Con la sentenza nella causa C-673/17 (qui il comunicato stampa) la Corte di Giustizia dell’Unione europea interviene sulle problematiche relative all'implementazione dei cookie nei siti web

Il caso preso in esame riguarda appunto un sito web che organizzava un gioco a premi. Gli utenti che desideravano partecipare dovevano fornire il codice postale, e poi venivano rinviati ad una pagina dove dovevano inserire nome e indirizzo. Al di sotto vi erano due caselle di spunta, preselezionate, le quali informavano che servivano per acconsentire al trattamento dei dati per invio di comunicazioni commerciali e la seconda per l’analisi web al fine di analizzare la navigazione e inviare pubblicità personalizzata. In entrambe le caselle si precisava che era sempre possibile revocare il consenso e cancellare i cookie. Con riferimento alla prima casella era altresì possibile stabilire, tra i 57 soggetti elencati, quali potevano inviare le offerte pubblicitarie, precisando che in assenza di scelta, tale selezione veniva effettuata direttamente dall’organizzatore (fino ad un massimo di 30 soggetti). 
Era possibile partecipare al gioco solo se la prima spunta rimaneva selezionata.

In sostanza all’utente veniva data la possibilità solo di deselezionare le caselle (così negando il proprio consenso), fermo restando che deselezionandole entrambe non era possibile partecipare al gioco.

 

La sentenza

Il provvedimento della Corte europea riguarda tre punti.

1. La Corte ha stabilito innanzitutto che il consenso all’installazione dei cookie sui terminali degli utenti può avvenire solo in base ad un consenso attivo ed inequivocabile. In tal senso la Corte non ritiene conforme alla normativa (sia la direttiva del 95 che il regolamento del 2016) l’utilizzo di caselle preselezionate, e questo anche se l’informativa è completa e corretta. In effetti, osserva la Corte, è possibile che l’utente non legga l’informazione che accompagna la casella, oppure che non abbia visto la casella. In tal senso la Corte sembra suggerire che il gestore del sito deve sempre tenere in considerazione il fatto che l’utente possa non leggere le informative. Una casella preselezionata non implica un comportamento attivo, e la Corte chiarisce che il consenso per i cookie deve sempre essere un comportamento attivo.
E questo indipendentemente dal fatto che i cookie costituiscano (ai sensi delle leggi vigenti in ambito nazionale) dati personali oppure no.

2. La Corte precisa, inoltre, che la manifestazione di volontà deve essere specifica, nel senso che deve riferirsi esattamente al trattamento di dati e non può essere desunta da una manifestazione di volontà avente un oggetto distinto. In tal senso se l’utente seleziona la casella relativa al consenso alla partecipazione al gioco a premi, tale consenso non può ritenersi, nel contempo, fornito anche per finalità differenti, quali l’invio di pubblicità personalizzata o all’installazione di cookie. I consensi, quindi, devono essere separati.

3. Infine, la Corte precisa che tra le informazioni da fornire obbligatoriamente all’utente, devono essere inseriti anche i periodi di attività dei cookie utilizzati e la possibilità o meno per i terzi di avere accesso a tali cookie.

 

Conclusioni

Il provvedimento della Corte in realtà non porta grandi novità. Che il consenso dovesse essere attivo e inequivocabile è già stato ampiamente stabilito. Al limite si tratta di chiarire nel dettaglio quali attività o comportamenti possono essere ritenuti “attivi” e “inequivocabili”. Ad esempio è già acquisito che il mero scrolling della pagina non è conforme alle norme, e anche il click ad altra pagina del sito.
Tutto ciò sempre tenendo presente la categorizzazione dei cookie, in base alla quale alcuni cookie sono esenti da consenso (vedi Cookie law).

Più importante la parte sul consenso specifico. In realtà anche qui non si tratta di una novità, ma la Corte chiarisce indubitabilmente che il consenso deve essere granulare, cioè un consenso per ogni finalità. In tal senso avere un unico consenso (un unico pulsante “acconsenti”) non è conforme alle norme. È necessario separare i consensi per finalità (marketing, analytics, ecc…).

Più problematico il terzo punto, per il semplice motivo che se i cookie utilizzati in un sito sono di terze parti (es. Facebook, Google), non è detto che il gestore del sito possa accedere ad informazioni sul periodo di attività dei cookie. Non sempre sono indicati nelle relative informative delle terze parti.
Ovviamente se si tratta di cookie di prima parte, è evidente che il gestore ne è a conoscenza e quindi dovrà inserirla nell’informativa agli utenti.