2. Prima chiedi il consenso per i cookie
La disciplina ePrivacy prescrive il consenso dell’utente o contraente ogni volta che si utilizzano cookie e tecnologie simili, fatta eccezione per le tassative eccezioni (le esenzioni da questo requisito, ad esempio, non si applicano nel contesto della pubblicità online in generale e delle offerte in tempo reale o “real time bidding”, in particolare).
Il legittimo interesse non è una base giuridica per l’uso dei cookie.
Le regole sul consenso in relazione ai cookie hanno la precedenza sul GDPR perché la disciplina ePrivacy è norma speciale rispetto al GDPR, questo comporta – ad esempio – che il legittimo interesse, che pure costituisce una delle basi giuridiche che il GDPR prevede per il trattamento di dati personali comuni, non può essere fatto valere in ambito ePrivacy e per l’utilizzo dei cookie, tanto meno per i cookie utilizzati a fini di marketing.
Se i cookie contengono anche dati personali, il consenso ePrivacy vale anche come base giuridica sotto il profilo GDPR, né sarebbe corretto indicare il legittimo interesse come ulteriore base giuridica secondo il GDPR. Fa rilevare l’Information Commissioner inglese al riguardo:
«se le organizzazioni sono tenute a ottenere il consenso per il marketing in conformità all’ePrivacy, in pratica il consenso è la base giuridica appropriata anche ai sensi del GDPR. Inoltre, cercare di applicare l’interesse legittimo quando un’organizzazione ha già il consenso conforme al GDPR sarebbe un esercizio del tutto inutile e creerebbe confusione per gli individui. Ad esempio, le organizzazioni dovrebbero assicurarsi di disporre di un consenso valido e di aver soddisfatto anche tutti i requisiti di interesse legittimo. Potrebbe individuarsi in tale prativa anche un elemento di non correttezza. Ad esempio, nei casi in cui le persone comprendono che i loro dati personali vengono trattati sulla base del consenso, ma una volta revocato tale consenso, l’organizzazione continua a trattarli sulla base dell’interesse legittimo».
Il consenso preventivo richiesto dalla norma ePrivacy deve essere conforme allo standard GDPR.
In sostanza, è irrilevante se le informazioni archiviate o a cui si accede siano dati personali: il consenso dell’utente occorre sempre e prima che sia impiantato un cookie nel dispositivo di quest’ultimo (o si acceda alle informazioni in esso registrate).
Il GDPR chiarisce che alcuni cookie, per loro natura, comportano il trattamento di dati personali.
Il Considerando (30) in proposito indica che:
«Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.»
Questo vale per quasi tutti i cookie di marketing, targeting e analisi dei dati web che memorizzano codici identificativi dei visitatori (come l’ID utente, l’indirizzo IP o la geolocalizzazione).
La Corte suprema federale tedesca con la sua decisione del 28 maggio 2020 nel caso Planet49, in merito ai requisiti di consenso per l’uso dei cookie, e che fa seguito alla pronuncia pregiudiziale della Corte di giustizia dell’Unione europea del 10 settembre 2019 (Causa C-673/17), applicando i principi contenuti nella pronuncia pregiudiziale della CGUE, ha stabilito che l’uso di cookie che creano profili utente per scopi pubblicitari o di ricerche di mercato richiede consenso. Il consenso è richiesto anche quando agli utenti viene assegnato un numero ID generato casualmente e i dati raccolti tramite i cookie vengono “pseudonimizzati”.
Analogamente occorrerà il consenso dell’utente se si trasferiscono dati personali a terzi, ad es. attraverso i cookie di fornitori terze parti. Pertanto, la raccolta di un valido consenso sui cookie è essenziale anche per soddisfare i requisiti del GDPR.
Il consenso deve essere sempre ottenuto prima che il titolare del trattamento inizi il trattamento dei dati personali per i quali è necessario il consenso.
Come evidenziato nelle linee guida 5/2020 dell’EDPB, la circostanza che il consenso deve essere dato prima dell’attività di trattamento, risulta implicitamente dalla formulazione “ha fornito” nell’articolo 6, paragrafo 1, lettera a) del GDPR.
Sostiene l’EDPB che:
«Discende logicamente dall’articolo 6 e dal considerando 40 che prima di avviare un trattamento dei dati deve essere presente una base giuridica valida. Pertanto, il consenso dovrebbe essere prestato prima dell’attività di trattamento.» [linee guida 5/2020, §90].
Recita l’articolo 122 del codice privacy (attuativo dell’art. 5, paragrafo 3, della direttiva 2002/58 / CE del 12 luglio 2002 nota come “ePrivacy”, modificata nel 2009):
«1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalita’ semplificate. (…)».
L’obbligo del consenso preventivo è tecnologicamente neutro e non riguarda solo i cookie ma ogni tecnologia analoga, come precisato nella dichiarazione ePrivacy dell’EDPB del 2018.
I requisiti di validità del consenso per il trattamento dei dati delle comunicazioni elettroniche, anche se non necessariamente di natura “personale”, sono quelli dettati dal GDPR1; di conseguenza, la disciplina del consenso risulta omogenea in entrambi i contesti GDPR e ePrivacy.
Nella dichiarazione ePrivacy dell’EDPB del 2018 il Comitato ha ribadito che «il consenso che deve essere ottenuto secondo il (futuro nda) regolamento ePrivacy ha lo stesso significato di quello del GDPR».
In linea con tale impostazione, le linee guida 5/2020 dell’EDPB esplicitamente confermano che per la validità del consenso sui cookie occorre fare riferimento al GDPR, in quanto
«i requisiti per il consenso ai sensi del GDPR non sono considerati un “obbligo supplementare”, ma piuttosto come presupposti per un trattamento legittimo. Pertanto, le condizioni GDPR per ottenere il consenso valido sono applicabili in situazioni che rientrano nell’ambito di applicazione della direttiva ePrivacy».
Il Garante, nelle linee guida sui cookie, precisa che «[p]er i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.»
Il consenso preventivo dell’utente per l’installazione dei cookie o l’accesso alle informazioni presenti nel proprio dispositivo non è richiesto quando cookie e strumenti di tracciamento analoghi sono “strettamente necessari”:
- per funzioni essenziali alla trasmissione di una comunicazione su una rete di comunicazione elettronica
- per la fornitura di un servizio esplicitamente richiesto dall’utente.
In proposito, il secondo periodo del comma 1 dell’articolo 122 del codice privacy così recita:
«Ciò (cioè l’obbligo del consenso, nda) non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio.».
Il testo della norma evidenzia che, al di là della deroga per l’ipotesi dell’esigenza tecnica di trasmissione, l’altra deroga dell’uso di cookie per l’erogazione del servizio richiesto dall’utente si applica limitatamente all’ipotesi che il cookie sia strettamente necessario allo scopo; ciò comporta che cookie utili o convenienti ma non essenziali oppure essenziali solo per gli scopi dell’operatore, richiederanno comunque il consenso dell’utente.
Sulla base della formulazione normativa, le autorità di supervisione ritengono che siano esclusi dall’obbligo del consenso i cookie funzionali al funzionamento della piattaforma come
- la memorizzazione dello stato di accesso
- quelli per la scelta dei prodotti nel carrello per gli acquisti o per procedere al pagamento su un sito web di acquisti in Internet
- cookie per la sicurezza dei dati richiesta dalla legge
- cookie di bilanciamento del carico che garantiscono il caricamento rapido ed efficace del contenuto della pagina distribuendo il carico di lavoro su più computer.
Anche in questi casi, comunque, è buona pratica informare gli utenti su questi tipi di cookie.
Note
- Infatti, l’articolo 2 f) della direttiva 2002/58/CE prevede che il termine ««consenso» dell’utente o dell’abbonato: corrisponde al consenso della persona interessata di cui alla direttiva 95/46/CE;» mentre l’articolo 94.2 del GDPR precisa che i riferimenti alla direttiva 95/46/CE «si intendono fatti al presente regolamento». Di conseguenza, per il consenso ePrivacy occorre fare riferimento alla definizione e alle condizioni previste dagli articoli 4 (11) e 7 del GDPR. D’altro canto, il Considerando (175) del GDPR precisa che il regolamento si applica «a tutti gli aspetti» del trattamento dei dati personali non coperti da «obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE».