COOKIES e PRIVACY: il punto della situazione alla luce della recente pronuncia della Corte d Giustizia dell’Unione Europea (CGUE) e del provvedimento sanzionatorio comminato a Vueling Airlines dall’Autorità Garante spagnola.

Cookies: cosa sono, che funzione hanno e quali tipologie esistono?

I cookies sono dei file che i siti internet installano sui dispositivi elettronici degli utenti (computer, smartphone o tablet) durante la navigazione e ai quali possono poi accedere durante le loro successive visite.

Ogni cookie contiene diversi dati (come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc.) i quali possono rimanere nel sistema per la sola durata di una sessione (cioè fino a quando non viene chiuso il browser utilizzato per la navigazione sul web) oppure per periodi più lunghi.

In base alla funzione che assolvono possiamo distinguere tra:

1) cookies tecnici, che rendono possibile la navigazione sul sito e/o consentono di fornire un servizio richiesto dall´utente (tali sono, ad esempio, quelli usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web come la lingua solitamente utilizzata).

Tali cookies non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal sito web al fine di rendere più veloce e rapida la navigazione e fruizione del sito stesso e per compiere alcune operazioni che, altrimenti, non potrebbero essere compiute o sarebbero più complesse o meno sicure: si pensi ad esempio alle attività di home banking (visualizzazione dell´estratto conto, bonifici, pagamento di bollette, ecc.) per effettuare le quali i cookies, che consentono di effettuare e mantenere l´identificazione dell´utente nell´ambito della sessione, risultano indispensabili.

2) cookies analitici, utilizzati dai gestori dei siti web per raccogliere informazioni statistiche in forma aggregata sul numero dei visitatori del sito, sulle pagine più frequentate, sui contenuti di maggior interesse, ecc.

3) cookies di profilazione, utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e le abitudini di consultazione del web o di consumo, anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioural Advertising). Basti pensare a tutte le volte che una pagina di ricerca o una pagina social propongono automaticamente (spesso visualizzandoli nei menu laterali) prodotti attinenti ad altri cercati o acquistati in precedenza dall’utente.

Tanto premesso, occorre sapere che a norma del GDPR e della Direttiva e-privacy, ogni qual volta un sito utilizzi cookies (ossia praticamente sempre) deve essere fornita all’utente l’informativa privacy e, in alcuni casi, deve anche essere richiesto il suo specifico consenso per l’installazione degli stessi.

Informativa cookies: quali informazioni deve contenere?

Come stabilito già nel provv. 8 maggio 2014 del Garante Privacy italiano l´informativa privacy sull’utilizzo dei cookies va impostata su due livelli: informativa sintetica (banner) e informativa estesa (cookie policy).

1.- L’informativa sintetica (banner).

Nel momento in cui l´utente accede a un sito web (sulla home page o su qualunque altra pagina) deve immediatamente comparire un banner contenente una informativa “breve”, con la richiesta di consenso all´uso dei cookies e un link per accedere ad un´informativa più ampia (cookie policy), cliccando il quale l´utente potrà reperire maggiori e più dettagliate informazioni sui cookies utilizzati dal sito e scegliere quali autorizzare.

Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l´utente sta visitando (in modo da indurlo alla lettura) e deve poter essere eliminato soltanto tramite un intervento attivo dell´utente.

Nel banner deve già essere specificato l’eventuale utilizzo di cookies di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell´utente.

2.- L’informativa estesa (cookie policy).

In basso a ciascuna pagina del sito e sul banner di cui si è detto poc’anzi deve essere caricata l’informativa privacy estesa (cookie policy) la quale deve indicare in modo analitico quali sono i cookies utilizzati dal sito, qual è la loro funzione e per quanto tempo permangono sul dispositivo dell’utente, consentendogli di manifestare un consenso specifico e consapevole all’utilizzo di ciascuno di essi.

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.

Quando è necessario anche il consenso dell’utente per l’utilizzo dei cookies?

Ci sono alcune tipologie di cookies per installare i quali non basta fornire l’informativa privacy ma serve anche ottenere lo specifico consenso dell’utente.

In particolare, mentre per l´installazione dei cookies tecnici non è richiesto il consenso degli utenti ma è sufficiente informarli, per l’installazione dei cookies di profilazione è invece necessario richiedere l’espresso consenso dell’utente.

Sulle caratteristiche che deve avere il consenso all’utilizzo dei cookies per essere conforme al GDPR e alla direttiva e-privacy sono recentemente intervenuti sia la Corte di Giustizia dell’Unione Europea (v. comunicato stampa del 1 ottobre 2019) sia l’Autorità Garante per la protezione dei dati personali Spagnola (AEPD).

Quali caratteristiche deve avere il consenso per l’installazione dei cookies? Le novità contenute nella recente pronuncia della CGUE e nel provedimento sanzionatorio adottato dall’AEPD nei confronti di Vueling Airlines.

Con comunicato stampa del 1 ottobre 2019 la CGUE, con riferimento alla causa C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV / Planet49 GmbH, ha affermato il principio della necessità della manifestazione da parte dell’utente di un consenso attivo alla installazione dei cookies sui suoi dispositivi.

Secondo la CGUE il consenso non è valido se espresso mediante una casella di spunta preselezionata che l’utente deve semmai deselezionare al fine di negare il proprio consenso ma è necessario che sia l’utente a selezionare, in maniera attiva, la casella relativa alla manifestazione del consenso.

La Corte ha ribadito anche che il consenso deve essere specificamente manifestato: nel caso esaminato il fatto che l’utente avesse attivato il pulsante di partecipazione ad un gioco a premi non è stato ritenuto sufficiente per ritenere che avesse validamente espresso il proprio consenso anche all’installazione di cookies.

La CGUE ha inoltre specificato che tra le informazioni che devono obbligatoriamente essere fornite all’utente vi sono sia il periodo di attività dei cookies (informazione, questa, che raramente si rinviene nelle cookie policy) sia l’eventuale possibilità o meno per i terzi di avere accesso ai cookies installati.

Sulla scia di quanto affermato dalla CGUE si è posta anche l’Autorità Garante per la protezione dei dati spagnola (Agencia Espanola Proteccion Datos – AEPD) con il recentissimo provvedimento sanzionatorio emesso a carico di Vueling Airlines.

Nello specifico l’AEPD ha giudicato non conforme al GDPR il sito della compagnia aerea con specifico riferimento all’utilizzo dei cookies  in quanto era preclusa all’utente la possibilità di opposi all’installazione di cookies di terze parti e mancava un pannello attraverso il quale l’utente potesse esprimere in modo “granulare” il proprio consenso attivo alla installazione dei cookies.

A detta dell’AEPD il pannello di manifestazione del consenso all’installazione dei cookies dovrebbe invece contenere sia un pulsante per disabilitare tutti i cookies, sia un pulsante per abilitarli tutti, sia la possibilità di selezionare il consenso cookie per cookie, in modo appunto “granulare”, non potendosi invece rimandare, come fatto da Vueling, alle sola modifica delle impostazioni del proprio browser per il blocco dei cookies.

Fonti: www.garanteprivacy.it, www.aepd.es, www.curia.europa.eu.