Orizzonte Giuridico
Orizzonte Giuridico
Orizzonte Giuridico
Diritto costituzionale

COOKIE: OBBLIGHI, CONSENSO E TUTELE DELL’UTENTE NEL QUADRO EUROPEO

Marialaura Leo Marialaura Leo
·
Condividi su Facebook Condividi su X Condividi su LinkedIn Condividi su WhatsApp Invia per email Stampa

ABSTRACT: La disciplina dei cookie si rinviene all’interno della Direttiva e-Privacy e nella sua attuazione nel Codice Privacy. Vi sono varie categorie di cookie che si distinguono, in base alla funzione che svolgono, tra strumenti tecnici, di profilazione, analytics, nonché cookie di prime e terze parti. Particolare attenzione è dedicata al ruolo dell’art. 122 del Codice Privacy, che consente l’impiego di cookie senza consenso solo in presenza di specifiche esigenze tecniche o di servizi richiesti dall’utente. I principi del GDPR e la giurisprudenza della Corte di Giustizia, in particolare la sentenza Planet49, chiariscono i requisiti di validità del consenso, escludendo modalità di accettazione implicite come le caselle preselezionate o lo scrolling della pagina. Restano, inoltre, delicate le questioni relative ai cookie wall, che possono compromettere la libertà effettiva della scelta dell’utente.

SOMMARIO: 1.CONTESTO NORMATIVO – 2. DISCIPLINA E TIPOLOGIE DI COOKIE – 3. LA VALIDITÀ DEL CONSENSO. LA NECESSITÀ DI UN CONSENSO ATTIVO. IL PROBLEMA DEL CD. COOKIE WALL E DEL CD.SCROLLING

1. CONTESTO NORMATIVO

Ogni volta che apriamo un sito web, la prima cosa che appare non è quasi mai il contenuto che stavamo cercando, ma un banner che ci chiede di accettare o rifiutare l’uso dei cookie. È diventato un gesto automatico: clicchiamo su “Accetta”, “Rifiuta” o “Gestisci preferenze” spesso senza soffermarci su ciò che stiamo autorizzando. Ma dietro quel popup c’è una disciplina articolata. L’utilizzo dei cookie è disciplinato, nell’ordinamento comunitario, dalla Direttiva e-privacy (2002/58/CE), che regola il trattamento dei dati personali nel settore specifico delle comunicazioni elettroniche, derogando per specialità, alle regole previste nel GDPR.

La Direttiva si applica esclusivamente ai servizi di comunicazione elettronica messi a disposizione del pubblico tramite reti aperte all’utenza (art. 3). Nel nostro ordinamento la disciplina delle comunicazioni elettroniche pubbliche è stata implementata nel Codice privacy (d.lgs. 196/2003), in particolare nel titolo X, agli articoli 121 -134.

2. DISCIPLINA E TIPOLOGIE DI COOKIE

cookie sono strumenti che permettono di memorizzare o accedere a informazioni presenti nel dispositivo dell’utente durante l’utilizzo di un sito web. Rientrano nelle tecnologie di archiviazione previste dall’art. 5, par. 3, della Direttiva e-Privacy e possono essere impiegati per diversi fini: svolgono sia una funzione tecnica necessaria alla navigazione, al corretto funzionamento delle pagine web e alla velocità del caricamento; ma possono essere impiegati anche per finalità più articolate, come raccogliere dati sulle attività online dell’utente o per la pubblicità personalizzata basata sul comportamento di navigazione. In questo modo è possibile mostrare annunci mirati, valutare il rendimento delle campagne pubblicitarie e adattare i servizi offerti alle abitudini dell’utente osservate in precedenza. 

Dal punto di vista della loro classificazione il Garante privacy nel 2021 ha pubblicato delle Linee guida, in cui definisce e differenzia i vari tipi di cookie. In particolare, sono:

  • cookie tecnici (o essenziali), quelli ‘’utilizzati al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio’’
  • cookie di profilazione, ‘’utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete’’

Vi sono, inoltre, i:

  • cookie analytics, usati per verificare il numero di utenti che accede ad un determinato sito web

Detti cookie possono, poi, essere cookie di:

  • Prime parti: installati direttamente dal sito che l’utente sta visitando, utilizzati dal titolare del sito per funzioni interne (es. login, carrello, preferenze o statistiche).
  • Terze parti: installati da soggetti esterni al sito visitato (come Google, Meta, TikTok), i quali si appoggiano a servizi di terzi che raccolgono informazioni sugli utenti per finalità proprie, ad esempio pubblicitarie.

Nel contesto italiano è particolarmente rilevante l’art. 122 del Codice privacy, il quale regola l’uso dei cookie e degli altri strumenti di tracciamento. Questo prevede che l’archiviazione di dati all’interno del dispositivo di un utente oppure l’accesso a informazioni che vi sono già conservate è possibile solo se l’utente ha dato il proprio consenso dopo essere stato informato, tramite strumenti semplificati e facilmente accessibili, come i comuni banner informativi.

Questa regola, però, ammette due eccezioni:

  1. Cookie tecnici necessari alla comunicazione: possono essere installati anche senza consenso quando servono unicamente a permettere la trasmissione di una comunicazione attraverso la rete
  2. Cookie necessari a un servizio richiesto dall’utente: è possibile utilizzare senza consenso quei dati che sono indispensabili per erogare un servizio che l’utente ha richiesto espressamente 

3. LA VALIDITÀ DEL CONSENSO. LA NECESSITÀ DI UN CONSENSO ATTIVO. IL PROBLEMA DEL CD. COOKIE WALL E DEL CD.SCROLLING

Sebbene la disciplina specifica in materia di cookie preveda espressamente il ricorso al consenso, è comunque necessario fare riferimento al GDPR per determinarne le caratteristiche, i requisiti di validità e le condizioni di conformità. In questo ambito, infatti, il consenso costituisce la sola base giuridica idonea a legittimare il trattamento dei dati personali derivante dall’utilizzo di cookie non tecnici, ai sensi dell’art. 6 GDPR.

Si è discusso circa la validità del consenso prestato in detto ambito. La decisione della Corte di Giustizia nella causa Planet49 ha rappresentato un passaggio fondamentale in questo senso.
La Corte ha stabilito, infatti, che il consenso non può dirsi valido quando davanti all’utente compare una casella preselezionata, che richiede soltanto l’azione di deselezionarla per opporsi al trattamento.
Secondo i giudici di Lussemburgo, il consenso deve essere inequivocabile e basato su un’azione attiva: l’utente deve esprimere una scelta consapevole, e non limitarsi a non modificare una preselezione predisposta dal sito. 

In detta prospettiva, infatti, l’articolo 25 del GDPR introduce i principi di privacy by design e privacy by default, imponendo al Titolare del trattamento di integrare fin dall’inizio, in le tutele previste dal Regolamento (UE) 2016/679. In particolare, la privacy by default richiede che, in assenza di scelte dell’utente, vengano raccolte e utilizzate solo le informazioni indispensabili al funzionamento del servizio, ossia cookie e strumenti di tracciamento tecnici.
In questa ottica si pone anche il considerando 32 del GDPR, secondo cui il consenso deve risultare da un’azione chiara e positiva, che esprima una decisione libera, specifica, informata e inequivocabile dell’utente. Tale manifestazione può avvenire attraverso una dichiarazione o con un comportamento che, nel contesto in cui si inserisce, renda evidente l’accettazione del trattamento. Al contrario, l’inerzia, il silenzio o caselle preselezionate non possono mai essere considerati come consenso valido.

Proprio per questi motivi, all’interno delle Linee guida del Garante privacy ci si è soffermati anche sullo strumento del cd. cookie wall, il quale non permette l’accesso al sito web agli utenti che non prestano il consenso a tutti i cookie presenti. Una modalità di questo tipo non permette di ricevere un consenso libero dell’utente come richiesto all’art. 4 punto 11 del GDPR. Il Garante, però, non ritiene automaticamente nullo il consenso raccolto in queste circostanze, in quanto la validità rimane possibile se il Titolare del trattamento dimostra di aver messo a disposizione dell’utente un servizio fruibile anche senza dover necessariamente prestare il consenso al trattamento dei dati personali.

Si pone su questa scia anche la pratica della raccolta del consenso tramite cd. scrolling, ossia il semplice ‘’scroll down’’ del cursore. Sia l’EDPB ( European Data Protection Border) che il Garante Privacy hanno ribadito che il semplice scorrimento della pagina web non può mai costituire, da solo, una manifestazione inequivoca della volontà dell’utente di accettare l’installazione di cookie non tecnici. Ciò non esclude, tuttavia, che lo scrolling possa essere inserito in una procedura strutturata in modo tale da far derivare da una sequenza di azioni dell’utente un comportamento che, nel suo insieme, rappresenti comunque una scelta consapevole.
In definitiva, accanto al banner necessario per raccogliere il consenso nei casi in cui è previsto, ogni sito web deve mettere a disposizione dell’utente un’informativa completa e facilmente accessibile sui cookie. Detto documento rappresenta lo strumento essenziale che consente all’utente di comprendere quali dati vengono raccolti, per quali finalità e con quali eventuali soggetti terzi condivisi, di modo che la scelta possa dirsi realmente libera, consapevole e conforme ai requisiti del GDPR.

Il consenso prestato tramite banner deve essere conservato per un periodo di sei mesi durante il quale all’utente non può essere richiesto nuovamente il consenso, salvo che intervengano modifiche nelle condizioni del trattamento o nelle caratteristiche dei cookie utilizzati. Resta fermo che l’utente può in ogni momento rivedere e modificare le proprie preferenze. Già la corte nel caso Planet49, infatti, aveva precisato che l’informativa sui cookie deve riportare chiaramente la durata della memorizzazione e l’eventuale accesso da parte di terzi ai dati archiviati sul terminale dell’utente.

BIBLIOGRAFIA  

Autore

  • Marialaura Leo

    Marialaura Leo è attualmente una studentessa iscritta al corso di laurea in Giurisprudenza presso l’Università degli Studi di Trento. Durante il suo percorso accademico, ha sviluppato un particolare interesse e una profonda passione per il diritto penale, disciplina che le ha permesso di approfondire tematiche complesse e di grande rilevanza nel campo della giurisprudenza. La sua dedizione agli studi e il suo entusiasmo per le materie penalistiche si manifestano attraverso un impegno costante e una volontà di acquisire una conoscenza approfondita delle normative, delle procedure e delle dinamiche che caratterizzano il settore del diritto penale.