Con la sentenza del 6 giugno, il Consiglio di Stato francese ricorda che l’uso di cookie costituisce un trattamento di dati che è soggetto alle norme a tutela dei dati personali.
Nel caso specifico il CNIL, cioè l’Autorità Garante francese, aveva imposto alla società Editions Croque Future di rispettare le norme in materia di protezione dei dati personali nell’utilizzo di cookie. La società in questione, infatti, depositava i cookie sui terminali degli utenti senza informarli preventivamente. La suddetta società impugna il provvedimento del Garante, ma alla fine della procedura il Consiglio di Stato da ragione al Garante francese.
Cookie pubblicitari
In particolare, il Consiglio di Stato, premettendo che per i cookie tecnici non sussiste obbligo di consenso preventivo, conferma che i cookie che hanno finalità pubblicitaria non possono essere ritenuti “strettamente necessari”, e quindi sono soggetti a consenso preventivo. Anche se tali cookie sono necessari per la redditività economica del sito, nel senso che il sito dipende letteralmente dai guadagni pubblicitari per mantenersi, i cookie in questione devono comunque essere preventivamente autorizzati dagli utenti, consentendo loro anche di esercitare il diritto di opposizione. In tal senso la base giuridica per i cookie pubblicitari può essere solo il consenso dell’utente e non l’interesse legittimo.
Impostazioni del browser
Il Consiglio di Stato rigetta anche la difesa della società, la quale sosteneva di aver ottemperato all’obbligo consentendo l’opposizione al deposito dei cookie tramite le impostazioni del browser. Anche qui la suprema corte amministrativa accoglie le richieste del CNIL, il quale stabilisce che nel caso specifico non era possibile distinguere tra i vari cookie, né capire le conseguenze all’opposizione ai cookie.
In base a quanto sostenuto dal Consiglio francese, le impostazioni del browser costituiscono un valido strumento di opposizione ai cookie solo se:
- le diverse categorie di cookie sono differenziate;
- è possibile opporsi solo ai cookie soggetti a consenso;
- sono chiarite le conseguenze in caso di opposizione.
Cookie di terze parti
Un altro punto toccato dal Consiglio francese riguarda la problematica dei cookie di terze parti. In particolare evidenzia che l’“editore” di un sito (cioè il gestore materiale) è comunque “responsabile” (nel senso che ne risponde) dei cookie anche se questi sono di “terze parti” (es. Facebook), in quanto ne autorizza il trattamento. In tal senso è “titolare” (controller) del trattamento, anche se le finalità dei cookie sono effettivamente stabilite dalla terza parte.
In tal senso il titolare del trattamento, cioè il gestore del sito, deve anche garantire i tempi di conservazione del cookie, che devono essere proporzionati alla finalità, e quindi fissati dal CNIL in un massimo di 13 mesi.
Il Consiglio di Stato, quindi, conferma la sanzione di 25mila euro.
Anche se questo provvedimento applica la direttiva del 1995, è evidente che avrà un impatto sul trattamento dei dati in base al GDPR, e sull’attuale dibattito in corso sulla riforma della direttiva ePrivacy. Questo perché tra le varie proposte si era avanzata l’idea di spostare il controllo dei cookie dai gestori dei siti web ai produttori di browser, imponendo a questi ultimi di realizzare uno strumento che consentisse agli utenti, all’avvio, di gestire i cookie e stabilire quali accettare e quali no.