli interessati prima di ottenerne il consenso diventa indispensabile al fine di consentirgli di prendere decisioni consapevoli.
In particolare il Gruppo di lavoro dei 29 (oggi, European Data Protection Board; c.d. EDPB), elaborando le Linee guida sul consenso, ha previsto la possibilità per il Titolare del trattamento di poter fornire due tipologie di informativa: quella estesa e quella minima.
Con la prima l’interessato è informato su tutte le attività di trattamento svolte dal Titolare del trattamento e delle loro finalità, oltre ad essergli comunicati i propri diritti nonché le modalità e i casi in cui tali diritti possono essere esercitati. Inoltre, l’interessato riceve comunicazioni sia della possibilità di essere informato in caso di violazione dei suoi dati personali, sia del fatto che in caso di nomina di un Responsabile della Protezione dei dati può contattarlo per tutte le questioni relative al trattamento dei suoi dati personali e all’esercizio dei suoi diritti.
Con l’informativa minima, invece, il Titolare del trattamento comunica all’interessato il singolo trattamento dei dati personali che intende effettuare e la finalità ad essa connessa cosicché il relativo consenso può definirsi informato e reso per quello specifico trattamento e per la finalità sottesa. Dettagliatamente, l’informativa minima dovrà contenere: l’identità del titolare del trattamento; la finalità di ciascuno dei trattamenti per i quali è richiesto il consenso; la tipologia di dati personali che verranno raccolti ed utilizzati; l’esistenza del diritto di revocare il consenso; le informazioni sull’uso dei dati per un processo decisionale automatizzato ai sensi dell’articolo 22, paragrafo 2, lettera c).
Come emerge dalla lettura combinata degli artt. 12, 13, 15- 22, e 34 del Regolamento, l’informativa dovrà preliminarmente contenere l’indicazione e la specifica delle attività principali svolte dal Titolare del trattamento tale che l’interessato abbia completa contezza e controllo dei trattamenti dei suoi dati effettuati dal Titolare medesimo.
Le attività principali, poi, sono individuabili in tutte quelle operazioni essenziali che sono necessarie al raggiungimento degli obbiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento.
Infine, ai sensi del D.Lgs. n. 101/2018 l’informativa dovrà anche contenere l’indicazione che i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al Titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 qualora dal loro esercizio possano derivare un pregiudizio effettivo e concreto ad una serie di interessi e attività tassativamente elencati in sei punti, tra cui lo svolgimento delle investigazioni difensive o l’esercizio di un diritto in sede giudiziaria e la riservatezza dell’identità del dipendente che segnala ai sensi della legge 179/2017 (c.d. whistleblowing) l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.
Sebbene l’art. 12, paragrafo 1, del Regolamento nell’enunciare il contenuto della informativa non fornisca un elenco tassativo delle informazioni e delle comunicazioni da fornire all’interessato, è necessario precisare che l’informativa estesa andrà completata anche da una chiara comunicazione in ordine al diritto di proporre reclamo all’Autorità di controllo ai sensi dell’articolo 77, perché l’art. 2-undecies indica tra le limitazioni ai diritti dell’interessato proprio quello del reclamo previsto dall’art. 77. Inoltre, la stessa dovrà anche contenere la comunicazione del diritto dell’interessato di ricorrere avanti la giustizia ordinaria nei confronti dell’Autorità di controllo (art. 78) e nei confronti del Titolare del trattamento o del Responsabile del trattamento (art 79). Il contenuto dell’informativa estesa dovrà inoltre prevedere ex art. 38 paragrafo 4 del GDPR, la comunicazione per cui gli interessati possono contattare il Responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.
Sul piano probatorio, sebbene il Regolamento non prescriva né la forma né il formato attraverso il quale fornire le informazioni affinché sia soddisfatto il requisito del consenso informato, ad eccezione per i casi previsti dall’art 7, paragrafo 2, tuttavia l’art. 7, paragrafo 1 del Regolamento prevede in maniera chiara l’obbligo per il Titolare del trattamento di dimostrare il consenso fornito dall’interessato. Tale onere probatorio, ulteriormente rafforzato dal considerando n. 42, è espressione del principio di responsabilizzazione (c.d. accountability) che permane fino a quando dura il trattamento dei dati personali. Terminata l’attività del trattamento, la prova del consenso deve essere conservata solamente per il tempo necessario per adempiere ad eventuali obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (art. 17 paragrafo 3, lettere b ed e), del GDPR).
Sebbene, inoltre, non venga prescritta una forma ad hoc, il GDPR afferma chiaramente che il consenso richiede una dichiarazione o una azione positiva inequivocabile da parte dell’interessato, pertanto sarà compito del Titolare del trattamento ricercare ed utilizzare il mezzo migliore per poter dimostrare di avere raccolto un valido consenso.
Peraltro la revoca del consenso, che il Titolare deve garantire in qualsiasi momento, con la stessa facilità con cui l’interessato lo ha espresso e senza subire alcun pregiudizio, comporterà la legittima distruzione di tutti i dati personali trattati, salva la loro conservazione per il rispetto di obblighi di legge o per l’esercizio dell’azione giudiziaria.
Particolare attenzione viene prestata dal GDPR verso i minori, tanto da elevare il livello di protezione per il trattamento dei loro dati personali.
Infatti l’articolo 8, paragrafo 1, del GDPR stabilisce che laddove si applichi il consenso, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni.
Ove quest’ultimo abbia un’età inferiore, tale trattamento è lecito soltanto se il consenso è prestato o autorizzato dall’esercente la responsabilità parentale. Tuttavia, il Regolamento prevede che gli Stati membri possono stabilire, con legge, una diversa età purché non inferiore ai 13 anni. Sul tema, il legislatore italiano è intervenuto con l’art. 2-quinquies del D.lgs. 101/2018, che ha fissato a 14 anni il limite di età dei minori che non possono prestare il loro consenso, ma necessitano di quello dell’esercente la responsabilità parentale.
2) La normativa sui Cookie e protezione dei dati personali.
Sotto tale profilo merita particolare attenzione la normativa sui cockies, entrata in vigore nel 2015 ma concettualmente collegata anche al Regolamento UE, perché i cookie possono trasportare dati personali degli utenti. Infatti l’utilizzo di cookie proprietari e di terze parti potrebbe rendere identificabile un individuo, anche tramite la raccolta di dati apparentemente anonimi quali ad esempio l’indirizzo IP di un utente.
Le linee guida del GDPR sanciscono che i vari siti non possono né rendere l’accettazione delle politiche cookie una scelta obbligata per l’utente per riuscire a navigare il sito, né installare cookie che possono identificare un utente o renderlo identificabile prima che questo abbia dati il proprio consenso.
La rilevanza dei cookie emerge, in particolare, con i c.d. Cookie Banner, ossia l’interfaccia attraverso cui un utente può scegliere se accettare o meno l’utilizzo di cookie, durante la sua prima navigazione oppure dopo che il consenso dato sia scaduto.
Nel banner devono essere presenti i link all’informativa sui cookie, un pulsante per acconsentire all’installazione/uso di cookie durante la navigazione e un modo per rifiutare l’installazione/uso di cookie durante la navigazione.
L’informativa dei cookie inserita nel Cookie Banner, insieme alla politica sulla privacy all’interno del sito, deve contenere: un collegamento alla politica sulla privacy del sito/azienda; una spiegazione per l’utente di cosa sono i cookie, della differenza tra cookie di sessione e cookie persistenti, nonché della differenza tra i vari tipi di cookie (di navigazione, tecnici, di marketing e profilazione, analitici); il link alle informative dei proprietari di cookie di terze parti che vengono utilizzati dal sito; l’elenco di tutti i cookie utilizzati in dettaglio, corredati dalle informazioni sul nome del cookie, tipologia, proprietario, finalità, tempo di persistenza dello stesso; una spiegazione all’utente su come visualizzare e/o cancellare i cookie installati nel proprio browser. Questi possono essere utilizzati per monitorare e profilare gli utenti durante la navigazione, esaminando i loro movimenti ed abitudini di consultazione del web o di consumo, anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioral Advertising). Questi ultimi sono i cd cookie di profilazione.
Esistono poi i cookie, detti analytics, quelli cioè utilizzati dai gestori dei siti web al fine di raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano quel sito.
Infine, può accadere che una pagina web contenga cookie provenienti da altri siti, in questo caso si tratta dei cookie cd. di terze parti.
I cookie che non possono essere esenti dal consenso sono anche i cookie di monitoraggio mediante plug-in sociali, che i proprietari di siti web possono integrare nella propria piattaforma, onde fornire taluni servizi che possono essere considerati “esplicitamente richiesti” dai membri, ma non per questo “strettamente necessari”, e i cookie di terzi utilizzati per la pubblicità comportamentale, come già rilevato dal Gruppo di lavoro nel parere 2/2010[1].
3) I cookie wall: ultimi orientamenti.
Recentemente le Autorità di controllo europee, finalizzate a regolare conformemente al Regolamento UE n. 679/2016, l’utilizzo di cookie e di altre tecnologie traccianti simili, si sono maggiormente espresse sulla problematica dell’utilizzo dei cookie, specificatamente sulla granularità e inequivocabilità del consenso per una loro installazione, sull’utilizzo dei c.d. cookie wall e sul requisito della libertà del consenso[2].
In via preliminare occorre menzionare come l’ICO inglese, nelle sue ultime Linee Guida in continuità con il parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie pubblicato dal WP29 (ora, European Data Protection Board o “EDPB”), abbia chiarito che tutto quello che nasce con l’intento di regolarizzare l’utilizzo dei cookie deve essere applicato estensivamente ad ogni tecnologia similare che sia in grado di memorizzare o accedere ad informazioni sul dispositivo di un utente.
Tra queste tecnologie vi rientra, ad esempio, il c.d. fingerprinting del dispositivo, ossia il riconoscimento dell’impronta digitale fornita da un insieme di parametri tecnici esclusivi e specifici di un dispositivo che consiste nel combinare una serie di informazioni in grado di individuare, correlare o dedurre un utente o un determinato dispositivo nel tempo.
Tra le informazioni che il sistema di fingerprinting è in grado di individuare e dedurre rientrano, tra gli altri, i dati derivanti dalla configurazione del dispositivo, i dati esposti mediante l’uso di particolari protocolli di rete, i plugin installati all’interno del browser, l’utilizzo di interfacce per programmi applicativi (Application Programming Interfaces – API), l’utilizzo di API esterne dei servizi web con cui sta comunicando il programma utente/dispositivo[3].
Rileva anche il browser fingerprinting. Per poter richiamare i contenuti da un server occorre un client (p.e. client di posta elettronica volto a recuperare i messaggi dal mail server). “L’accesso, invece, ad un web server può avvenire per il tramite di browser come Mozilla, Safari o Google Chrome. Tramite il protocollo HTTP queste applicazioni richiedono i dati dai siti per farli visualizzare agli utenti. La trasmissione dei contenuti avviene tramite i pacchetti IP, che contengono, oltre ai dati di utilizzo, anche le informazioni sul client e che possono essere utilizzate dal server per individuare l’impronta digitale del browser”[4].
Le tecnologie traccianti, in particolare, sono quelle che utilizzano scripts, pixel di tracciamento, come l’utilizzo sui siti web di strumenti che permettono di gestire e “dispacciare” dei marketing tags/script da attivarsi solo in base a determinate regole/trigger individuabili, di norma, nella base giuridica rappresentata dal consenso dell’utente o, ancora, all’utilizzo di Software Development Kit – SDK nell’ambito delle mobile application.
E’ evidente, quindi, che le funzioni solitamente assolte dai cookie possano essere parimenti eseguite avvalendosi di ulteriori, ma sempre affini, tecnologie.
Per quanto attiene al consenso, occorre precisare che non tutti i cookie/tecnologie affini necessitano di un consenso preventivo degli utenti per poter essere installati sui loro terminali, come nel caso dei c.d. cookie tecnici di navigazione o di sessione, i quali sono necessari ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Di fatto la condizione di liceità per l’utilizzo dei cookie, che possono ricadere sotto l’articolo 6, comma 1, lett. b), del GDPR, trova fondamento nella base giuridica rappresentata dalla prestazione di un servizio richiesto esplicitamente dall’utente interessato[5].
In particolare, si rileva un nuovo orientamento in merito alla validità di formulazioni, come “continuando a navigare in questo sito accetti l’utilizzo di cookie di profilazione” o di disclaimer posti nei cookie-banner dei siti in cui venga enunciato agli utenti che il continuare a scorrere il sito web (ovvero fare lo “scrolling” dello stesso) valga come azione positiva inequivocabile e accettazione all’utilizzo di talune tipologie di cookie (ad es. quelli profilativi a fini di display/programmatic adv).
Su tale problematica, proprio la DSK tedesca rileva che banner contenenti informazioni sui cookie, e un generale pulsante “OK” funzionale alla loro accettazione, non sarebbe considerata condizione sufficiente per la raccolta di un valido consenso. In tal senso, il banner dovrebbe elencare in modo specifico tutte le attività di trattamento che richiedono il consenso e gli utenti dovrebbero essere messi nella condizione di poter rifiutare di prestare un proprio consenso.
Le autorità tedesche ritengono, inoltre, che sia necessario prevedere meccanismi di manifestazione granulare delle preferenze, senza tuttavia spingersi a specificare se queste possano essere effettuate a più passaggi in cui, ad esempio, un semplice click-button “accetta tutti i cookie” posto al primo livello del cookie-banner o informativa breve, debba essere poi accompagnato dalla possibilità di esprimere opzioni “granulari” sui singoli cookie nel contesto del secondo e più esteso strato informativo costituito dalla cookie policy.
Recentemente, l’autorità spagnola AEPD ha adottato due interessanti decisioni in tema di cookie. Infatti, nella prima Ikea Iberica è stata sanzionata per non avere, tra gli altri, informato gli utenti sulla possibilità di impostare le preferenze di utilizzo di cookie e per non aver fornito, nella propria politica sui cookie, un collegamento ad un pannello o ad un sistema di configurazione dei cookie abilitato a selezionarli in forma granulare e selettiva[6]. Invece, nella seconda decisioni in cui viene sanzionata la Vueling Airlines, emerge l’importanza di implementare sui siti un sistema di gestione o un pannello di configurazione dei cookie che premetta agli utenti di selezionarli/eliminarli in modo granulare. A tal fine il pannello dovrebbe abilitare un meccanismo, o un pulsante, per rifiutare tutti i cookie, ed un altro per abilitarli. Nella risoluzione, infine, l’AEPD aggiunge che le tipiche informazioni presenti nelle Privacy Policy, relative alle modalità che gli utenti possono adottare per configurare/rifiutare i cookie tramite le funzionalità del proprio browser, “sono ritenute insufficienti all’effettivo scopo di consentire all’utente di configurare le preferenze in forma granulare o selettiva”, in mancanza di un contestuale modalità di espressione delle preferenze/consensi degli utenti implementata direttamente dal gestore del sito[7].
Insieme alla tedesca DSK, anche l’inglese ICO e la francese CNIL ritengono che l’azione degli utenti consistente nel continuare la navigazione di un dato sito non possa essere considerata espressione inequivocabile del consenso per l‘inizializzazione dei cookie, che necessitino invece proprio del consenso come loro legittima base giuridica.
Decisioni diverse sono state, invece, pronunciate dalla AEPD spagnola, secondo cui le azioni quali quella di continuare la navigazione del sito, fare un click su una parte dello stesso o su un collegamento in esso contenuto, eseguire lo “scrolling”, chiudere l’avviso costituto dal cookie-banner, costituiscano invece rilascio del consenso all’uso dei cookie, in quanto rappresentative di un’azione chiara e affermativa. Tale impostazione, però, richiede che siano contestualmente adottate un’altra serie di previsioni, quali la presenza di un’informativa breve, inserita in una posizione ben visibile, che espliciti chiaramente che le azioni precedentemente indicate (ad. esempio lo scrolling) valgano come rilascio del consenso, e contenga uno specifico link ad un pannello di configurazione dei cookie che permetta all’utente di rifiutare o impostarne la configurazione preferita.
In Italia, il Garante Privacy ha preliminarmente approvato il Provvedimento dell’8 maggio del 2014[8] il quale, pur rammentando la necessità di prevedere un banner di idonee dimensioni (cioè un cookie-banner che permetta una percettibile discontinuità a livello di fruizione dei contenuti), indica che la prosecuzione della navigazione mediante accesso ad altra area del sito o la selezione di un elemento dello stesso (ad esempio, di un´immagine o di un link) comporti la prestazione del consenso all´uso dei cookie.
In particolare, viene prevista la possibilità di opzionare una navigazione senza cookie attraverso la funzione “blocca i cookie di terze parti”, ovvero attivando l’opzione “Do Not Track” attraverso la quale, quand’essa viene attivata, i cookie dovrebbero automaticamente smettere di raccogliere parte di dati di navigazione.
L’altra opzione è data dalla modalità di “navigazione anonima”, mediante la quale si può navigare senza lasciare traccia nel browser.
Da ultimo, è possibile la opzione “elimina direttamente i cookie” presente in tutti i browser. Tuttavia, ad ogni collegamento in internet vengono scaricati nuovi cookie, per cui l’operazione di cancellazione andrebbe eseguita periodicamente. Alcuni browser, i più sofisticati, offrono dei sistemi automatizzati per la cancellazione periodica dei cookie[9].
Sulla stessa linea appaiono anche i successivi chiarimenti pubblicati dal Garante Privacy[10], nei quali viene testualmente indicato che le modalità di acquisizione del consenso basate su uno “scroll“, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, siano considerate in linea con i requisiti di legge qualora, tuttavia, queste azioni siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito, che possa essere qualificato come azione positiva dell’utente.
Recentemente anche la CGUE, nel caso C-673/17-Planet49 GmbH, si è espressa nel senso che il consenso sui cookie deve essere specifico, perchè per l’installazione dei cookie è sempre necessario il consenso attivo degli utenti precisando, altresì, che non è considerato legittimo un consenso acquisto tramite caselle pre-spuntate in quanto non risulterebbe possibile determinare a livello oggettivo se la scelta di non deselezionare tali caselle pre-spuntate possa rappresentare effettiva manifestazione di un consenso[11].
In seguito, anche il Garante Privacy italiano ha dovuto provvedere ad aggiornare l’area dedicata al tema dei cookie sul proprio sito, richiamando proprio la citata decisione della CGUE, lasciando presagire forse l’approssimarsi di una modifica della posizione del 2014. Inoltre, tra le sintetiche FAQ pubblicate non viene richiamata l’ipotesi dello scrolling[12].
Pertanto, ad oggi, in pieno rispetto del principio di “responsabilizzazione” sancito dal GDPR si potrebbe ritenere che la migliore prassi da seguire con riferimento a modalità di raccolta del consenso sia proprio quella rappresentata dall’EDPB citata, ancorché disapplicativa di quanto indicato dal nostro Garante Privacy nel 2014.
Peraltro, tale soluzione “dovrebbe essere sempre accompagnata, anche da un meccanismo di scelta con appositi click-button non solo di ‘Accettazione’ ma anche di ‘Rifiuto’, da collocarsi già all’interno del cookie-banner con contestuale link ad apposito cookie preference center, qualora questo non sia già collocato nel primo layer costituito dal banner, in cui l’utente possa interagire esprimendo e modificando granularmente le proprie preferenze sulle categorie di cookie da autorizzare” [13].
In conclusione, appare proprio che sia consigliabile una impostazione in materia di cookie e di tecnologie traccianti che consenta all’utente di esprimere e modificare in maniera granulare e specifica le proprie scelte sulle categorie di cookie da autorizzare (c.d. cookie preference center), in modo che da un lato si eviti di acquisire un consenso basato sul semplice scrolling della pagina web o raccolto attraverso caselle pre-spuntate, e dall’altro si determini “negli operatori del mercato il timore di una maggiore difficoltà nell’acquisizione del consenso per le categorie di cookie profilativi anche di terza parte, quali quelli consistenti nella raccolta di dati comportamentali al fine di inviare pubblicità personalizzata agli utenti (c.d. behavioural targeting)”[14].
Per completezza si precisa che la problematica in questione non investe i cookie c.d. tecnici, perché non richiedono il consenso dell’utente per la loro attivazione.
Da quanto sopra emerge che la questione preliminare da sciogliere sia quella relativa alle modalità per acquisire un consenso idoneo, ai fini della legittimità e liceità del trattamento. Infatti, in materia di cookie profilativi e altri strumenti traccianti o di monitoraggio analoghi, gli operatori del settore hanno spesso adottato “soluzioni alternative”, come i cookie wall[15].
Dunque, i cookie wall, di fatto, impediscono l’accesso al sito web (o a un servizio) agli utenti che non acconsentono a tutti i cookie e analoghe tecnologie traccianti presenti sul dominio. La base giuridica di tale trattamento è costituita, dunque, dal consenso dell’utente che, tuttavia, è unico e generale per tutti i cookie presenti sul dominio, da esprimersi tipicamente mediante un banner contenente un unico pulsante di accettazione, e non mediante semplice prosecuzione della navigazione. Pertanto, appare chiaramente la mancanza sia del requisito di specificità che di libertà del consenso, come si evince anche dal WP29 (Guidelines on Consent under Regulation 2016/679, wp259rev.01)[16], poiché viene meno la scelta effettiva dell’utente sul controllo dei propri dati, costretto ad accettare il trattamento per evitare di subire conseguenze negative quali il mancato accesso ai servizi o al sito Web.
A ulteriore conferma dell’invalidità del consenso, così raccolto, si richiama il contenuto del Considerando 43 del GDPR, per cui “si presume che il consenso non sia stato liberamente espresso (…) se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”. Sostanzialmente, quindi, se il consenso costituisce parte non negoziabile delle condizioni di contratto, questo non può dirsi liberamente prestato. Peraltro, non può ritenersi libero il consenso al quale sia subordinata l’esecuzione di un contratto per la quale il trattamento dei dati richiesti non sia necessario, in ossequio al principio di necessità.
D’altro canto, “qualora il trattamento sia indispensabile per l’esecuzione di un contratto, non potrà basarsi sul consenso, quanto piuttosto sulla base giuridica costituita dall’esecuzione di un contratto ai sensi dell’art. 6, paragrafo 1, lettera b) del GDPR.
Tale base giuridica, relativa all’esecuzione di un rapporto contrattuale o precontrattuale, non può costituire un fondamento adeguato al trattamento consistente nella creazione di profili comportamentali o di proferenze dell’utente, a meno che, si ritiene, tale trattamento non risulti effettivamente necessario tenuto conto dell’oggetto dell’accordo tra le parti e dei servizi offerti”[17].
L’illiceità dell’utilizzo dei cookie wall è confermata anche da alcuni Provvedimenti delle Autorità Garanti europee[18], che ne vietano l’adozione.
Peraltro, l’EDPS (European Data Protection Supervisor) richiama espressamente il contenuto dell’opinion 6/2017 “Opinion on the Proposal for a Regulation on Privacy and Electronic Communications (ePrivacy Regulation)”[19], assumendo così una chiara posizione in materia di tracking wall o di cookie wall, raccomandando che il futuro Regolamento E-Privacy contempli un divieto completo ed esplicito di utilizzo dei cookie wall e delle tecnologie affini.
[1] Cfr. Cookie di terzi utilizzati per la pubblicità comportamentale, Gruppo di lavoro WP49, parere 2/2010, in .
[2] In tal senso, deve ricordarsi che, nel marzo del 2019, la DSK tedesca ha emesso un guidance paper che fornisce, in particolare, indicazioni utili per svolgere bilanciamenti di interessi (Legitimate Interest Assessment o “LIA”) per l’utilizzo di talune tipologie di cookie e che indica come l’utilizzo di servizi di terze parti per finalità di tracciamento dei visitatori dei siti sia possibile sempre e solo basandosi sul consenso (ai sensi dell’art.6, comma 1, lett. a del GDPR). Sempre nel marzo del 2019, l’AP olandese ha pubblicato alcune interessanti linee guida che si concentrano in particolare sui cookie wall che subordinano l’accesso ai siti web, mentre nell’aprile del 2019 l’Autorità del Baden Wurttemberg ha pubblicato alcune interessanti FAQ relative all’uso di cookie ed altri taccianti, che si rivelano un buon strumento utilizzabile dai gestori dei siti e degli sviluppatori di mobile applications. Nel luglio 2019 l’ICO inglese ha pubblicato la già citata nuova guida sull’uso dei cookie e di altre tecnologie traccianti, e nel luglio 2019, la francese CNIL, ha aggiornato le sue precedenti Linee Guida del 2013 sui cookie, con una nuova versione che rientra nel piano d’azione del biennio 2019-2020 e che porterà alla pubblicazione di ulteriori raccomandazioni con lo specifico obiettivo di fornire una guida sulle modalità pratiche per ottenere il consenso dell’utente. Nell’ottobre del 2019, la CGUE ha emesso la sentenza sulla questione Planet 49, che qui rileva in particolare laddove afferma che gli operatori di siti Web che desiderano memorizzare cookie sul dispositivo di un utente devono ottenere il consenso attivo, fornito liberamente, specifico, informato e inequivocabile, come richiesto dal GDPR all’art.4. La CGUE ha espressamente stabilito che non è da considerarsi validamente prestato il consenso all’utilizzo di cookie mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso. Infine nel novembre del 2019, l’AEPD spagnola ha pubblicato la propria Guida sull’uso dei cookie, di cui si dirà più avanti.
[3] Sul tema, si veda il parere 9/2014 dell’ex WP29 sull’applicazione della Direttiva e-Privacy 2002/58/CE al device fingerprinting, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp224_it.pdf.
[4] Cfr. PASSARO A, PONTI C, Privacy e cookie alla luce del GDPR: le soluzioni alle problematiche tecniche e giuridiche, in https://www.cybersecurity360.it/legal/privacy-dati-personali/privacy-e-cookie-post-gdpr-le-soluzioni-alle-problematiche-tecniche-e-giuridiche/.
[5] Sul tema, si veda la posizione dell’EDPB nella Versione 2.0 dell’Opinion 2/2019, in https://edpb.europa.eu/our-work-tools/our-documents/opinia-rady-art-64/opinion-22019-draft-list-competent-supervisory_it.
[6] Si veda https://www.aepd.es/es/documento/ps-00127-2019.pdf
[7] Cfr. CASACCI, SPONGANO, Cookie e altre tecnologie traccianti: linee di indirizzo e implicazioni operative per la data protection, in https://www.cybersecurity360.it/legal/privacy-dati-personali/cookie-e-altre-tecnologie-traccianti-linee-di-indirizzo-e-implicazioni-operative-per-la-data-protection/.
[8] Cfr. “Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie” dell´8 maggio 2014, in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884.
[9] Cfr. PASSARO A., PONTI C., op. cit.
[10] Si veda https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878.
[11] Si veda il caso Planet49 GmbH v. Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., C-673/17-Planet49 GmbH, in http://curia.europa.eu/juris/liste.jsf?num=C-673/17.
[12] https://www.garanteprivacy.it/temi/cookie.
[13] Cfr. CASACCI, SPONGANO, op. cit.
[14] Cfr. CASACCI, SPONGANO, op. cit.
[15] Secondo la definizione fornita dall’Autorità Garante Olandese, Autoriteit Persoonsgegevens (AP), “un cookie wall indica che le persone che desiderano visitare un sito Web o utilizzare un’applicazione devono accettare i cookie prima di poter accedere al sito Web. Se non viene fornita l’autorizzazione, gli utenti non avranno accesso”, cfr. .
[16] Cfr. WP29 (Guidelines on Consent under Regulation 2016/679, wp259rev.01), in , secondo cui se l’utente è posto nella condizione di non poter accedere al servizio o al sito Web, senza prima aver prestato consenso all’attivazione di tutte le tipologie di cookie presenti sul dominio, comprese quelle traccianti e profilative, tale consenso, anche qualora prestato mediante azione inequivocabile, non può che difettare del requisito di libertà determinandone così l’invalidità.
[17] Cfr. CASACCI, SPONGANO, op. cit. In tal senso si veda anche il WP29 nel Parere 6/2014 sul concetto di interesse legittimo, secondo cui il fondamento giuridico, che può essere invocato nei casi in cui il trattamento è necessario all’esecuzione di un contratto o di misure precontrattuali, “non è un fondamento giuridico adeguato per creare un profilo dei gusti e delle scelte di stile di vita dell’utente sulla base della sequenza di clic che ha effettuato su un sito web e degli articoli che ha acquistato. Questo perché il titolare del trattamento dei dati non ha firmato un contratto per elaborare profili, bensì per fornire beni e servizi particolari, per esempio”. Tanto premesso, deve ritenersi che la profilazione non sia, quindi, necessaria alla fornitura dei beni o servizi, anche se il trattamento risulta espressamente menzionato nelle condizioni contrattuali.
[18] Si veda Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookie et autres traceurs) (rectificatif), in https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337; Guidance on the use of cookie and similar technologies, in https://ico.org.uk/media/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookie-and-similar-technologies-1-0.pdf.
[19] Cfr. https://edps.europa.eu/sites/edp/files/publication/17-04-24_eprivacy_en.pdf