Internet: obbligo del consenso attivo dell’utente per l’uso dei cookie

COOKIE POLICY 1140x500“Il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”. Ad affermarlo è la Corte di giustizia europea chiamata dalla Corte Federale tedesca (Bundesgerichtshof) ad interpretare il diritto dell’Unione in materia di trattamento dei dati personali nelle comunicazione elettroniche e libera circolazione dei dati. Il giudice del rinvio, trovandosi a decidere su una controversia pendente tra la Federazione tedesca delle organizzazioni di consumatori e la società tedesca Planet49, organizzatrice di un gioco a premi online, pone alcuni quesiti sulla legittimità dell’acquisizione del consenso all’installazione dei cookie attraverso una casella di preselezione.  Gli utenti che desideravano partecipare al gioco online offerto dalla Planet49 dovevano fornire il proprio codice postale, nome e indirizzo. Al di sotto dei campi da riempire per l’indirizzo era presente una casella di spunta preselezionata che acconsentiva all’installazione dei cookie. La Corte Federale tedesca, nutrendo dubbi sulla validità del modus operandi della Planet49 alla luce delle normative UE in materia, ivi compreso il Regolamento GDPR,  si chiede se può considerarsi consenso informato quello ottenuto con una spunta preselezionata dal fornitore del sito web; se esistono delle differenze nelle procedure di installazione dei cookies a secondo se le informazioni archiviate o consultate costituiscono o meno dati personali. E ancora se il periodo di attività dei cookies e la possibilità o meno di terzi di avere accesso a tali cookie rientra tra le informazioni che il fornitore di servizi deve comunicare all’utente di un sito internet.

La Corte rileva che deve considerarsi come «consenso della persona interessata» «qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento». Il requisito della «manifestazione» della volontà della persona interessata implica chiaramente

un comportamento attivo e non uno passivo dell’utente che deve escludersi ogni qualvolta il consenso viene espresso mediante una casella di spunta preselezionata.

In merito al secondo quesito la Corte precisa che “qualsiasi informazione archiviata nell’apparecchiatura terminale degli utenti di reti di comunicazione elettronica fa parte della sfera privata dell’utente, che deve essere tutelata ai sensi della convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali. Detta tutela si applica a qualsiasi informazione archiviata in tale apparecchiatura terminale, indipendentemente dal fatto che si tratti o meno di dati personali ed è volta, in particolare, a tutelare gli utenti dal rischio che identificatori occulti o altri dispositivi analoghi si introducano nell’apparecchiatura terminale dell’utente a sua insaputa”. La Corte osserva inoltre che, nel caso in esame, i dati raccolti erano comunque dati personali poiché i cookie memorizzati nell’apparecchiatura terminale dell’utente del sito internet della società assegnavano un numero a ciascun utente collegato ai dati di registrazione. 

Va altresì precisato che il nuovo Regolamento europeo in materia di protezione dei dati personali considera i cookie come dati pseudonimi, dati cioè personali perché, se incrociati con altre informazioni, permettono di identificare il terminale utilizzato per la navigazione online e l’utente.

Circa l’obbligo informativo in merito al periodo di attività dei cookie e al possibile utilizzo da parte di terzi, la Corte di Giustizia Europea risponde positivamente rilevando che l’utente esprime un consenso informato solo se riceve informazioni chiare e complete e idonee a porlo nella posizione di determinare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena conoscenza di causa.

In linea con la sentenza in argomento è, infine, il provvedimento adottato dal Garante della privacy spagnolo (AEPD) che ha sanzionato per 30.000 euro la compagnia aerea Vueling airlines per violazione del Regolamento europeo GDPR in relazione al consenso all’uso dei cookie.


Stampa   Email