La normativa

Consenso all’utilizzo dei cookie: le nuove linee guida della CNIL

L’autorità francese CNIL – Commission nationale de l’informatique et des libertés ha predisposto un piano d’azione per adeguare al GDPR i requisiti per la richiesta del consenso all’utilizzo dei cookie. A questo pro, sono state pubblicate le nuove linee guida in materia

21 Ago 2019
S
Camilla Serraiotto

Avvocato, Ph.D in diritto civile, Associate ICT Legal Consulting Balboni, Bolognini & Partners


L’entrata in vigore del GDPR ha reso necessario rivedere i requisiti per un valido consenso ai cookie. In quest’ottica è intervenuta l’autorità francese CNIL, che ha pubblicato apposite linee guida per fare chiarezza sul comportamento da tenere nel richiedere il consenso all’utilizzo dei cookie. Vediamo cosa prevede il documento.

Il contesto

L’art. 82 della legge francese “Informatique et Libertés” che ha trasposto nel diritto francese la Direttiva 2002/58 CE (Direttiva E-Privacy) prevede l’obbligo, salvo casi eccezionali, di raccogliere il consenso degli utenti prima di effettuare qualsiasi operazione con i cookie. Nel 2013 era stata adottata una raccomandazione proprio per guidare gli operatori nell’applicazione del menzionato art. 82 la quale prevedeva che il semplice proseguimento della navigazione (o comunque qualsiasi azione positiva anche non esplicita) equivalesse ad un consenso ai cookie, naturalmente previo rilascio dell’informativa.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) sono stati ulteriormente rafforzati i requisiti sulla validità del consenso, tale per cui per essere validamente conferito, il soggetto interessato deve essere in grado di comprendere previamente quali trattamenti verranno fatti, essere nelle condizioni di accettare o meno liberamente (senza alcuna conseguenza negativa) il trattamento indicato, infine poter modificare la propria scelta altrettanto liberamente e facilmente. Di conseguenza, nell’intento di aggiornare il quadro di riferimento, e nella consapevolezza dei più stringenti requisiti per l’espressione di un valido consenso, è stata abrogata la raccomandazione del 2013 che fino a quel momento aveva rappresentato una guida per gli operatori in quanto – secondo la CNIL – non più compatibile con i requisiti di consenso richiesti dal GDPR.

Il piano di azione della CNIL

La CNIL ha così adottato un piano d’azione per l’anno 2019-2020 che, partendo dalle previsioni del GDPR, è volto ad uniformare la normativa speciale alle previsioni di principio contenute nel GDPR stesso, contando di pubblicare nuove linee guida in sostituzione della vecchia raccomandazione abrogata. Due quindi le fasi del piano d’azione elaborato dalla CNIL:

  • La pubblicazione delle nuove Linee Guida, chiarendo sin d’ora che gli operatori economici avranno dodici mesi di tempo per “adeguarsi” a quanto in essa contenuto, prevedendo – nelle more – che la prosecuzione della navigazione continui a rappresentare una valida espressione di consenso all’utilizzo dei cookie, fermo restando il permanente controllo della CNIL sulla circostanza che nessun cookie venga servito prima del consenso dell’utente;
  • La fase di consultazione con gli operatori del mercato per individuare concrete modalità operative che permettano di acquisire un consenso ai cookie in linea con i più stringenti requisiti di consenso attualmente richiesti.

Il novum ha visto dunque la luce dopo un confronto con gli operatori del mercato, volto a garantire che le previsioni in essa contenute possano effettivamente adattarsi sul piano pratico, oltre che su quello tecnologico alla mutata realtà fattuale (oltre che normativa). In particolare, ribadisce la CNIL, al termine di tale periodo “transitorio”, sarà necessario acquisire preliminarmente il consenso per l’utilizzo delle tecnologie traccianti (quali i cookie), lasciando comunque la possibilità all’utente di accedere al servizio a prescindere dall’espressione di consenso.

Linee Guida CNIL, gli spunti di riflessione

In data 18 luglio 2019 la CNIL, mantenendo fede al proprio piano di azione, ha pubblicato le nuove Linee Guida. Di seguito i principali spunti di riflessione:

  • il consenso è valido solo se l’interessato è posto effettivamente nelle condizioni di manifestare liberamente la propria scelta e non incorra in alcun pregiudizio in caso di mancato consenso o di sua revoca. A tal proposito, si evidenzia, il blocco del sito Web o di un’applicazione per chi non accetta di essere monitorato, secondo quanto dichiarato anche dall’European Data Protection Board (EDPB), ossia il c.d. cookie wall, non è conforme al GDPR, poiché in questo caso non sarebbe in grado di rifiutare l’uso dei cookie senza subire alcuna conseguenza negativa (i.e. impossibilità di accedere al sito Web/applicazione);
  • l’interessato deve essere poi in grado di esprimere un consenso indipendente e specifico per ogni singola finalità;
  • il soggetto deve inoltre essere informato con un linguaggio semplice, chiaro e non eccessivamente tecnico, solo così il consenso può dirsi davvero informato. Inoltre, per lo stesso fine, le informazioni fornite devono permettere all’utente di identificare (prima che i cookie vengano serviti) tutte le entità che li servono, e l’elenco deve essere messo a disposizione dell’utente prima che questi esprima il consenso;
  • il nucleo minimo di informazioni da presentare all’utente deve essere: l’indicazione del titolare del trattamento, le finalità del trattamento e l’esistenza del diritto di revoca del consenso;
  • inoltre, si chiarisce, il c.d. click fuori dal banner o lo scroll (quindi il navigare sulla pagina Web o sull’applicazione ovvero scorrere la stessa) non valgono ad esprimere un consenso non costituendo una chiara azione positiva, che – per tal via – non sarebbe inequivocabile. Non lo sarebbe nemmeno qualora venisse raccolto un consenso mediante pre-flag.

Il rapporto con l’articolo 5 del GDPR

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Contrariamente a quanto previsto da ICO, la CNIL considera le audience measurements (utilizzate ad esempio per testare le scelte editoriali in base alle performance, senza però che ciò arrivi a targhetizzare i soggetti) e gli analitici, esenti dalla necessità di un consenso specifico in quanto inclusi nei cosiddetti cookie necessari per l’esecuzione del servizio. Ciò nel rispetto delle condizioni elencate all’art. 5 delle nuove Linee Guida, tra le quali si evidenziano i seguenti punti di attenzione:

  • il soggetto interessato deve essere previamente informato;
  • l’opposizione del soggetto interessato deve essere facilmente manifestabile da tutti i terminali, i sistemi operativi, le applicazioni ed i browser;
  • lo scopo del dispositivo tracciante deve essere limitato a quanto indicato all’art. 5;
  • i dati personali raccolti non devono essere sottoposti a controlli incrociati con altri trattamenti, né trasmessi (i.e. comunicati) a terzi. Inoltre, l’uso dei traccianti deve essere strettamente limitato alla produzione di statistiche anonime. Non deve inoltre consentire di tracciare la navigazione del soggetto utilizzando applicazioni diverse o la navigazione su siti Web diversi;
  • l’indirizzo IP per geo-taggare l’utente non deve essere più preciso dell’individuazione della città, e l’indirizzo IP raccolto deve essere eliminato o reso anonimo al termine dell’attività di geo-localizzazione.
  • i traccianti utilizzati da questi trattamenti non devono avere una durata superiore a tredici mesi e tale durata non può essere estesa durante le nuove e successive visite automaticamente. Le informazioni raccolte tramite i cookie potranno invece essere conservate per un massimo di venticinque mesi.

Secondo le citate Linee Guida, i c.d. cookie necessari (che cioè non necessitano di preventivo consenso del soggetto interessato) sono quelli che hanno lo scopo esclusivo di abilitare o facilitare la comunicazione elettronica e quelli strettamente necessari per la fornitura di un servizio richiesto dall’interessato.

ICO e CNIL: similitudini e divergenze

Quali dunque similitudini e divergenze tra le due autorità: ICO (britannica) e CNIL (francese)? Quanto alle similitudini, entrambe ritengono che il consenso debba essere libero, specifico, chiaro ed univoco. Entrambe richiedono la granularità del consenso, ossia esso deve essere specifico per ogni finalità di trattamento (le T&C non sono sufficienti per raccoglierlo in modo compliant al GDPR), l’utente deve poter previamente conoscere tutte le entità che servono ed utilizzano i cookie, entrambe riconoscono che probabilmente, in futuro, saranno direttamente le impostazioni del browser a raccogliere un valido consenso. Quanto alle differenze, solo la CNIL ha previsto un periodo transitorio di adattamento.

Secondo la CNIL il cosiddetto cookie wall non è compliant al regolamento, prendendo una netta posizione. L’approccio di ICO è invece più flessibile: non esclude categoricamente che il cookie wall possa essere utilizzato, posto che anche il GDPR deve essere bilanciato con altri diritti tra cui la libertà di espressione e la libertà di iniziativa economica. Tuttavia, riconosce che vi potrebbero essere dei dubbi di conformità al GDPR. Per la CNIL i cookie analitici non necessariamente richiedono il consenso, potendo rientrare tra quelli c.d. necessari, mentre ICO è categorico nell’escluderlo, prevedendo, al contrario, la necessità di consenso. La CNIL non pare identificare il consenso quale unica base giuridica, mentre ICO pare ritenere che il legittimo interesse non possa fungere da base legale, ma al contrario, sarebbe richiesto il consenso, posto che negli stessi termini si è orientata la Direttiva E-Privacy.

Attendiamo quindi di comprendere, alla luce delle ormai prese di posizione delle due tra le principali Autorità europee, quale sarà l’orientamento della nostra. Sicuramente quanto espresso dalle due autorità fungerà da termine di paragone per le future determinazioni del nostro Garante Privacy.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5