News n. 14 – cookies, consenso e rapporti tra gdpr e direttiva e-privacy in una sentenza della corte di giustizia europea

La Corte di Giustizia ha emesso la sentenza nel caso Planet 49 (disponibile sul nostro sito alla pagina http://www.studiozallone.it/view/law/corte-europea-di-giustizia-caso-planet-49-1-ottobre-2019-0-0-0), nella quale ha affrontato vari temi legati alla nozione di consenso in generale, dei rapporti tra la Direttiva 2002/58 (la c.d. Direttiva e-privacy) ed il GDPR e vari temi relativi ai cookies. IL CONSENSO PER I COOKIES IN BASE ALLA DIRETTIVA 95/46 ED AL GDPR. IL CASO Una società tedesca, Planet 49, aveva organizzato un gioco a premi on-line, per partecipare al quale chi voleva partecipare doveva fornire le proprie generalità e poi spuntare due caselle, la prima che indicava l’accettazione a ricevere offerte commerciali da una serie di partner di Planet 49 (questa casella era libera), mentre la seconda casella era relativa all’accettazione dell’invio di cookies al dispositivo dell’utente. Questa ultima casella era preselezionata e per poter partecipare l’utente doveva spuntare almeno una delle due caselle (e quindi accettare almeno una delle due alternative). L’utente avrebbe dovuto de-selezionare la casella già spuntata per negare il proprio consenso all’invio di cookies. IL CONSENSO SECONDO IL GDPR Esaminando il caso in via di rinvio da parte della Corte Federale di Giustizia tedesca, la Corte di Giustizia Europea ha affermato che, sia secondo la Direttiva 95/46 che secondo il GDPR, una casella preselezionata non può essere considerata una valida manifestazione del consenso che, secondo la Corte, richiede un elemento attivo e non un comportamento passivo. Sia la Direttiva che il GDPR richiedono infatti una manifestazione della volontà «libera, specifica, informata e inequivocabile» dell’interessato, consistente in una dichiarazione o in un’«azione positiva inequivocabile», che sancisca il consenso dello stesso al trattamento di dati personali che lo riguardano. Deve trattarsi, cioè, di una manifestazione attiva e positiva da parte dell’utente, mentre il considerando 32 del GDPR esclude invece espressamente che «il silenzio, l’inattività o la preselezione di caselle» possano configurare un consenso. Il consenso, inoltre, presuppone che l’interessato abbia ricevuto una informazione “chiara e completa” e quindi le informazioni fornite devono essere chiaramente comprensibili e sufficientemente dettagliate, al fine di consentire all’utente di comprendere il funzionamento dei cookie utilizzati. Informazione che, quindi, per essere completa deve necessariamente comprendere ulteriori informazioni riguardanti i destinatari o le categorie di destinatari dei dati. IL PERIODO DI CONSERVAZIONE Il secondo quesito esaminato dalla Corte riguarda il requisito previsto ora dall’art. 13 del GDPR, e cioè la durata dei cookies. Come è noto il GDPR richiede, tra gli elementi della informativa, anche l’indicazione del periodo di conservazione dei dati. In ossequio a questo principio la Corte ha stabilito che l’utente debba essere anche informato sulla durata dei cookies e che questa non debba essere eccessiva, in quanto “un lungo periodo di attività, o addirittura un periodo illimitato, implica la raccolta di numerose informazioni sulle abitudini di navigazione e sulla frequenza delle eventuali visite dell’utente ai siti dei partner pubblicitari dell’organizzatore del gioco a premi”. LE IMPLICAZIONI Non ci sono implicazioni particolari se non la conferma che la prassi di preselezionare la casella di consenso è una prassi in violazione di legge, per i cookies e non solo per in cookies. Sarebbe bene quindi che molti operatori si adeguassero a questa decisione, che peraltro appare abbastanza ovvia e scontata. E’ tutto da capire, invece, che effetto avrà questa decisione sulla nuove normativa ePrivacy. La decisione definisce il rapporto tra la direttiva ePrivacy ed il GDPR, specificando come si tratti di una legge speciale, che riguarda non solo i dati personali, ma tutti i dati, per cui in mancanza di una specifica disciplina si debba applicare il GDPR. Ricordiamo qui che la normativa ePrivacy (Direttiva 2002/58 e successive modificazioni) è in via di riscrittura, ed anche in questo caso sarà sostituita da un Regolamento, che proprio sui cookies apparentemente sembra mostrare le maggiori divergenza di opinione e la attuale decisione non potrà non avere effetto sugli sviluppi normativi.

http://www.studiozallone.it/view/law/corte-europea-di-giustizia-caso-planet-49-1-ottobre-2019-0-0-0

Comments are closed.