Il Garante privacy spagnolo ha sanzionato la compagnia aerea Vueling per non aver fornito agli utenti la possibilità di...
La agencia Española de Protección de Datos (di seguito, “AEPD”) ha sanzionato Vueling con una multa pari a 30.000 euro (riducibile a 18.000 euro in caso di pagamento immediato in un’unica soluzione) per non aver dato agli utenti del proprio sito web la possibilità di gestire le proprie preferenze sulle tipologie di cookie installati, ovvero di opporsi al relativo utilizzo.
In particolare, il banner cookie presente nella pagina iniziale del sito di Vueling, non ancora modificato alla luce del provvedimento sanzionatorio, specifica che l’utente può accettare l’utilizzo dei cookie tecnici e di profilazione acconsentendovi espressamente, ovvero continuando nella navigazione. Sul lato destro del banner, inoltre, vi è un unico button con il quale viene fornita all’utente la sola opzione di accettare i cookie, mentre non vi è alcuna menzione circa la possibilità di opporsi.
Secondo l’AEPD, tale modalità di acquisizione del consenso costituisce una violazione della sezione 22.2 della LSSI (Legge spagnola sui servizi della società dell’informazione e commercio elettronico), secondo la quale: “I fornitori di servizi possono utilizzare dispositivi di memorizzazione e recupero dei dati sulle apparecchiature terminali dei destinatari, a condizione che abbiano dato il loro consenso dopo aver ricevuto informazioni chiare e complete sul loro utilizzo, in particolare, sulle finalità del trattamento dei dati“.
Il Garante privacy spagnolo, in particolare, ha rilevato che la compagnia aerea dovrebbe dotarsi di un sistema di gestione o un pannello di configurazione dei cookie che permetta all’utente non solo di accettarne/rifiutarne l’utilizzo, bensì anche di scegliere la tipologia di cookie che desidera vengano installati sul proprio dispositivo, manifestando in tal modo un consenso “granulare”, finalizzato alla gestione delle proprie preferenze.
Riguardo le difese presentate da Vueling circa la presenza, all’interno della propria informativa sui cookie, di espresse informazioni indirizzate all’utente sulla possibilità per quest’ultimo di configurare il proprio browser al fine di gestire i cookie installati, nonché di revocare il consenso precedentemente prestato, ovvero di utilizzare strumenti di blocco e monitoraggio dei cookie, l’AEPD ha ritenuto che la sottoposizione di tali informazioni tramite l’informativa estesa rappresenta uno strumento complementare alla presenza di un pannello che consenta l’immediata gestione dei cookie nella pagina di accesso al sito ma insufficiente, di per sé, allo scopo di consentire all’utente di configurare le preferenze in forma granulare o selettiva.
La rilevanza di tale provvedimento adottato dall’AEPD è accentuata dalla recente pronuncia della Corte di Giustizia dell’Unione Europea (CGUE), intervenuta in data 10 settembre 2019, riguardante i requisiti del consenso per l’utilizzo dei cookie. La CGUE, in particolare, ha sottolineato l’importanza dell’ottenimento di un consenso espresso dell’utente, lasciando presumere la sopravvenuta inadeguatezza della possibilità di manifestarlo semplicemente proseguendo nella navigazione del sito.
Non può non rilevarsi come le interpretazioni fornite dal Garante privacy spagnolo e dalla Corte di Giustizia dell’Unione Europea conducano verso una sempre maggiore trasparenza nei confronti dell’utente in merito all’utilizzo di cookie sui siti web, imponendo ai titolari del trattamento l’adozione di misure idonee a garantire la massima consapevolezza del consenso liberamente prestato dagli interessati.