Normativa sui Cookie: l’Italia adegua le linee guida e in Europa sanzioni da 100 milioni di euro a Google e 35 milioni per Amazon

La normativa sui cookie può presentare sotto alcuni aspetti alcune complessità applicative anche in riferimento alla varietà delle norme applicabili, in quanto a seguito dei recenti pronunciamenti della Corte di Giustizia dell’Unione Europea (CGUE) 1 e delle Linee guida sul consenso adottate il 4 maggio 2020 dall’ EDPB2 si è reso necessario un nuovo intervento del Garante per la protezione dei dati personali allo scopo di integrare i propri precedenti interventi del 2014 e 2015. Per il questo il Garante ha avviato una consultazione pubblica sull’utilizzo dei cookie3 e di altri strumenti di tracciamento pubblicata in Gazzetta Ufficiale l’11 dicembre 2020.

La CGUE e l’EDPB, con le loro decisioni hanno mostrato un cambiamento verso il rafforzamento della protezione dei dati personali per i cookie e di altre tecnologie di tracciamento, evidenziando la necessità di un quadro rafforzato di tutele maggiormente orientate a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in sostanza, della capacità di autodeterminazione del singolo.

In attesa dell’emanazione del nuovo Regolamento e-Privacy che dovrà abrogare la direttiva attuale, introducendo così un nuovo set di norme europee comuni a tutti gli stati membri dell’unione, ad oggi, in tema cookie le normative di riferimento sono sia di tipo europeo e nazionale. Il GDPR in quanto regolamento europeo è direttamente applicabile dagli stati membri, mentre la direttiva e-privacy è stata recepita dagli stati membri con leggi nazionali. Possiamo quindi considerare come applicabili gli artt. 7 e 8 della Carta dei diritti fondamentali dell’UE (Carta di Nizza), direttiva 2002/58/Ce (Direttiva ePrivacy) e successive modifiche, art. 122 del d.lgs. 30 giugno 2003, n. 196 (Codice Privacy italiano) che recepisce le indicazioni della direttiva ePrivacy. Il Regolamento (UE) 2016/679, per la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32, come da ultimo interpretati dalle “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” versione 1.1 adottate il 4 maggio 2020 dall’ EDPB.
Appare quindi opportuno applicare il Regolamento a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali anche a tutti quei trattamenti di dati personali che non rientrano in obblighi specifici aventi lo stesso obiettivo di altre direttive compresa la direttiva ePrivacy, come da considerando 173 e art. 95 GDPR.

Molte attività di trattamento devono essere quindi ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento come infatti la Corte di Giustizia si è espressa con alcune sentenze. Si tratta della sentenza Fashion ID (C-40/17 del 29 luglio 2019) e Planet49 (c-673/17), dalle quali è emerso che un inserzionista (amministratore di Fan Page Facebook) o il titolare di un sito web possono ricoprire il ruolo di contitolari del trattamento limitatamente all’operazione o all’insieme di operazioni di trattamento per le quali entrambi i soggetti determinano congiuntamente le finalità e i mezzi. Ne consegue che a norma dell’art.26 del GDPR risulta obbligatori la definizione di un accordo interno, in cui si devono definire chiaramente le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14.

Nella sentenza Fashion ID la Corte ha indicato che la contitolarità del trattamento può sorgere quando funzionalità o plug-in di terze parti sono inserite in un sito Web. Nel caso Planet49 (caso c-673/17) la Corte ha rivalutato lo standard per il la richiesta del consenso per l’utilizzo dei cookie che deve avvenire secondo le condizioni previste dal GDPR e come precisate nelle linee guida dell’EDPB sul consenso.

In queste circostanze, fornitore di social network, inserzionista e gestore del sito o di Fan Page, si dovrebbero sempre considerare titolari o contitolari del trattamento, limitatamente all’operazione o all’insieme di operazioni di trattamento per le quali entrambi i soggetti determinano congiuntamente le finalità e i mezzi; ma non dovrebbero essere considerati contitolari per tutto ciò che è avvenuto prima e che avverrà dopo in modo autonomo sulle parti di trattamento di loro esclusiva competenza. Inoltre, l’EDPB ha evidenziato che in questi casi la titolarità ovvero la contitolarità si potrebbero configurare anche senza avere accesso ai dati personali.

La legge nazionale italiana che ha recepito la direttiva ePrivacy al’art.122 dice in sostanza che i cookie (e qualsiasi altro sistema di tracciamento) è generalmente vietata (art.122 2-bis) e consentita solo a precise e tipizzate condizioni.

Codice della privacy, (D.lgs. 30 giugno 2003, n. 196 Aggiornato al 30/10/2020)
Articolo 122 – Informazioni raccolte nei riguardi dell’contraente o dell’utente.
2-bis. “Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

La scrittura o lettura di cookie (e di qualsiasi altra informazione o elemento di tracciamento) nell’apparecchio terminale (da intendersi nel senso più ampio del termine computer, tablet, smartphone, console di gioco, IoT, smat meeters o contatori intelligenti, ecc.) di un contraente o di un utente dovrebbe avvenire solo con il suo consenso e dopo aver fornito un’informativa.

Articolo 122 – Informazioni raccolte nei riguardi dell’contraente o dell’utente.
  1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

Unica deroga al consenso, sempre prevista dall’art.122 del Codice, è la possibilità di effettuare l’archiviazione tecnica o l’accesso a informazioni già archiviate nel dispositivo, ma solo nella misura in cui queste siano unicamente necessarie al funzionamento della comunicazione o se strettamente necessaria al fornitore di un servizio online per erogare un servizio che è stato espressamente richiesto dall’abbonato o dall’’utente.

Articolo 122 – Informazioni raccolte nei riguardi dell’contraente o dell’utente.

Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio.

Queste norme si riferiscono quindi a tutte le operazioni di lettura e scrittura tramite cookie e altri tracciatori o sistemi di tracciamento che utilizzano informazioni memorizzate o accessibili in apparecchiature terminali, indipendentemente dal fatto che si tratti o meno di dati personali.

Per i cookie non tecnici è sempre necessario il consenso nelle modalità previste dal Regolamento. Per i cookie tecnici, che hanno il solo scopo di consentire o facilitare la comunicazione elettronica, non è richiesto il consenso, ma solo se indispensabili all’erogazione del servizio di connessione o di contratto richiesto dall’utente. In questo caso la base legale per il trattamento non dovrebbe essere ricondotta ai casi previsti dalle lette a) e f) dell’articolo 6 del Regolamento (consenso e legittimo interesse).

In ogni caso, qualsiasi cookie tecnico, che di per sé non richiederebbe il consenso, se è utilizzato anche per altre ulteriori finalità, comprese quelle di tracciamento per finalità di marketing e la profilazione, se utilizzato per altre finalità ovvero se incrociato con qualsiasi altro dato per finalità ulteriori, tali ulteriori trattamenti devono considerarsi illeciti a norma art. 122 del Codice se per ciascuno di essi non è stato raccolto un libero, specifico, esplicito, informato e inequivocabile consenso.

Tenere traccia del comportamento degli utenti, elaborare preferenze di consumo e fornire pubblicità personalizzata è sempre un tracciamento da ritenersi rigorosamente regolato dalle ‘Cookie Law’ dell’UE (articolo 5, paragrafo 3, della direttiva e-Privacy) e dell’art.122 del Codice Privacy e richiede il consenso informato e inequivocabile degli utenti. In assenza di consenso si deve sempre supporre il rifiuto dell’utente e qualsiasi tipo di tracciante non può essere depositato e/o letto sul terminale dell’utente.

Qualsiasi forma di elusione del consenso attraverso il ricorso al legittimo interesse o altra forma, comunque la si voglia chiamare (es. Gestione Partner; Fornitori ecc.), dove spesso compare un elenco di diverse decine se non centinaia di voci con le caselle preselezionate (a volte senza nemmeno la possibilità di rifiutarli tutti in blocco) deve essere considerata non in linea con i principi di liceità, correttezza e trasparenza e ed è in violazione delle norme sul consenso.

Per i cookie tecnici che hanno il solo scopo di consentire o facilitare la comunicazione elettronica, non è richiesto il consenso, nella misura in cui l’archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio come previsto art 122 del codice. Mentre per i cookie non tecnici, se non strettamente funzionali alla fornitura del servizio, è generalmente necessario il consenso nelle modalità previste dal Regolamento e come previsto dall’ art. 122 del Codice, come visto sopra. Ne deriva quindi che qualsiasi cookie tecnico, che di per sé non richiede il consenso, se utilizzato anche per altre ulteriori finalità, comprese quelle di tracciamento per finalità di marketing compresa la profilazione ovvero se incrociato con qualsiasi altro dato per finalità ulteriori, tali ulteriori trattamenti devono considerarsi illeciti a norma art. 122 del Codice se per ciascuno di essi non è stato prestato un libero, specifico, informato, esplicito ed inequivocabile consenso. Apparirebbe quindi essere gergalmente non lecito il ricorso al legittimo interesse, ormai diffusamente utilizzato come mezzo per eludere l’obbligatorietà del consenso in quanto non conforme alle previsioni del Codice privacy art. 122. Il ricorso al legittimo interesse per finalità di marketing potrebbe considerarsi lecito solo nella misura in cui ricorrano le condizioni, da documentare e comprovare, che il caso sia riconducibile al caso del così detto soft spam.

Il 7 dicembre 2020, l’autorità francese CNIL ha sanzionato le società GOOGLE LLC e GOOGLE IRELAND LIMITED per un totale di 100 milioni di euro per aver inserito cookie pubblicitari sui computer degli utenti attraverso il motore di ricerca google.fr, senza ottenere il consenso preventivo e senza fornire informazioni adeguate. Sempre il 7 dicembre la CNIL ha sanzionato anche la società AMAZON EUROPE CORE per 35 milioni di euro per aver inserito cookie pubblicitari sui computer degli utenti, dalla pagina amazon.fr, senza ottenere il consenso preventivo e senza fornire informazioni adeguate.

I due casi presentano ambiti di particolare interesse come il fatto che il meccanismo di cooperazione previsto dal GDPR (“meccanismo one-stop shop”) non era applicabile in quanto le operazioni relative all’uso dei cookie rientrano nella direttiva “ePrivacy”, recepita nell’articolo 82 della legge francese sulla protezione dei dati e di essere territorialmente competente perché l’uso dei cookie viene effettuato nell’ambito delle “attività” della società GOOGLE FRANCE, che è lo “stabilimento” delle società GOOGLE LLC e GOOGLE IRELAND LIMITED sul territorio francese e che promuove i loro prodotti e servizi. Stesse motivazioni per Amazon Europe Core è una società di diritto lussemburghese, che fa parte del gruppo Amazon ed è responsabile dei siti web europei “Amazon”, il cui sito Web Internet è Amzon.fr.

La CNIL ritenuto inoltre che nel caso Google le società GOOGLE LLC e GOOGLE IRELAND LIMITED siano contitolari del trattamento ai sensi degli articoli 4, paragrafo 7 e 26, paragrafo 1, del GDPR in quanto determinano entrambe le finalità e i mezzi relativi all’uso dei cookie.

Se l’Italia in Europa e l’Europa nel mondo potranno assumere un ruolo trainante, sarà principalmente per la leadership culturale che riusciranno a promuovere, mettendo la tecnica al servizio dell’uomo; facendo percepire a tutti che la data protection non deve essere vista come ostacolo al business o vincolo burocratico, ma come sintesi di incontro tra tutela della persona ed economia digitale. In questo, anche le nuove linee guida del Garante italiano per la protezione dei dati, relative al corretto utilizzo dei cookies, risultano centrali per ribadire anche l’importanza di creare un clima diffuso di fiducia nei sistemi digitali che consentirà di favorire lo sviluppo dell’economia digitale in tutto il mercato interno (c.7 GDPR), in caso contrario le persone potrebbero essere tentate ad allontanarsene.

Note

  1. Corte di Giustizia dell’Unione Europea (CGUE) – Istituita nel 1952 con sede in Lussemburgo, ha il ruolo di garantire che il diritto dell’UE venga interpretato e applicato allo stesso modo in ogni paese europeo, garantire che i paesi e le istituzioni dell’Unione rispettino la normativa dell’UE.
  2. Il Comitato europeo per la protezione dei dati, istituito dal GDPR, ha sede a Bruxelles ed è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. È composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD); ne fanno altresì parte le autorità di controllo degli Stati EFTA/SEE senza diritto di voto.
  3. “Cookie: il Garante privacy avvia una consultazione pubblica sulle regole per il loro uso” https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9501006, ultima consultazione 07.01.2021

 

Articolo a cura di Stefano Luca Tresoldi

Profilo Autore

Data protection advisor, esperto nell'implementazione del GDPR in contesti operativi complessi anche in ambiti internazionali.
Ha maturando una significativa esperienza nella progettazione e nello sviluppo di Metodologie DPIA ad hoc per importanti gruppi internazionali. Ha ricoperto il ruolo di DPO ad interim per importanti gruppi industriali.

Condividi sui Social Network:

Ultimi Articoli