Cookie e GDPR: Vueling Airlines multata per inadeguatezza al regolamento europeo. La decisione dell’Autorità spagnola per la protezione dei dati arriva dopo la decisione della Corte di giustizia dell’Unione europea, che aveva stabilito l’obbligo dal primo ottobre 2019 del consenso attivo sull’uso dei cookie. La vicenda offre l’occasione per approfondire la normativa.
Indice degli argomenti
L’antefatto: la decisione della CGUE
A seguito della decisione presa il 10 settembre 2019 dalla Corte di giustizia dell’Unione europea (CGUE) sui requisiti di consenso per l’uso dei cookie, l’autorità spagnola per la protezione dei dati – AEPD ha multato Vueling Airlines per 30.000 euro (ridotto a 18.000 euro per il pagamento in un unica soluzione) per non aver fornito un consenso sui cookie conforme ai sensi del GDPR. La Corte di giustizia dell’Unione europea aveva infatti deciso che il consenso ottenuto utilizzando una casella preselezionata non sarebbe più stato valido, in quanto non soddisfa i requisiti per un consenso affermativo imposto dalla direttiva e-privacy e dalle prescrizioni del GDPR.
Secondo la Corte, l’uso di una casella preselezionata rende “praticamente impossibile chiarire in modo obiettivo se l’utente di un sito Web abbia effettivamente dato il proprio consenso al trattamento dei propri dati personali”, tanto che “non si può escludere che l’utente non abbia letto le informazioni allegate alla casella di controllo o che non abbia notato questa casella prima di continuare la sua attività sul sito Web visitato Sulla specificità del consenso, la CGUE ha deciso che il consenso non poteva essere ottenuto facendo clic attivamente sul pulsante “partecipa”, poiché da tale azione non si può “presumere che l’utente abbia dato il proprio consenso effettivo alla memorizzazione dei cookie” Ciò suggerisce che la Corte considererebbe inaccettabili anche i consensi impliciti (come i consensi derivati da un uso continuato del servizio).
Alla CGUE è stato anche chiesto di decidere se l’obbligo di ottenere il consenso per i cookie si applicava solo se tali cookie venivano utilizzati per raccogliere dati personali. A questo proposito, la CGUE ha chiarito che l’obbligo ai sensi della direttiva ePrivacy di ottenere il consenso si applica “alla” conservazione delle informazioni “e” accesso alle informazioni già archiviate “senza specificare tali informazioni o specificando che devono essere dati personali”. Tuttavia, la CGUE ha osservato che, nel caso in esame, i dati raccolti erano dati personali poiché i cookie memorizzati nell’apparecchiatura terminale di un utente assegnavano un numero a ciascun utente collegato ai dati di registrazione. Infine, il tribunale ha deciso che, nell’ambito delle “informazioni complete” che devono essere fornite agli utenti, tali utenti devono essere informati della durata dei cookie e della possibilità che terzi possano accedervi. Il tribunale non ha affermato che tutti i terzi devono essere identificati individualmente.
Cookie e GDPR, come fare
Dal caso Vueling Airlines si traggono alcuni spunti di riflessione interessanti:
- È necessario fornire all’individuo la possibilità di rifiutare i cookie.
- È necessario avere un pulsante o un altro meccanismo (come una piattaforma di gestione dei cookie) che consente alle persone di accettare o rifiutare i cookie in modo granulare (non tutto o niente).
- La formulazione di “Accetto” e quindi “vedi impostazioni utente” non è sufficiente.
- La formulazione di “continuando a navigare in questo sito” non è sufficiente per indicare il consenso o il rifiuto.
- Le impostazioni del browser che indicano un’opt-out possono integrare la capacità di rifiutare (usando un pulsante o un meccanismo) ma non sono sufficienti al loro posto.
