La Corte di Giustizia Europea inasprisce notevolmente i presupposti per i cookie – prime riflessioni sulla sentenza C-673/17 del 1° ottobre 2019

La normativa in materia di protezione dei dati personali richiede che chi naviga in Internet presti il proprio consenso all’utilizzo di cookies. Nella realtà del mondo WEB, ciò si traduce nel gesto automatico di “dover”, prima di iniziare la navigazione di un qualsivoglia sito internet, cliccare “ok”, “accetto”, ecc… in relazione all’utilizzo dei cookies da parte del gestore del sito medesimo. E’ fuori dubbio che un “consenso” così prestato nella prassi di navigazione non è frutto di un ragionamento consapevole.

La sentenza

Con una recente sentenza del 1° ottobre 2019 la Corte è nuovamente intervenuta sul tema della validità del consenso espresso da parte dell’utilizzatore, stabilendo nuovi ed importanti criteri di tutela dei dati personali nella navigazione Internet. La decisione della Corte ha origine da una controversia nata in Germania tra il Bundesverband der Verbraucherzentralen und Verbraucherverbände–Verbraucherzentrale Bundesverband eV (i.e. Federazione delle organizzazioni e associazioni di consumatori – di seguito, “Federazione”) e, dall’altra parte, Planet49 GmbH, società attiva nel settore dei giochi online (di seguito, “Planet49”).

Quest’ultima impiegava sui propri siti, come effettivamente avviene nella stragrande maggioranza dei siti internet, una casella di spunta preselezionata per ottenere dagli utenti l’autorizzazione alla creazione di cookie a scopi pubblicitari ed alla partecipazione a un gioco promozionale. La controversia verteva sulla validità del consenso ottenuto con questa modalità, ovvero indirizzando l’utilizzatore verso il consenso (e non al rifiuto del consenso). Alla Corte di Giustizia Europea fu quindi chiesto di stabilire se il consenso implicito, richiesto attraverso le modalità utilizzate dalla società Planet 49, potesse ritenersi effettivamente ottenuto dall’utilizzatore nonché informato alla luce della normativa UE.

Con la sentenza in oggetto, la Corte ha riconosciuto l’invalidità del consenso prestato per mezzo di una semplice dichiarazione preformulata in quanto a norma della Direttiva 95/46/CE e del Regolamento europeo 679/2016, il consenso deve essere manifestato in maniera attiva e quindi deve trattarsi di una manifestazione di volontà libera, specifica, informata ed inequivocabile (art. 4 GDPR), a prescindere che si tratti di informazioni riguardanti dati personali. L’utente, secondo la Corte, deve essere informato, tra le altre cose, sulla durata dei cookie, nonché sul fatto che taluni terzi abbiano accesso o meno ai cookie stessi nel momento in cui gli viene richiesto di prestare il proprio consenso al trattamento dei dati personali. La Corte, inoltre, chiarisce che la specificità richiesta per il consenso è da riferirsi alle finalità perseguite dal sito web che devono essere indicate al momento della richiesta stessa (marketing, analytics, ecc…), e pertanto l’ottenimento di un solo consenso attraverso un unico pulsante non può considerarsi conforme alle norme vigenti.

Le implicazioni

La pronuncia della Corte di Giustizia in oggetto imporrà a tutti i gestori di siti internet (ovvero quelli che utilizzano cookie) una radicale modifica del proprio sito con la necessità di fornire all’utilizzatore la possibilità di rifiutare i cookie attraverso un pulsante o un altro meccanismo che consenta di accettare o rifiutare i cookie in modo consapevole e granulare non essendo sufficiente la mera formulazione di “Accetto” e quindi “vedi impostazioni utente”, così come non può essere considerata sufficiente la formulazione testuale di “continuando a navigare in questo sito” per indicare il consenso o il rifiuto. In altre parole, l’utilizzo dei singoli cookie è da ritenersi lecito soltanto qualora l’utilizzatore abbia consapevolmente deciso di accettarli.

La sentenza della Corte coincide con l’attesa della nuova direttiva e-privacy relativa alle comunicazioni elettroniche. Tra le novità introdotte dal nuovo regolamento rientrerebbe anche un meccanismo di controllo di tipo centralizzato dei cookie direttamente dal browser in modo da evitare che chi naviga debba dare o negare il consenso ogni volta che accede ad un sito nuovo. Pertanto, in attesa di una presa di posizione del Garante nonché del nuovo regolamento e-privacy, alla luce della pronuncia della Corte di Giustizia, per non incorrere in possibili eventuali sanzioni alcuni titolari di siti web hanno già cominciato a prevedere nel banner una casella per l’accettazione o il diniego all’installazione del cookie (o meglio: dei singoli cookie utilizzati dal sito), così da rendere possibile un consenso esplicito ed informato per il trattamento dei dati personali.