Sentenza della Corte di Giustizia dell’Unione Europea sull’installazione dei cookie: cosa si intende realmente per consenso attivo?
I. – Premessa.
Con la recente sentenza del 1° ottobre 2019 la Corte di Giustizia dell’Unione Europea si è pronunciata in tema di validità del consenso prestato dagli utenti Internet in relazione all’installazione di cookie sui propri dispositivi.
In particolare, la Corte è stata chiamata a valutare, alla luce della normativa applicabile al caso in esame, (i) se un consenso possa ritenersi validamente espresso laddove l’autorizzazione dell’utente risulti da una casella di spunta preselezionata e (ii) se, al riguardo, tale situazione differisca laddove le informazioni dell’utente archiviate o consultate – attraverso l’installazione dei predetti cookie – consistano o meno in dati personali.
Sentenza che, tenuto conto dell’importanza e dell’attualità della tematica, ha già generato preoccupazione tra gli operatori del settore e sulla quale, siamo sicuri, prenderanno posizione a breve anche le Autorità garanti dei vari Stati membri dell’Unione Europea.
II. – Il caso.
La vicenda trae origine dal ricorso presentato dalla Federazione tedesca delle organizzazioni di consumatori, la quale esponeva che, al fine di partecipare a un gioco a premi organizzato da una società locale, gli utenti del web si erano trovati dinanzi un riquadro contenente due caselle di spunta da selezionare o deselezionare prima di potere aderire all’iniziativa.
Più nel dettaglio: a) la prima casella richiedeva agli utenti di acconsentire a essere contattati da una serie di aziende per ricevere offerte promozionali di natura commerciale; b) la seconda casella – che risultava preselezionata – richiedeva invece agli utenti di acconsentire all’installazione di cookie, anche per finalità commerciali e di profilazione.
La Federazione di consumatori contestava la validità di tale pratica, sostenendo in particolare l’inefficacia del consenso prestato mediante le predette caselle e chiedendo al Tribunale locale di far cessare – con apposito provvedimento di inibitoria – le richieste di siffatte dichiarazioni di consenso da parte della società organizzatrice del gioco.
Il ricorso giungeva all’esame finale della Corte federale di giustizia, i cui giudici ritenevano a ben vedere che l’esito della controversia dovesse dipendere dalla corretta interpretazione della normativa europea applicabile al caso di specie, e pertanto sottoponevano alla Corte di Giustizia dell’Unione Europea le seguenti due questioni pregiudiziali:
1) Prima questione pregiudiziale
– se, ai sensi degli articoli 5, par. 3, e 2, lettera f), della direttiva 2002/58, in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, sussista un consenso efficace nel caso in cui la memorizzazione di informazioni ovvero l’accesso a informazioni già archiviate nei dispositivi di un utente (tramite, appunto, cookie) siano consentiti tramite una casella preselezionata che l’utente deve deselezionare per negare il suo consenso;
– se, ai fini dell’applicazione di tali norme, la situazione differisca nel caso in cui le informazioni archiviate o consultate consistano in dati personali;
– se, in presenza di tali circostanze, sussista comunque un consenso efficace ai sensi dell’articolo 6, par. 1, lettera a), del regolamento 2016/679;
2) Seconda questione pregiudiziale
– quali informazioni debbano essere comunicate dal fornitore di servizi all’utente affinché questo possa essere considerarsi informato, in termini chiari e completi, ai sensi del predetto articolo 5, par. 3, della direttiva 2002/58, e se, in tali informazioni, rientrino anche la durata della funzione dei cookie e il fatto che terzi abbiano accesso ai cookie medesimi.
III. – La pronuncia della Corte di Giustizia dell’Unione Europea.
Nella sentenza in esame la Corte ha anzitutto esaminato il quadro normativo nel suo insieme, precisando che, nella specie, risultano applicabili – oltre alla direttiva 2002/58 – sia la direttiva 95/46 che il regolamento 2016/679.
Infatti, sebbene il regolamento 2016/679, applicabile a decorrere dal 25 maggio 2018, abbia ormai abrogato la direttiva 95/46 con effetto a decorrere dalla medesima data, quest’ultima è comunque successiva alla data dell’ultima udienza dinanzi al giudice del rinvio (del 14 luglio 2017) nonché alla data del rinvio pregiudiziale alla Corte di Giustizia (del 5 ottobre 2017).
Pertanto, per le situazioni precedenti al 25 maggio 2018, la legge applicabile al caso in esame è costituita dalla direttiva 2002/58 in combinato disposto con la direttiva 95/46, mentre per le situazioni a decorrere dal 25 maggio 2018, la legge applicabile è costituita dalla direttiva 2002/58 in combinato disposto con il regolamento 2016/679. A ben vedere, considerato che con il provvedimento richiesto la Federazione di consumatori mirava ad ottenere la cessazione della condotta avversaria per il futuro, la fattispecie risulta disciplinata anche dal regolamento 2016/679.
Tanto premesso, la Corte ha quindi esaminato le due questioni pregiudiziali e ha accertato al riguardo quanto segue.
A) Prima questione pregiudiziale
In primo luogo, la Corte ha precisato che l’articolo 5, par. 3, della direttiva 2002/58 prevede che l’archiviazione di informazioni ovvero l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un utente sono consentiti unicamente a condizione che l’utente in questione abbia espresso il proprio consenso, senza tuttavia fornire indicazioni precise relative al modo in cui tale consenso debba essere espresso.
Al riguardo, dal Considerando 17 della medesima direttiva emerge che il consenso dell’utente possa essere fornito secondo qualsiasi modalità appropriata che consenta all’utente stesso di esprimere liberamente e consapevolmente i suoi desideri specifici, in particolare attraverso la “selezione di un’apposita casella nel caso di un sito Internet”, e che il medesimo consenso ha lo stesso significato del consenso della persona interessata così come definito dalla predetta direttiva 95/46.
A sua volta, l’articolo 7 di quest’ultima direttiva prevede che il trattamento dei dati di una persona interessata possa considerarsi lecito solo se effettuato sulla base di un consenso manifestato “in maniera inequivocabile”, e solo un comportamento attivo da parte di detta persona è idoneo a soddisfare tale requisito.
Non può invece ritenersi valido un consenso espresso mediante una casella di spunta preselezionata, risultando praticamente impossibile in casi di tal genere determinare se, non deselezionando tale casella, l’utente di un sito Internet abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale consenso sia stato manifestato in modo informato.
In altri termini per la Corte, sia ai sensi della direttiva 2002/58 che ai sensi della direttiva 95/46, il consenso non è validamente espresso quando l’archiviazione di informazioni o l’accesso alle informazioni già archiviate nei dispositivi dell’utente sono autorizzati mediante una casella preselezionata dal fornitore del servizio, che l’utente dovrebbe deselezionare al fine di negare il proprio consenso.
Né a conclusione diversa si potrebbe giungere, sempre a giudizio della Corte, laddove le informazioni trattate consistano o meno in dati personali, essendo la finalità delle predette normative unicamente quella di proteggere l’utente da qualsiasi ingerenza nella sua vita privata, indipendentemente dalla natura delle informazioni oggetto di trattamento.
Peraltro, una tale impostazione risulterebbe confermata anche alla luce del regolamento 2016/679, il quale prevede in particolare:
a) all’articolo 4, punto 11, che il consenso dell’interessato consiste in qualsiasi manifestazione di volontà libera, specifica, informata con il quale il medesimo manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
b) all’articolo 6, par. 1, lettera a), che il trattamento è considerato lecito – tra l’altro – quando l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
c) al Considerando 32, che il consenso non possa ritenersi validamente manifestato in caso di silenzio e/o inattività dell’utente, ovvero la preselezione di caselle in un sito web.
Alla stregua di quanto sopra, la Corte ha quindi risolto la prima questione pregiudiziale statuendo che il consenso di cui a tutte le normative considerate “non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”.
B) Seconda questione pregiudiziale
Quanto alla seconda questione pregiudiziale, la Corte ha poi precisato che il medesimo articolo 5, par. 3, della direttiva 2002/58 esige che l’utente abbia espresso il proprio consenso dopo essere stato informato in modo chiaro e completo, e tale informazione chiara e completa implica necessariamente che l’utente sia in grado di determinare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso consapevolmente.
Ebbene, laddove i cookie siano diretti a raccogliere informazioni a fini pubblicitari di prodotti relativi a soggetti terzi, il periodo di attività dei medesimi e la possibilità o meno per i terzi di avere accesso a tali cookie rientrano nell’informazione chiara e completa da fornire all’utente, e ciò sia ai sensi della predetta direttiva 2002/58, sia ai sensi della direttiva 95/46 e del regolamento 2016/679.
La Corte ha quindi risolto la seconda questione pregiudiziale affermando che “il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente di un sito Internet”.
IV. L’impatto della sentenza alla luce della normativa nazionale vigente in materia di cookie e identificatori online.
Come si anticipava, l’esito della sentenza in oggetto ha già avuto un impatto non indifferente sul mondo della pubblicità digitale, i cui operatori hanno iniziato a temere che le strutture ad oggi applicate per la raccolta del consenso degli interessati in merito all’uso di cookie possano essere considerate non conformi rispetto alla normativa in materia di protezione dei dati personali e, pertanto, passibili delle sanzioni di cui al regolamento 2016/679.
Tuttavia, mentre il mercato è in subbuglio e molti iniziano a temere per la stessa sopravvivenza dei sistemi di ad-tech, è qui opportuno soffermarsi non solo sulla natura della pronuncia della Corte, ma anche sul contesto normativo nazionale in cui essa si inserisce, che di certo non potrà mutare senza una previa azione del legislatore o comunque dell’Autorità Garante.
Il principio enunciato dalla Corte va infatti contestualizzato nell’attuale panorama normativo italiano, il quale non può essere semplicisticamente ridotto al regolamento 2016/679. Il legislatore e il Garante italiano per la protezione dei dati personali, infatti, nel dare applicazione alla direttiva 2002/58 hanno creato una struttura complessa e per molti aspetti antesignana rispetto alle norme di cui al medesimo regolamento.
Infatti, nel dare applicazione alla direttiva 2002/58, il Codice Privacy italiano – di cui troppo spesso ci si dimentica – prevede all’art. 122 non solo la possibilità per l’utente di esprimere il proprio consenso all’utilizzo di cookie ed identificatori “dopo essere stato informato con modalità semplificate”, ma anche che “ai fini dell’espressione del consenso (…), possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente”.
Le “modalità semplificate” sono state poi anche definite dal Garante, il quale, consultandosi con le associazioni di categoria coinvolte, ha emanato nel 2014 un provvedimento generale, di stampo estremamente pratico, con relativi Chiarimenti e FAQ, quest’ultime anche molto pragmatiche, consultabili sul sito istituzionale dell’Autorità e aggiornate con le disposizioni del regolamento 2016/679.
Tale provvedimento del 2014, benché emanato ancor prima dell’entrata in vigore del regolamento 2016/679, si offre di proporre misure “da un lato, tali da consentire agli utenti di esprimere scelte realmente consapevoli sull’installazione dei cookie mediante la manifestazione di un consenso espresso e specifico (…) e, dall’altro, (che) presentino il minore impatto possibile in termini di soluzione di continuità della navigazione dei medesimi utenti e della fruizione, da parte loro, dei servizi telematici.” Si parla, quindi, di un consenso caratterizzato già secondo le indicazioni riportate dalla Corte nella sentenza in esame e che, tra l’altro, deve essere parte integrante di una “azione positiva (…) possibile solo mediante un intervento attivo dell’utente”.
Al riguardo, le “modalità semplificate” suggerite dal Garante italiano per una valida manifestazione del consenso, allo stato adottate dalla gran parte dei siti web italiani, ricalcano, a ben vedere, il seguente schema:
a) quando un utente accede ad un sito web è necessario che venga visualizzato, all’interno di un banner contenente una prima informativa breve, la richiesta di consenso all’uso dei cookie e un link volto ad accedere ad un’informativa più estesa (in cui l’interessato può reperire maggiori e più dettagliate informazioni sui cookie e scegliere quali autorizzare);
b) il suddetto banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando e deve poter essere eliminato anche solo tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elementocontenuto nella pagina sottostante;
c) il banner deve inoltre specificare che il sito utilizza cookie di profilazione che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’interessato e contenere, oltre al suddetto link all’informativa estesa, anche l’indicazione che, tramite il medesimo link, è possibile negare il consenso all’installazione di specifici cookie, precisando altresì che, se l’utente sceglie di proseguire “saltando” il banner, lo stesso acconsente all’uso dei cookie;
d) il titolare del sito è tenuto poi a tenere traccia del consenso così acquisito, attività che costituisce non solo un onere probatorio ma anche una soluzione tecnica volta ad evitare di riproporre il banner alla seconda visita dell’utente (ferma restando la possibilità per quest’ultimo di negare il consenso o modificare, in ogni momento e in maniera agevole, le proprie opzioni);
e) la predetta informativa estesa, infine, deve (i) contenere tutti gli elementi previsti dalla legge, (ii) descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e (iii) consentire all’utente di selezionarli o deselezionarli singolarmente, includendo a tal fine il link aggiornato alle informative e ai moduli di consenso delle terze parti cui i singoli identificatori sono riconducibili e richiamando, altresì, la possibilità per l’utente di manifestare le proprie scelte in merito a questi ultimi anche attraverso le impostazioni del browser utilizzato.
Nei predetti “Chiarimenti in merito all’attuazione della normativa in materia di cookie” il Garante italiano ha inoltre precisato “che per la natura ‘distribuita’ di tale trattamento, (…) il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (…) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione” e che, addirittura, le “soluzioni per l’acquisizione del consenso basate su ‘scroll’, ovvero sulla prosecuzione della navigazione all´interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell´informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (…), che possa essere qualificato come azione positiva dell´utente.”
A questa stregua, la soluzione ad oggi avallata dal nostro Garante non sembrerebbe poi tanto lontana dai principi stabiliti dalla Corte di Giustizia con la sentenza in esame, e in questo senso risulterebbe in realtà decisamente contenuta la portata innovativa di tale pronuncia.
V. Conclusioni.
Alla luce di quanto fin qui esposto, non essendo il panorama europeo uniforme in tema di modalità di acquisizione del consenso, si prevede che gli organi competenti elaboreranno a breve apposite linee guida e normative volte a fare chiarezza o addirittura regolamentare l’ambito. Peraltro, su questa linea avevano già iniziato a muoversi, nei primi mesi di questa estate, sia l’Autorità Garante inglese (ICO) che l’Autorità Garante francese (CNIL), le quali avevano pubblicato apposite Guidelinessull’uso dei cookie.
Per quanto concerne più specificamente il panorama italiano, in particolare, occorrerà nell’immediato valutare se il predetto provvedimento del 2014 sia da considerarsi superato ovvero possa ritenersi compatibile rispetto ai principi contenuti nella sentenza in esame. Come avvenuto all’indomani dell’entrata in vigore del regolamento 2016/679, quindi, il Garante italiano sarà tenuto a verificare – per la seconda volta – se le predette “modalità semplificate” in passato suggerite siano in linea con la normativa vigente o se debbano essere ridisegnate anche alla luce dei principi da ultimo enunciati dalla Corte di Giustizia.
Ad ogni modo, nell’attesa che venga presa posizione al riguardo, si raccomanda alle aziende operanti nel web di verificare che gli strumenti attualmente utilizzati per l’acquisizione del consenso degli utenti siano conformi rispetto ai principi esaminati e, in particolare: (i) che le caselle dei form di manifestazione del consenso non siano preselezionate (come oggi avviene, ad esempio, nell’ambito di alcune Consent Management Platform), e (ii) che i medesimi strumenti siano in ogni caso conformi alle indicazioni dell’Autorità Garante.
Peraltro, considerato il peso delle sentenze della Corte di Giustizia rispetto alla produzione legislativa dell’Unione Europea e dei relativi Stati membri, si immagina che la decisione in esame possa in influenzare anche i negoziati in corso sul testo del nuovo regolamento “e-Privacy” – destinato a sostituire la predetta direttiva 2002/58 – con il rischio che possano essere previsti sistemi ancor più rigidi per l’acquisizione del consenso. Anche a questa stregua, quindi, gli operatori del settore dovranno essere proattivi nel dialogo con le istituzioni e pronti per un eventuale adeguamento.