Cookie, la Corte di Giustizia non in regola con la normativa: il paradosso del controllore - Cyber Security 360

L'ANALISI

Cookie, la Corte di Giustizia non in regola con la normativa: il paradosso del controllore

La CGUE, l’organo di massima tutela della giustizia dei diritti e delle libertà dei cittadini comunitari, è incappata in una violazione della normativa sui cookie che la dice lunga sulla distanza che c’è tra chi “fa le regole” e chi le deve rispettare. Proviamo a rispondere ad alcuni interrogativi

10 Mag 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Mentre si parla di tramonto dei cookie di terza parte, di riforma della normativa applicabile ePrivacy e il Garante deve pubblicare le sue linee guida definitive dopo la consultazione pubblica, si può dire che il tema è ampiamente noto e dibattuto.

In tal senso, ha stupito un recente provvedimento dell’EDPS avverso l’uso di cookie da parte nientemeno che della Corte di Giustizia Europea (CGUE). L’EDPS è, tra le altre cose, l’autorità preposta a vigilare sul rispetto della normativa data protection da parte delle istituzioni comunitarie, sulla base del Reg. UE/2018/1725 che ricalca quasi integralmente il GDPR e che richiama all’art. 37 l’applicazione della Direttiva 2002/58/CE (“ePrivacy”).

Recentemente l’Autorità ha ripreso persino la stessa CGUE per inadempimento circa l’uso dei cookie sul proprio sito web istituzionale. Una situazione imbarazzante, visto che la CGUE è anche l’organo più elevato, a livello comunitario, nel fare giurisprudenza per quanto riguarda privacy e protezione dei dati (pensiamo, tra le tante pronunce decisive, alle c.d. Schrems I e Schrems II, al diritto all’oblio nel caso Google Spain).

Non da ultimo sul tema cookie, basti la pronuncia C-673-17 nel caso Planet49 che riguardava proprio l’implementazione del banner e dei relativi consensi.

Che cosa è accaduto di preciso, come è stato possibile e con quali conseguenze? Vediamo di seguito, , ricordando che il provvedimento in parola non è stato ancora pubblicato sul sito EDPS bensì è stato reso noto dal sito GDPRHub, curato dalla NOYB di Max Schrems, che a sua volta lo ha ricevuto dallo stesso reclamante (Michael Veale).

Il sito web della CGUE: banner e cookie non in regola

La vicenda copre l’arco temporale 2019-2020. Il sito web interessato è il noto https://curia.europa.eu, utilizzato generalmente per fare ricerche nelle massime e decisioni giurisprudenziali della CGUE (pure in ambito privacy).

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery

Un cittadino che navigava sul sito si è accorto che il banner dei cookie non era in regola e lo ha segnalato all’EDPS. Le lamentele erano le seguenti:

  1. il sito utilizzava dei cookie analitici (Europa Analytics), non necessari tecnicamente, mentre il banner offriva solo due pulsanti: “OK” e “Altre informazioni, con palese mancanza di trasparenza rispetto alla realtà dei fatti;
  2. sebbene la cookie policy affermasse di rispettare eventuali impostazioni “Do Not Track” del browser utente, al contempo non offriva uno strumento per revocare il consenso all’uso dei cookie, con la stessa facilità con cui lo si era reso;
  3. il banner rappresentava di fatto un “cookie wall”, non permettendo l’uso del sito senza la previa accettazione di cookie anche non necessari come visto sopra;
  4. il reclamante chiedeva all’EDPS di accertare che il sito non depositasse sul dispositivo utente cookie senza aver prima ricevuto il consenso tramite banner.

L’EDPS ha interpellato la CGUE in merito, rilasciando una serie di raccomandazioni su come reimpostare il sito stesso.

La CGUE ha reagito modificando i servizi e la cookie policy, prevedendo così l’installazione del cookie analitico solo con relativo consenso e non impedendo più l’uso, in sua mancanza, del sito, implementando un meccanismo di revoca del consenso tramite la cookie policy.

Successivo controllo dell’EDPS ha accertato la scomparsa del cookie analitico e l’aggiunta del pulsante “Solo i cookie necessari dal punto di vista tecnico” nel banner.

Il cookie banner presentato oggi dal sito della CGUE è questo:

Qui l’indicazione in cookie policy dell’uso tuttora praticato del cookie Europa Analytics:

Il sito web della CGUE: le altre violazioni sui cookie

Ciononostante, il cittadino reclamante ha continuato a ravvisare violazioni da parte della CGUE, debitamente riportate all’EDPS:

  1. l’uso di cookie analitici di YouTube (ovvero Google) derivanti dall’uso del sito di terze parti companywebcast.com, su cui l’utente era indirizzato per vedere video della CGUE, partendo con link dal sito della CGUE; i predetti cookie erano del tutto assenti dalla cookie policy e banner della Corte, oltre che privi di un meccanismo consensuale;
  2. la privacy policy della CGUE menzionava l’uso di YouTube ma non degli hoster CompanyWebcast e Connectedviews, peraltro di loro privi di informativa, di banner o altri meccanismi di consenso.

In replica a ciò, la CGUE affermava di aver rimosso i video forniti da tali provider, non essendo più necessario pubblicarli, riconoscendo comunque che “questi siti web non rispettavano i requisiti appropriati”: un’ammissione implicita che non fosse stata effettuata una debita verifica preventiva dei servizi offerti da terzi.

L’EDPS ha consigliato alla CGUE di verificare la necessità di aggiornare il banner dei cookie quando componenti di terze parti vengono aggiornati o aggiunti al sito web della CGUE.

Ha aggiunto che la CGUE dovrebbe avvisare i visitatori (ad esempio con un messaggio pop-up) quando fanno clic su un link nel sito della CGUE per accedere ai contenuti CGUE ospitati da terzi: tale avviso dovrebbe informare i visitatori che stanno abbandonando il sito CGUE e che l’informativa sulla privacy applicabile sarà quella di terze parti.

Il sito web della CGUE: l’uso dei cookie persistenti

Non è finita qui: considerato che la CGUE aveva rimosso i link ai video ma non i video stessi dai siti degli hoster, l’EDPS ha utilizzato il proprio Website Evidence Collector (liberamente accessibile e utilizzabile), uno strumento per raccogliere prove nell’uso dei cookie da parte dei siti web. Lo ha scandagliato sulla pagina CompanyWebcast che ospitava i video della CGUE, riportando che così si depositava sul dispositivo un cookie persistente di Google Analytics, inviato a Google e alla sua società DoubleClick in mancanza di consenso.

Quanto invece al sito web della stessa CGUE, ove sono embeddati alcuni video tramite YouTube, il banner presente all’epoca poteva far pensare che vi fosse un meccanismo di opt-out e non di consenso, in quanto offriva l’eventuale revoca del consenso da subito all’utente, sebbene potesse non averlo mai concesso, lasciando erroneamente intendere che fosse già stato installato. L’EDPS, con sua verifica, ha accertato che in questo frangente il sito della CGUE funzionava correttamente, senza depositare cookie privi di consenso: solo l’impostazione del banner era fuorviante nella sua immediata offerta di revoca di consenso.

Qui la cookie policy attuale nella sua indicazione dei cookie YouTube:

Come si nota facilmente è praticato l’uso di cookie “persistenti” senza una durata precisa o un criterio per derivarla, ovvero non cancellati se non con un intervento dell’utente sul proprio dispositivo/browser, o comunque dotati di una durata di conservazione indefinita: è questa una pratica ammissibile sulla limitazione e minimizzazione nell’uso dei dati personali? Se ne può dubitare se i predetti cookie sono collegati all’uso di identificatori persistenti – il che non è chiaro nel testo sopra riportato.

Comunque l’EDPS non si è pronunciata in merito né ha esaminato tale aspetto.

Conclusioni

Alla luce di quanto sopra e considerato che la CGUE si è attivata prontamente a ogni segnalazione dell’EDPS, questa non ha esercitato i suoi poteri correttivi, nonostante abbia accertato delle violazioni della normativa, preferendo rilasciare le raccomandazioni su riportate e invitando a una corretta selezione dei fornitori.

Se l’organo di massima tutela della giustizia dei diritti e delle libertà dei cittadini comunitari, la CGUE, incappa in una vicenda come quella descritta sopra, gli interrogativi che ne discendono sono tanti.

Premesso che non possiamo pensare che la normativa applicabile non fosse compresa dall’ente, possibile che la Corte non avesse qualcuno tecnicamente in grado di gestire correttamente gli aspetti critici dei cookie e relativo banner? Si è trattato di un problema organizzativo o di un errore umano? Di pessima gestione e organizzazione? Non credo lo sapremo: l’EDPS e la CGUE non ci hanno fornito alcuna spiegazione del perché questo sia successo.

Un aspetto che in sede investigativa e correttiva si sarebbe dovuto approfondire: nell’ambito della gestione del rischio e degli incidenti si segnala infatti che se non si arriva a scoprire le “cause radice”, il rischio di una ripetizione dell’incidente stesso è elevato.

Speriamo che internamente la CGUE abbia fatta un’analisi di questo tipo.

Pur nel suo piccolo, è un episodio che la dice lunga su quanto possa essere la distanza tra chi “fa le regole”, che in prima battuta dovrebbe offrire il miglior esempio possibile ma concretamente sbaglia e anche in maniera grossolana, e chi le deve rispettare, potenzialmente più passibile di sanzioni che di richiami. Chi controlla il controllore? Perlomeno l’episodio mostra che l’EDPS ha funzionato correttamente, reprimendo una situazione illecita nonostante riguardasse l’Alta Corte.

Concludiamo segnalando che l’episodio non è isolato: è noto che molti siti web istituzionali anche nazionali sono carenti quanto alla compliance con cookie e banner.

Speriamo che l’episodio della CGUE possa fornire uno spunto per molti a rivedere e correggere il proprio operato in merito: il buon esempio per i cittadini non dovrebbe mai mancare nemmeno in aspetti diciamo “secondari” come questi.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5