Cookie: cresce l’incertezza su tale tematica tra vecchie norme e nuove linee guida
Il corretto utilizzo dei cookie nei siti web, tematica spesso al centro di accese discussioni, nel corso degli ultimi mesi è stato oggetto non solo della discussa sentenza della Corte di Giustizia dell’Unione Europea sul caso Planet49 (C-673/17, pubblicata in data 1.10.2019), ma anche di alcuni provvedimenti emanati dalle autorità europee garanti per la protezione dei dati personali (di seguito, “Garanti privacy”).
Preliminarmente, è necessario rilevare che l’ultimo intervento legislativo a livello comunitario in materia di cookie risale alla Direttiva 2009/136/CE, che ha modificato la disciplina di cui alla Direttiva 2002/58/CE, c.d. e-Privacy.
Tale direttiva è stata recepita con leggi nazionali degli Stati membri e poi oggetto di regolamentazione ulteriore da parte dei Garanti privacy, circostanza che ha comportato un’implementazione frammentata di tale disciplina.
Ad incrinare ulteriormente il panorama normativo europeo è intervenuto il Regolamento europeo 679/2016, c.d. GDPR, i cui principi, avuto particolare riguardo a quelli relativi alla manifestazione del consenso dell’interessato, sembrerebbero mettere in discussione i cardini delle citate regolamentazioni nazionali.
Auspicabilmente, tali contrasti saranno risolti con l’entrata in vigore del Regolamento e-privacy, il quale dovrebbe introdurre una normativa sui cookie uniforme e direttamente applicabile in tutti gli Stati membri ma la cui emanazione, tuttavia, è oggetto di continue proroghe dovute alla difficoltà di trovare un’intesa su tale tematica.
Nelle more, la precarica convivenza normativa tra le regolamentazioni dei Garanti privacy in tema di cookie e il GDPR è stata evidenziata dalla sentenza della CGUE sul caso Planet49 la quale, nell’evidenziare che “il requisito della manifestazione della volontà della persona interessata evoca chiaramente un comportamento attivo e non uso passivo”, parrebbe mettere in discussione la validità di alcune modalità di acquisizione del consenso non propriamente attive ed inequivocabili, quali proseguire nella navigazione della pagina web ovvero “cliccare” su un qualsiasi link presente su tale pagina.
Tale interpretazione sembrerebbe in aperto contrasto con quanto stabilito dal Garante privacy italiano il quale, in un provvedimento adottato, prima dell’entrata in vigore del GDPR, in esecuzione alle disposizioni contenute nella legge di recepimento della Direttiva e-privacy (Provvedimento n. 229 dell’8.5.2014), ha espressamente previsto la conformità della prosecuzione della navigazione del sito quale modalità per acquisire il consenso dell’interessato all’utilizzo di cookie.
Di recente, i Garanti privacy di Spagna, Francia e Gran Bretagna hanno pubblicato nuove linee guida le quali, tuttavia, seppur adottate successivamente all’emanazione GDPR, presentano delle divergenze tra di esse e, di conseguenza, creano ulteriore confusione in materia.
A titolo esemplificativo, il Garante privacy francese, con le linee guida adottate in data 18.7.2019, ha abrogato la precedente versione risalente al 2013, nella quale riteneva sufficiente il proseguimento della navigazione come manifestazione del consenso all’utilizzo dei cookie. Nella versione attualmente in vigore, richiede che l’interessato debba esprimere il proprio consenso attivandosi in modo inequivocabile, ossia “cliccando” sul c.d. cookie button, posizione condivisa anche dal Garante privacy inglese nelle proprie linee guida pubblicate in data 3.7.2019.
Al contrario il Garante spagnolo, pur avendo adottato le linee guida sui cookie nel novembre 2019 e, quindi, successivamente all’emanazione del GDPR e della citata sentenza della CGUE, conferma la prosecuzione nella navigazione del sito quale valida modalità di acquisizione del consenso dell’interessato, richiedendo, in ogni caso, che all’interno del banner venga indicata altresì la possibilità di rifiutare tutti i cookie, con la descrizione delle modalità con cui esprimere tale volontà.
Non solo. I Garanti privacy francese e spagnolo nelle proprie recenti linee guida hanno introdotto delle specifiche disposizioni in merito alla necessità di fornire all’utente la possibilità di prestare un consenso granulare all’utilizzo dei cookie che gli permetta di acconsentire solo a determinate categorie di cookie.
Nello specifico, l’AEDP (Agencia Española de Protección de Datos), richiede che nelle informazioni fornite all’interno del banner iniziale si preveda un rinvio ad un pannello che permetta all’interessato di gestire le proprie preferenze sui cookie, selezionando le tipologie che desidera vengano installate sul proprio dispositivo, mentre la CNIL (Commission Nationale de l’Informatique et des Libertés) si limita a stabilire che la richiesta di un consenso globale all’utilizzo dei cookie è accettabile a condizione che ad essa si aggiunga la possibilità per l’interessato di acconsentire specificamente a ciascuna finalità.
Il Garante belga, nel proprio provvedimento del 9.1.2020, conferma la posizione espressa dalle suddette autorità circa la necessità di acquisire un consenso granulare; il Garante privacy inglese, invece, nelle sopra richiamate linee guida, parrebbe non essersi espresso sul punto.
Alla luce della sostanziale incertezza normativa, nonché delle costanti divergenze che, come evidenziato, si registrano tra le posizioni dei Garanti privacy degli Stati membri, si auspica una celere entrata in vigore del nuovo regolamento e-privacy, per ottenere finalmente certezza ed uniformità in una tematica così controversa quale quella dei cookie.