1. Informativa per i cookie
Secondo la disciplina ePrivacy, il fornitore di servizi deve informare l’utente in modo chiaro e completo in merito al trattamento dei dati tramite i cookie, in particolare sulle ragioni del tracciamento dei suoi dati, ossia sugli scopi del trattamento.
Nelle conclusioni dell’avvocato generale nella causa C-673/171, si sottolinea come l’obbligo di informativa in relazione all’uso dei cookie vada interpretato in senso ampio, in quanto «non ci si può attendere che l’utente medio di Internet possegga un elevato livello di conoscenza della funzione dei cookie», «a causa della complessità tecnica dei cookie, dell’asimmetria informativa tra fornitore e utente e, più in generale, della relativa mancanza di conoscenza da parte di qualsiasi utente medio di Internet».
Tramite l’informativa, «l’utente dev’essere in grado di valutare gli effetti delle proprie azioni. Le informazioni fornite devono essere chiaramente comprensibili e non soggette ad ambiguità o interpretazione e devono essere sufficientemente dettagliate, in modo da consentire all’utente di comprendere il funzionamento dei cookie effettivamente impiegati».
«L’obbligo di informare è legato al consenso, da intendersi nel senso che, perché possa esservi il consenso, deve esservi sempre prima l’informazione».
L’informativa sui cookie, oltre a soddisfare i requisiti di chiarezza, comprensibilità ed esaustività deve indicare la durata funzionale di ciascun cookie ed indicare il nominativo di terzi che possano eventualmente accedere alle informazioni in essi contenute (v. causa C-673/17, conclusioni dell’avvocato generale).
Nella causa C-673/17 Planet49 viene evidenziato che:
«la durata della funzione dei cookie costituisce un elemento del requisito del consenso informato (…) in materia di qualità e accessibilità delle informazioni agli utenti (…) (a)nche se il cookie è essenziale. (…) Tali informazioni sono fondamentali per consentire agli interessati di adottare decisioni informate prima del trattamento».
Come sostenuto anche dal governo italiano che ha presentato proprie osservazioni scritte:
«poiché i dati raccolti dai cookie devono essere eliminati quando essi non sono più necessari per conseguire lo scopo originario, ne deriva che il periodo di memorizzazione dei dati raccolti dev’essere chiaramente comunicato all’utente». [§117 e 118, C-673/17, conclusioni dell’avvocato generale].
La sentenza della CGUE conclude sul punto nel senso che:
«Pur se la durata del trattamento non compare tra tali informazioni, risulta tuttavia dal termine «almeno» contenuto nell’articolo 10 della direttiva 95/46 che queste ultime non sono elencate in modo esaustivo. Orbene, l’informazione sul periodo di attività dei cookie deve essere considerata rispondente al requisito del trattamento leale dei dati previsto dal suddetto articolo, in quanto (…) un lungo periodo di attività, o addirittura un periodo illimitato, implica la raccolta di numerose informazioni sulle abitudini di navigazione e sulla frequenza delle eventuali visite dell’utente ai siti dei partner pubblicitari (…)» [§78, C-673/17].
Uno dei principali requisiti per un consenso informato è che l’interessato sia a conoscenza dell’identità del titolare del trattamento. Questa condizione va soddisfatta in entrambi i casi di cookie “di prima parte” e “di terza parte” (cioè quando i cookie sono impiantati da operatori terzi rispetto all’amministratore del sito web di riferimento).
L’obbligo di indicare i dati indentificativi dei titolari di cookie di terze parti – ai fini del consenso informato – era già stato sottolineato dalla CGUE nel caso Planet49:
«(A)ffinché l’informazione sia chiara e completa, un utente dev’essere esplicitamente informato quanto al fatto se i terzi abbiano accesso o meno all’installazione dei cookie. Qualora i terzi abbiano accesso, la loro identità dev’essere rivelata.» [§120, C-673/17, conclusioni dell’avvocato generale].
Come ribadito dalla stessa Corte nella successiva decisione:
«Quanto alla possibilità o meno per i terzi di avere accesso a tali cookie, si tratta di un’informazione compresa tra le informazioni che figurano all’articolo 10, lettera c), della direttiva 95/46, nonché all’articolo 13, paragrafo 1, lettera e), del regolamento 2016/679, dal momento che tali disposizioni menzionano esplicitamente i destinatari o le categorie di destinatari.» [§80, C-673/17].
Linee Guida del Garante
Per le linee guida del Garante, in vigore dal gennaio 2022, «l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali). Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale.».
Raccomandazioni del CNIL
Nelle sue Raccomandazioni del 17/9/2020 (delibera n. 2020-092) il CNIL, dopo aver precisato che «l’elenco esaustivo e regolarmente aggiornato dei titolari del trattamento deve essere messo a disposizione degli utenti al momento della raccolta del loro consenso», suggerisce che
«l’identità e il link alla loro politica di trattamento dei dati di carattere personale, che vengono regolarmente aggiornati, possono ad esempio essere forniti ad un secondo livello informativo. Possono quindi essere resi disponibili dal primo livello tramite, ad esempio, un collegamento ipertestuale o un pulsante accessibile da questo livello. La Commissione raccomanda inoltre di utilizzare un nome descrittivo utilizzando termini chiari, come “elenco di società che utilizzano tracker sul nostro sito / applicazione”»
ed
«al primo livello di informazione potrebbe essere indicato il numero dei titolari» (doc. cit. §19 e 21)2.
Note
- Conclusioni dell’avvocato generale Maciej Szpunar relative alla causa C-673/17 Planet49 GmbH c. Bundesverband.
- Nello stesso senso le linee guida CNIL Delibera n. 2020-091 del 17/9/2020, §25.