Per la CNIL il reCAPTCHA di Google necessita del consenso dell’utente
Un recente interessante intervento della Commission nationale de l’informatique et des libertés (di seguito, “CNIL”), l’Autorità di controllo francese, ha stabilito che per l’utilizzo di Google reCAPTCHA – il famoso meccanismo di protezione dallo SPAM utilizzato da svariati operatori online nelle più diverse situazioni (come la creazione di un account, il recupero di una password, la raccolta di lead di soggetti interessati a prodotti e/o servizi ecc.) – occorre informare gli interessati nonché ottenere il loro preventivo consenso (“Délibération SAN-2023-003 du 16 mars 2023” disponibile sul sito dell’Autorità di controllo francese, in lingua originale, al seguente link).
Nel caso di specie, l’azienda CITYSCOOT, società per azioni semplificata con sede a Parigi, era soggetta alla normativa francese in materia di uso di cookie e/o altri strumenti di tracciamento. È bene tenere presente che tale normativa nazionale francese deriva – al pari di quella italiana contenuta nel Titolo X del D. Lgs.196/2003, il “Codice Privacy” italiano – dall’art. 5, paragrafo 3, della Direttiva 2002/58/CE, come modificata dalla Direttiva 2009/136/ECE (di seguito, “Direttiva e-Privacy”).
In altre parole, le regole “base” (i.e., fornitura dell’informativa e previo ottenimento del consenso, salvo che- per quest’ultimo adempimento – si ricada in una delle due eccezioni previste dall’art. 5 della Direttiva e-Privacy per le quali è prevista la cd. esenzione dalla richiesta di consenso per finalità meramente tecniche) sono similari sia in Francia che in Italia.
Nel caso esaminato dalla CNIL, l’editore del sito e dell’app CITYSCOOT non solo non aveva fornito l’informativa, ma neppure aveva richiesto il consenso per l’uso di Google reCAPTCHA. La CNIL ha così dichiarato l’utilizzo di Google reCAPTCHA da parte di CITYSCOOT in violazione della normativa francese (in particolare di quell’articolo con il quale il legislatore francese ha introdotto le disposizioni di cui all’art. 5, par. 3, della Direttiva e-Privacy predetta).
Un aspetto importante per gli operatori italiani è il seguente: dato che CITYSCOOT opera non solo in Francia, ma anche in Spagna e in Italia, tramite società controllate aventi sedi in questi ultimi paesi, la CNIL – agendo da autorità capofila ai sensi di quanto previsto dall’art. 56 e dall’art. 60 del Regolamento EU 2016/679 – ha condiviso il progetto di decisione con le autorità di controllo spagnola e italiana, al fine di ottenere il loro parere e nessuna delle due ha presentato delle obiezioni al progetto di decisione.
È presumibile ritenere, dunque, che la posizione del Garante italiano rispetto all’uso di Google reCAPTCHA non si discosti da quella della CNIL.
Viste le finalità per cui viene adottato il reCAPTCHA, come la prevenzione delle frodi o assicurarsi che i form non vengano compilati da bot ma da utenti reali, senz’altro la posizione delle Autorità presenta quantomeno delle perplessità. Alla luce delle complessità operative legate ai trattamenti effettuati tramite cookie o altri strumenti di tracciamento, è ormai opportuno per il legislatore europeo valutare tutte le opzioni rispetto ad un’eventuale estensione dell’esenzione dalla richiesta di consenso oltre che per finalità meramente tecniche anche a prevenzione delle frodi e la tutela del patrimonio dell’editore del sito (se necessario tramite strumenti di terze parti).