Tutti i giorni quando apriamo un sito internet, da computer fisso o da dispositivo mobile, siamo “costretti” ad accettare i cookies, per andare avanti nella navigazione.
A parte il fastidio, soprattutto su mobile (le scritte di “informativa” ci coprono lo schermo e ci impediscono di leggere), abbiamo fretta ed esprimiamo il nostro consenso senza leggere in alcun modo cosa stiamo approvando.
La sentenza della Corte di giustizia dell’Unione Europea del 1.10.2019 (Grande Sezione – cioè 15 giudici – questione dunque importante) in sede di rinvio pregiudiziale della “Cassazione” tedesca (con una decisione resa per chiarire dunque in via definitiva e vincolante una questione relativa all’interpretazione o alla validità di un atto di diritto europeo), ha deciso che il consenso all’istallazione di cookies non è validamente espresso quando l’autorizzazione viene concessa “mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso”
La decisione è sicuramente condivisibile, ma ci si dovrebbe interrogare sulla effettività del consenso anche quando la casella non è preselezionata.
La questione è regolata a livello europeo:
- dalla Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche
- dal Regolamento (UE) 2016/679 (prima di esso dalla Direttiva 95/46/CE) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali
Per la Corte la questione non deve essere interpretata in modo diverso a seconda che le informazioni archiviate o consultate nell’apparecchiatura terminale dell’utente di un sito Internet costituiscano o meno dati personali, ai sensi della direttiva 95/46 e del regolamento 2016/679.
Ai sensi della normativa comunitaria per “consenso della persona interessata”: si intende “qualsiasi manifestazione di volontà libera, specifica e informata».
Per quanto riguarda in consenso tramite spunta di una casella,
- secondo i considerando della direttiva 2002/58 Il consenso può essere fornito “secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel caso di un sito Internet” (è ovvio che l’intrusione nel dispositivo dell’utente con un cookie deve essere autorizzato, o quantomeno noto).
- Il considerando 32 del regolamento 2016/679 enuncia quanto segue: «Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso».
Infatti secondo l’articolo 7 del Regolamento 2016/679, paragrafo 4, «Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».
************
Le riflessioni che sorgono dall’esame della normativa e della decisione di cui sopra, sono le seguenti:
- il selezionare attivamente una casella di consenso implica un coinvolgimento necessario dell’utente e dunque è richiesto dalla legge
- la presenza di un pop up che informa dell’utilizzo dei cookies, e la selezione attiva di uno o più caselle, rende consapevole dell’esistenza della installazione dei cookies stessi sul proprio dispositivo
- la selezione attiva di una casella presuppone che l’utente sappia cosa fanno in concreto i cookies che approva, e per quanto rimarranno sul proprio computer (anche se la stessa decisione sopra citata impone di informare l’utente sul punto della durata)
- la adesione alla installazione dei cookies deve essere veramente libera, e dunque tutti i cookies che non sono necessari alla prestazione del servizio devono e possono essere non accettati, semplicemente andando avanti nella navigazione
- l’utente deve fare uno sforzo e cliccare su “approfondisci” o “leggi di più” o simili espressioni, ove troverà la possibilità di verificare la esistenza di caselle libere da spuntare solo se veramente interessato e consapevole, e il lasciare le stesse non selezionate deve comunque consentire la prosecuzione della fruizione dei contenuti