Normativa sui cookie, uno scenario “spezzettato”

Esplorando i vari siti Internet gli utenti si trovano spesso dinanzi a cookie banner^[1] che richiedono necessaria accettazione al fine di poter proseguire nella navigazione. Tali configurazioni grafiche, d’altronde, come anche le relative policy inerenti all’utilizzo dei cookie, sono oggi obbligatorie per legge per tutti i siti web che fanno uso di queste implementazioni. Le misure previste dalla normativa del settore^[2] mirano a rendere edotto l’utente rispetto alle funzionalità ed eventuali implicazioni legali dei cookie nel caso di loro accettazione (come, ad esempio, i requisiti che il banner deve rispettare). Nonostante gli obblighi conformativi in capo agli operatori di settore, questi ultimi pongono in essere comportamenti iniqui e scorretti, abusando dei vuoti normativi, della propria posizione di forza e della sostanziale inconsapevolezza dell’utente medio rispetto alle conseguenze che derivano dal proprio click, facendo ricorso a pratiche che possono compromettere l’espressione di una scelta pienamente libera e consapevole.

Da tali premesse si evince che nonostante la diffusione ormai capillare dell’utilizzo di cookie sul web, essi sono causa di numerosi problemi rispetto alla tutela effettiva degli utenti che si apprestano ad acconsentire al loro utilizzo. Ciò in ragione soprattutto della lacunosità o inefficienza e contraddittorietà della normativa di riferimento che risulta disomogenea e obsoleta.

Cookie Law: una normativa frammentata e disomogenea

Com’è noto, la prima normativa europea applicabile in materia di cookie è stata la Direttiva e-Privacy (Direttiva 2002/58/CE), soprannominata anche Cookie Law, la quale è stata modificata in parte dalla Direttiva 2009/136/CE del 25 novembre 2009 del Parlamento Europeo e del Consiglio (d’ora in avanti chiamata anche solo “Direttiva”).

La normativa in oggetto, tuttavia, presenta numerose criticità: in primo luogo, essa è ormai piuttosto obsoleta (ndr 2009) rispetto agli ingenti mutamenti a livello tecnologico intervenuti negli ultimi tredici anni nel settore digitale.

In secondo luogo, il fatto che non si tratti di un regolamento ma di una Direttiva – non direttamente applicabile – implica un’inevitabile frammentazione nelle modalità di recepimento all’interno dei diversi Stati membri e contraddizioni tra le diverse regole applicabili nel territorio dell’Unione.

Non è di inferiore importanza, infine, la lacunosità del testo, causata anche dalla sua brevità: essa manca di definire, infatti, numerosi aspetti salienti della materia.

Non sono state di aiuto o risoluzione nemmeno i numerosi provvedimenti e linee guida approvati ‘a pioggia’ dalle diverse autorità garanti nazionali le quali hanno efficacia limitata al proprio territorio di riferimento. Si pensi, ad esempio, alle Linee guida emanate dal Garante italiano^[3] di recente (10 gennaio 2022) le quali conferiscono importanti garanzie agli utenti ma che risultano tuttavia applicabili solo in Italia.

Proprio per la loro limitatezza intrinseca di efficacia, difatti, nonostante il nobile fine di conferire maggiori tutele, in concreto tali atti sono stati causa solo di maggiore destabilizzazione e contraddittorietà, dal momento che ogni stato ha interpretato la Direttiva in maniera differente, adottando norme di recepimento talvolta in contrasto con gli altri paesi europei. Tali normative nazionali sono tuttavia ad oggi l’unica “bussola” che permette agli operatori di avere dei punti di riferimento per poter gestire i cookie in maniera legittima. A ben vedere, si ritiene paradossale, infatti, che ancora oggi, venga prediletta una normativa nazionale in un ambiente di per sé ubiquo e privo di confini.

Tutto ciò considerato, è evidente che il panorama attuale si caratterizzi per una grave frammentazione e contraddittorietà normativa che rende complesso agli operatori comprendere chiaramente a quale disciplina doversi attenere. Si pensi, ad esempio, al gestore di un e-commerce che si rivolge a un pubblico dislocato nel territorio dell’Unione; sarà difficile per quest’ultimo avere un quadro lineare circa la corretta impostazione del proprio sito web al fine di risultare compliant ed evitare eventuali violazioni dei diritti dei propri utenti.

Per la risoluzione delle problematiche evidenziate, sono state adottate delle soluzioni che si esamineranno qui di seguito, le quali mirano, in primo luogo, a colmare le lacune presenti nella Direttiva e-Privacy e, in secondo luogo, a riportare coerenza e uniformità in tale materia.

Prima soluzione: regolamento GDPR come Lex Generalis

La prima soluzione viene posta dalla stessa Direttiva che, all’art. 1 comma 2 prevede che “le disposizioni della presente Direttiva precisano e integrano la Direttiva 95/46/CE”, ossia la normativa (ora abrogata) che regolamentava l’ambito Privacy e che oggi è stata sostituita dal GDPR.

Alla luce di ciò e così come confermato dal parere n. 05/2019 emanato dall’EDPB, riguardante l’interazione tra le due normative, si può ritenere che il Reg. 2016/679/U.E. sia lex generalis nell’ambito in oggetto, mentre la Direttiva rimanga lex specialis. La Direttiva risulta dunque la prima normativa applicabile, mentre si potrà invece ricorrere al GDPR solo in caso di lacune.

In aggiunta, ai sensi dell’articolo 10, la Direttiva prevede l’applicabilità del GDPR in tema cookie in considerazione del fatto che l’archiviazione o la raccolta delle informazioni contenute nel device dell’Utente grazie allo strumento dei cookie, comporta nella maggior parte dei casi il trattamento di dati personali degli utenti e dunque l’applicabilità delle norme a protezione dei dati personali previste dal Regolamento.

Di conseguenza, indipendentemente dalle eventuali incongruenze tra le normative nazionali di recepimento, il GDPR potrà così riportare uniformità dal momento che saranno ugualmente applicabili in tutti gli Stati membri le disposizioni generali, i principi e gli istituti cardine ivi previsti.

Seconda soluzione: i pareri dell’EDPB e le linee guida del WP29

La seconda misura riguarda invece i vari pareri adottati dall’EDPB e le linee guida emanate dal Working party 29 che, derivando da organismi sovranazionali, risultano essere vincolanti per tutti gli Stati membri aderenti, indipendentemente dai loro orientamenti interni, e hanno l’obiettivo di risolvere le principali contraddizioni e lacune esistenti fornendo soluzioni uniformi alle problematiche più sentite.

Di seguito, prendendo via via in considerazione le principali questioni in tema cookie, si andranno a esaminare le svariate contraddizioni previste tra i diversi Stati membri. L’obiettivo ultimo dell’analisi in oggetto è quello di fornire eventuali soluzioni di unità allo scollamento normativo attuale. In tal senso, si farà ricorso sia al GDPR sia a quelle iniziative europee che abbiano risolto tali difformità fornendo soluzioni uniformi.

Il consenso ai cookie

Ai sensi dell’art. 5.3 della Direttiva e-Privacy^[4], così come modificato dalla Direttiva 2009/136/CE, l’attivazione dei cookie è “consentita unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il pro­prio consenso”.

Pertanto, agli operatori di Internet di tutti gli Stati membri viene imposto di richiedere agli utenti il consenso ai cookie prima di poterli attivare. Ciò ad eccezione del caso in cui si tratti dei c.d. cookie tecnici, ossia quei cookie che vengono attivati per la trasmissione delle comunicazioni e nella misura strettamente necessaria a fornire il servizio richiesto dall’utente^[5]. Difatti, trattandosi di cookie senza l’attivazione dei quali il sito non potrebbe funzionare e il servizio non potrebbe essere fruito, non è richiesta preliminare acquisizione del consenso dell’utente (tali cookie vengono infatti definiti anche come “cookie necessari”)^[6].

Ciò significa che i Cookie non necessari non possono essere attivati prima che l’utente esprima un consenso nel merito e che, pertanto, è sempre necessario prevedere il c.d. “Blocco preventivo” dei cookie. Tale blocco fa sì che i cookie di un sito web (ad eccezione di quelli tecnici), risultino disattivati di default e vengano attivati solo a seguito dell’accettazione da parte dell’utente.

A quest’ultimo, deve essere quindi fornita anche la possibilità di rifiutare l’installazione dei cookie (aspetto che era già stato specificato nella prima versione della Direttiva, al considerando 25^[7]) dal momento che questi, come specificato anche dal considerando 66, detiene un “diritto al rifiuto”.

Le caratteristiche del consenso

In riferimento a questo aspetto, la Direttiva e-Privacy fornisce poche specifiche indicazioni, stabilendo, al considerando 17, che “il consenso deve essere prestato liberamente e in coscienza di causa^[8].

Tale disposizione non risulta tuttavia sufficiente a fornire le necessarie informazioni relativamente alle caratteristiche che il consenso dovrebbe avere. Una soluzione al “dilemma” viene fornita dalla stessa Direttiva, la quale sia all’art. 2 che al considerando 17, precisa come il consenso dovrebbe avere “la stessa definizione e significato del ‘consenso della persona interessata’ così come definito ed ulteriormente determinato nel GDPR”. Esaminando dunque la definizione di “consenso” nell’ambito del Regolamento Privacy, all’art. 4, paragrafo 11, si definisce come “consenso dell’interessato”, “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile

con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”^[9].

Secondo le Guidelines on obtaining consent for cookies n. 02 del 2013 adottate dal WP29^[10] e in conformità con le Linee guida dell’EDPB 05/2020^[11], il consenso ai cookie deve essere:

• “specifico” e non un consenso “in bianco”, ossia dev’essere fornito sulla base di informazioni dettagliate riguardo, ad esempio, alla categoria di appartenenza dei cookie, al funzionamento e alle finalità. Ciò significa che il consenso deve essere “informato”;
• fornito “prima dell’attivazione dei cookie”: deve infatti essere previsto, come sopra menzionato, il “blocco preventivo dei cookie”;
• “non ambiguo” e deve rappresentare una “scelta attiva” da parte dell’utente in modo da rendere evidente, senza alcun dubbio, che questo abbia prestato un consenso per quella tipologia di cookie e per quella specifica finalità;
• “fornito liberamente” e deve rappresentare una “vera scelta” dell’utente, in assenza di condizionamenti, sotterfugi, inganni, intimidazioni, coercizione o senza minacciare sostanziali conseguenze negative in caso di mancato consenso. Alla luce di ciò e ai sensi del considerando 32 del GDPR inoltre: “Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle”.

Nonostante la previsione normativa relativa al consenso sul piano formale, nella sostanza invece la situazione appare alquanto diversa in ragione del fatto che gli utenti, durante la navigazione su Internet, sono indotti in modo fraudolento a consentire ai cookie senza evidente cognizione della propria accettazione.

Spesso accade infatti che i titolari dei siti web, pur di ottenere il consenso degli utenti utilizzino degli escamotage quali il rendere il pulsante “accetta” più evidente graficamente rispetto al pulsante “rifiuta” oppure prevedere che il semplice scrolling della pagina comporti l’installazione automatica dei cookie nel browser.

In aggiunta, molto spesso i siti web vengono configurati facendo in modo che il banner vada a limitare la visibilità del sito in maniera tale che l’utente esprima una scelta affrettata e non consapevole pur di proseguire velocemente nella navigazione in maniera agevole.

Difatti purtroppo, per pigrizia o fretta, è capitato a tutti di acconsentire senza porre attenzione alla tipologia di cookie che verranno conseguentemente attivati dal sito web visitato, spesso proprio perché il pulsante “accetta” viene maggiormente evidenziato. Di conseguenza, sempre più spesso gli utenti hanno la tendenza ad acconsentire quasi “inconsapevolmente” al trattamento dei loro dati personali effettuato tramite i cookie.

Proprio per questo motivo, negli ultimi anni, gli interventi in ambito europeo si sono concentrati a emanare normative e a prevedere iniziative che avessero il fine rendere sempre più consapevole l’utente della scelta effettuata proibendo l’utilizzo delle tecniche sopra menzionate.

Il cookie banner

Relativamente alle modalità con cui dev’essere fornito il consenso, la Direttiva prevede che possa essere prestato tramite selezione di un’apposita casella^[12] o inserendo delle impostazioni all’interno del motore di ricerca^[13]; non vengono tuttavia fornite ulteriori indicazioni a riguardo. Secondo invece le Guidelines 02/2013 del WP29 sul consenso ai cookie, viene stabilito che dev’essere presente un “avviso immediatamente visibile” in cui vengano fornite informazioni dislocate su più livelli e in cui sia presente un link, o una serie di link, attraverso i quali l’utente viene indirizzato su una specifica pagina in cui potrà trovare informazioni ulteriori e più esaustive su ogni tipologia di cookie utilizzata. Per rendere tale “avviso immediatamente visibile” così come richiesto nelle Guidelines, la soluzione maggiormente adottata è il c.d. cookie banner ossia un pop-up che viene mostrato all’apertura del sito, nella pagina iniziale, tramite il quale l’utente potrà rifiutare o accettare l’attivazione dei cookie. All’interno di tale banner, viene poi inserito un link mediante il quale l’utente verrà indirizzato alla cookie policy, documento in cui saranno inserite informazioni più dettagliate. Nella maggior parte degli stati membri, l’utilizzo del cookie banner è consigliato (in Germania è addirittura indicato come miglior prassi) mentre in altri, ad es. in Francia, Belgio ed Irlanda, non viene menzionato, sebbene sia senz’altro la soluzione più comune.

All’interno del banner dovranno poi essere presenti le informazioni sulla base del quale l’utente esprime il consenso. Difatti, la Direttiva all’art.5.3, precisa che l’utente debba essere sempre “(…) informato in modo chiaro e completo sugli scopi del trattamento” e che tali informazioni, a norma del considerando 66, debbano essere comunicate nel modo più chiaro e comprensibile possibile.^[14]

Di conseguenza, all’interno del banner dovranno essere contenute le seguenti informazioni: 1) l’elenco delle categorie di cookie, divise per finalità, presenti sul sito, 2) i meccanismi sulla base dei quali si procederà all’installazione di questi (ad es. tramite il consenso o in assenza di consenso, in caso di soli cookie tecnici), 3) informazioni sulle conseguenze derivanti dall’accettazione dei cookie (ad es. il fatto che, come conseguenza, avverrà un monitoraggio delle attività dell’utente), 4) informazioni sulla possibilità di revocare il consenso in ogni momento e sulle modalità di revoca e 5) ogni altra informazione utile che possa rendere il consenso dell’utente valido secondo la normativa applicabile. Tali informazioni saranno poi specificate più nel dettaglio all’interno della cookie policy la quale dovrà essere raggiungibile tramite un link visibile sul sito web (come prescritto dalle Guidelines 02/2013 del WP29) ed inserito anche all’interno dello stesso banner.

Le caratteristiche del banner

Una delle questioni più dibattute riguarda le caratteristiche e i requisiti obbligatori del cookie banner. In merito a ciò, le nuove Linee guida del Garante Italiano forniscono indicazioni molto precise che, tuttavia, in quanto di derivazione nazionale, non risultano applicabili agli altri Stati membri.

Sennonché, tali disposizioni, proprio perché in conformità con i principi della Cookie Law e/o con i documenti emanati da organismi europei quali WP29 e EDPB – applicabili invece in tutta Europa – dimostrano di avere, come si esaminerà in seguito, una potenziale estensibilità della propria efficacia oltre i confini nazionali. Per questo motivo, sebbene le norme delle linee guida abbiano in sé validità solo in Italia, i contenuti e le regole che queste riportano sono applicabili anche negli altri Stati membri proprio in quanto adottano gli stessi orientamenti già propri degli organismi europei sopra menzionati. Di seguito, dunque, esaminando via via ciascuna delle più rilevanti questioni in tema di cookie, si vedrà come l’esistente difformità talvolta riscontrata tra gli orientamenti nazionali venga in realtà risolta grazie all’uniformità garantita da iniziative europee in materia.

Consenso “granulare”, “per categoria”

Secondo le Linee guida del Garante italiano e in conformità alla Cookie Law, sussiste l’obbligo di specificare nel banner le informazioni circa le finalità relative ai cookie utilizzati. Sulla base di queste, i cookie verranno suddivisi in macro-categorie, indicate nel banner, in modo tale che l’utente possa prestare singolarmente il consenso per ciascuna di queste (e dunque per ciascuna finalità). A tal fine infatti, le Guidelines 02/2013 del WP29, prevedono espressamente come sia “altamente raccomandata la granularità” del consenso, ossia il consenso prestato singolarmente per ciascuna delle finalità relativa ai cookie (e, pertanto, per ogni singola categoria). Il Regolamento GDPR in aggiunta prescrive, al considerando 32, che “Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ciascuna di queste” e che “Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità”. Sebbene dunque, nelle disposizioni interne di alcuni Stati membri (ossia Germania, Grecia e Irlanda), non venga specificato l’obbligo di permettere all’utente di scegliere singolarmente, attraverso l’indicazione delle categorie di cookie trattate, per quale di queste fornire il consenso e per quale rifiutarlo, tale obbligo deriva dalla stessa Cookie Law e risulta dunque un requisito indispensabile del banner in tutta Europa.

Cookie di terze parti

Secondo le Guidelines 02/2013 del WP29 sul consenso ai cookie, il banner dovrebbe contenere “dettagli riguardo ai cookie di terze parti”, ossia cookie legati a servizi forniti non dal titolare del sito ma da soggetti terzi (ad esempio, servizi di pagamento come Paypal o servizi di analisi del comportamento degli utenti come “Clarity”^[15]). Ulteriori dettagli in merito a tali tipologie di cookie come, ad esempio, se si tratti di cookie di terze parti tecnici (come Paypal^[16]) o non tecnici (come Clarity), saranno poi riportati all’interno della Cookie policy. Sebbene in Germania, Belgio e Irlanda ciò non sia stato espressamente previsto, tali informazioni dovranno essere obbligatoriamente fornite all’utente poiché richiesto dalle Guidelines.

Pulsanti “accetta” e “rifiuta” con uguale rilevanza

Benché in Belgio e in Irlanda non sia specificata né l’obbligatoria esistenza di entrambi i pulsanti all’interno del banner e nemmeno la necessità che questi abbiano uguale rilevanza, questa è la soluzione adottata dalla maggior parte degli Stati membri essendo conforme a quanto previsto in ambito europeo. Difatti, la Direttiva prevede che la scelta dell’utente debba essere “libera” e non condizionata. Ciò potrebbe avvenire, ad esempio, qualora il titolare del sito faccia ricorso a strategie che mirino a orientare la scelta dell’utente verso l’opzione desiderata sfruttando altresì la velocità con cui le preferenze riguardo ai cookie vengono espresse. Qualora dunque i due pulsanti fossero configurati in modo da indirizzare maggiormente l’utente verso l’accettazione più che verso il rifiuto, la libera scelta dell’utente non sarebbe garantita ma compromessa. Di conseguenza, in conformità al contenuto della direttiva, tali pulsanti dovrebbero avere la medesima evidenza grafica in tutti gli Stati membri.

Presenza del pulsante “accetta tutto” e “rifiuta tutto”

Le Linee guida del Garante italiano prevedono che sul banner debbano essere obbligatoriamente presenti questi due pulsanti. Sebbene ciò non sia previsto in tutti gli Stati membri, tale aspetto dovrebbe essere da tutti posto come elemento indispensabile nel banner poiché è ciò che viene richiesto in ambito europeo. Difatti, secondo le Guidelines 02/2013 del WP29 affinché il consenso sia “concesso liberamente” e sia conseguenza di una “reale scelta”, è necessario che l’utente abbia avuto la possibilità di “scegliere liberamente tra l’opzione di accettare alcuni o tutti i cookie o di rifiutare tutti o solo alcuni cookie”. Ciò inoltre rende più agevole all’utente esprimere la propria scelta, evitandogli così di dover accettare o rifiutare ogni singolo cookie. In aggiunta, sempre per il principio dell’uguale rilevanza del pulsante “accetta” e “rifiuta”, se si inserisce il pulsante “accetta tutto”, dovrà essere previsto anche quello “rifiuta tutto”. In considerazione di quanto sopra riportato, tale aspetto previsto nelle Linee guida del Garante italiano, risulta conseguentemente applicabile in tutti gli Stati membri.

Presenza di un apposito comando per astenersi dall’esprimere una preferenza sui cookie (ad es. comando contraddistinto dalla “X” sul banner)

Le Linee guida del Garante Italiano impongono agli operatori di prevedere un comando attraverso cui gli utenti possano esimersi dall’esprimere una preferenza in merito ai cookie, ad esempio, cliccando una “X” contenuta in alto a destra nel banner, con la conseguenza che i cookie non tecnici rimarranno disattivati.

L’Autorità italiana si è basata sull’assunto che per tutelare appieno l’istituto del consenso, fosse necessario fornire all’utente anche la possibilità di non esprimere alcuna preferenza. Difatti, accettando o rifiutando i cookie, l’utente effettua una scelta, mentre tramite l’utilizzo di un comando a ciò configurato, egli si astiene dall’esprimerla. Ad esempio cliccando la “X” il banner si chiuderà e i cookie rimarranno disattivati. In considerazione di ciò, a parere di chi scrive, tale adempimento dovrebbe essere previsto in tutti i paesi europei al fine di garantire una piena tutela dell’istituto del consenso.

Comando di gestione delle preferenze dei cookie

Un altro obbligo che è stato imposto tramite le Linee guida è quello dell’inserimento di un link accessibile tramite un’icona o altro segno grafico sempre visibile sul sito (ad es. un widget), attraverso il quale l’utente potrà, in ogni momento, modificare le proprie scelte, revocando il proprio consenso riguardo a tutti o singoli cookie per i quali lo abbia prestato o rilasciando il proprio consenso rispetto a cookie per i quali non lo avesse ancora prestato. Nello specifico, si prevede quindi la necessità di inserire un comando, ad es. un’icona sempre disponibile nel footer del sito, attraverso la quale con un click il banner verrà riaperto e sarà possibile in ogni momento accedere a tutte le informazioni relative ai cookie e modificare le preferenze. Tale pulsante, indipendentemente da quali siano gli orientamenti degli altri Stati membri, dovrebbe essere sempre previsto nei siti web degli operatori europei poiché ciò viene espressamente richiesto dalla normativa. Difatti, le Guidelines 02/2013 del WP29 prescrivono che è necessario concedere all’utente “la possibilità di cambiare successivamente le preferenze date riguardo ai cookie” e che “le informazioni non devono scomparire dal sito una volta espresso il consenso” (ovvero, per l’appunto, il banner non dovrebbe scomparire una volta cliccato su “accetta”). Poiché tutti gli Stati membri sono concordi nell’affermare che revocare il consenso dovrebbe essere semplice quanto prestarlo, l’inserimento di un meccanismo di questo tipo garantirebbe al massimo grado quanto richiesto nelle Guidelines. Per questi motivi, a parere di chi scrive, la soluzione prospettata dalle Linee guida italiane, in quanto conforme all’orientamento degli organismi europei, dovrebbe essere applicata anche in tutti gli Stati membri.

Consenso tramite “scrolling” e/o proseguimento alla navigazione

Un altro aspetto su cui sono intervenute le linee guida, riguarda il consenso prestato tramite “scrolling” e/o proseguimento alla navigazione. Per “scrolling” deve intendersi lo scroll down, ossia lo scorrimento della pagina verso il basso che permetta all’utente di procedere nella consultazione del sito.

Facendo ricorso alla pratica del consenso tramite scrolling, i cookie verrebbero attivati in assenza di un’espressa scelta da parte dell’utente. Inoltre, l’azione dello scorrimento non esprime in maniera inequivocabile quale sia la preferenza dell’utente in merito ai cookie e semmai esprime maggiormente la sua volontà di proseguire alla navigazione senza effettuare alcuna scelta. Ciò nonostante, è bene tener presente che lo stesso considerando 32 del GDPR richiede invece che il consenso sia “inequivocabile” e, di conseguenza, stabilisce che “il silenzio o l’inattività” non si possano configurare come consenso.

In conformità con quanto appena riportato e in considerazione del fatto che la preferenza dell’utente debba essere sempre il risultato di una sua “scelta attiva” basata sulle informazioni a lui fornite, le Linee guida 05/2020 dell’EDPB^[17] stabiliscono espressamente l’illegittimità di tale prassi. Al punto 86 si stabilisce difatti, che “In base al considerando 32, azioni quali scorrere un sito o sfogliarne le pagine o azioni analoghe dell’utente, non potranno in alcun caso soddisfare il requisito di un’azione positiva inequivocabile: azioni di questo tipo possono essere difficili da distinguere da altre azioni o interazioni dell’utente e quindi non è possibile stabilire che è stato ottenuto un consenso inequivocabile. Inoltre, in un caso del genere, sarà difficile dare all’utente la possibilità di revocare il consenso con la stessa facilità con cui lo ha espresso”.

Di conseguenza, la prassi di considerare lo scrolling della pagina come consenso da parte dell’utente risulta in contrasto rispetto a quanto stabilito in ambito europeo. Proprio per queste ragioni, indipendentemente dagli orientamenti nazionali presenti, lo scrolling della pagina web da parte dell’utente non dovrebbe essere considerato, da nessun paese europeo, come atto idoneo ad esprimere un valido consenso ai cookie.

Cookie wall, cos’è

Una delle questioni rispetto a cui gli stati membri sono tuttora discordi è la possibilità di fare ricorso al c.d. cookie wall, intendendosi con tale espressione un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente venga obbligato, senza avere alcuna alternativa, a esprimere il proprio consenso all’attivazione di cookie, pena l’impossibilità di accedere al sito^[18]. Mentre negli altri paesi europei è proibito ricorrere a tale strumento, sia l’Italia che la Spagna prevedono che il suo utilizzo non sia permesso a meno che il titolare del sito non fornisca, in assenza di accettazione, un’alternativa per accedere al servizio (o ad una versione del servizio che sia assimilabile a quella a cui l’utente accederebbe accettando i cookie), soluzione che, a parere di chi scrive, è da considerarsi ragionevole.

Riguardo a tale aspetto, la ”voce fuori dal coro” è invece quella francese, la quale prevede, in via di principio, la possibilità di utilizzo di “cookie wall”, sebbene contestualmente informando l’utente sulle conseguenze del rifiuto (ossia l’impossibilità di accedere al sito). Tale orientamento sarebbe da valutarsi, a opinione di chi scrive, come non conforme secondo quanto previsto dalle Guidelines 02/2013 del WP29. Difatti, queste ultime stabiliscono che un consenso sia “libero” solo nel caso in cui non vengano prospettate all’utente “significative conseguenze negative qualora questo non acconsenta”. Inoltre, nelle stesse Guidelines viene precisato come, al considerando 25 della prima versione della Direttiva, si sia stabilito che l’accesso a uno specifico contenuto di un sito internet possa venire subordinato all’accettazione dei cookie, se usato per scopi legittimi^[19]. Di conseguenza, bloccare l’accesso generalizzato al sito non sarebbe consentito.

Sulla base di ciò, si può facilmente rilevare che non sarà legalmente possibile subordinare il generale accesso al sito all’accettazione dei cookie – e dunque non fornire accesso al servizio principale sulla base del rifiuto dei cookie da parte dell’utente – ma, a seguito del rifiuto, sarà solo possibile limitare alcuni contenuti o limitare l’accesso ad una specifica funzione o parte del sito. Ciò significa ad esempio che, nel caso di un e-commerce, qualora un utente non acconsenta ai cookie, non si potrà negare la possibilità di acquistare prodotti sul sito poiché questo vorrebbe dire bloccare un generale accesso al sito, pratica che sarebbe contraria ai contenuti della Direttiva.

In considerazione di quanto sopra esposto, tutti i paesi europei, compresa la Francia, dovrebbero conformarsi alla Direttiva e proibire la pratica dei “cookie wall” nella misura in cui venga impedito un generale accesso al sito e dunque l’accesso al servizio principale da questo fornito.

È il consenso l’unica base legale idonea a una legittima attivazione dei cookie?

Ad oggi, gli Stati membri risultano in disaccordo tra loro riguardo alla possibilità di estendere le basi legali idonee ad una legittima attivazione dei cookie.

Mentre la maggior parte dei paesi europei (da ultimo l’Italia con le nuove Linee guida) ritengono che sia il consenso l’unica base giuridica per la legittima attivazione dei cookie, altri paesi, come ad esempio la Germania, non prevedono tale divieto e stabiliscono invece la possibilità di ricorrere al “legittimo interesse” quale idonea base legale per la loro installazione (a meno che tale strumento di tracciamento trasferisca dati a terzi e fatto sempre salvo il diritto dell’interessato di opporsi a tale attivazione rifiutando).

Tale aspetto risulta particolarmente sensibile nel caso dei cookie di profilazione. Dal momento che infatti questi non solo comportano il trattamento dei dati personali, ma permettono persino di tracciare il comportamento degli utenti, non dovrebbero poter essere installati invocando una base giuridica diversa dal consenso.

Come si è già potuto rilevare all’inizio di questo articolo, la Direttiva prevede la possibilità di procedere all’installazione dei cookie solo in presenza del consenso dell’interessato (art. 5.3). Quest’ultima, dunque, non menziona ulteriori base legali idonee che permettano una legittima attivazione dei cookie sul dispositivo dell’utente. Tale “silenzio” da parte della Direttiva viene interpretato in due contrastanti modalità, causando il disaccordo sopra menzionato.

Secondo l’interpretazione del garante tedesco, nella stesura del testo della Direttiva, il Parlamento europeo e il Consiglio avrebbero deciso di rimanere silenti sul punto al fine di rinviare dunque al GDPR – in quanto lex generalis ai sensi dell’art. 1 comma 2 della Direttiva stessa – per ulteriori definizioni e specificazioni. Tale tesi sarebbe inoltre avvalorata da quanto previsto all’articolo 2 e al considerando 17 della Direttiva, in base al quale il “consenso” deve avere la stessa definizione e significato del consenso della persona interessata così come definito ed ulteriormente determinato nel GDPR. Secondo l’interpretazione estensiva da parte del Garante tedesco, con tale previsione si sarebbe voluto rimandare al GDPR non solo per fornire al “consenso” menzionato nella Direttiva una “definizione”, una “determinazione” e un “significato”, ma anche per la previsione di ulteriori basi legali, oltre al consenso, in virtù delle quali fosse possibile procedere al trattamento dei dati personali degli utenti. Di conseguenza, anche l’interesse legittimo sarebbe da considerarsi come base legale idonea anche per i trattamenti di dati personali effettuati attraverso i cookie.

In questo modo, dunque, la Direttiva rinvierebbe al GDPR, e in particolare all’art. 6, che riporta l’elenco delle basi legali idonee al fine di effettuare un lecito trattamento. Alla lettera f) si prevede che “l’interesse legittimo” possa essere una base giuridica idonea nel caso in cui il trattamento sia “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato”. Pertanto, per fondare il trattamento – in questo caso l’attivazione di cookie che comportino il trattamento dei dati personali – sul legittimo interesse, bisognerebbe dunque effettuare un bilanciamento tra i diritti e le libertà del titolare (sito web) e l’interessato (utente). Secondo tale interpretazione, il diritto dell’utente alla tutela dei propri dati personali non prevarrebbe rispetto all’interesse del titolare del sito di attivare i cookie al fine di identificare le abitudini di acquisto, gli interessi, gli orientamenti degli utenti e/o personalizzare la loro navigazione.

Al contrario invece, la gran parte degli Stati membri predilige un’interpretazione più restrittiva, basata sulla chiara lettera della legge. Prendendo infatti in considerazione il testo dell’art. 2 e del considerando 17 della Direttiva, viene posto un rinvio al GDPR solo per quanto concerne la definizione, la determinazione e l’attribuzione di un significato al “consenso”. Nulla viene menzionato in merito alle basi legali del trattamento. Seguendo tale interpretazione, sarebbe dunque possibile rinviare al GDPR certamente per quanto concerne la determinazione delle caratteristiche del consenso (ad esempio il fatto che debba essere specifico, inequivocabile etc.) e non sussisterebbero invece indizi in merito alla possibilità di rinviare al GDPR al fine di estendere l’elenco delle basi legali idonee per la legittima attivazione dei cookie, facendovi rientrare anche l’interesse legittimo così come previsto all’art. 6 GDPR.

Secondo l’opinione di chi scrive, questo sarebbe l’orientamento più ragionevole basandosi sul chiaro assunto che se la Direttiva, in quanto lex specialis (e dunque prima normativa applicabile) non abbia contemplato ulteriori basi legali idonee all’infuori del consenso, il ricorso ad altre basi giuridiche, come l’interesse legittimo, non sarebbe permesso poiché sarebbe stato altrimenti previsto. Non rileva dunque quanto disposto dal Regolamento privacy poiché, in quanto Lex generalis, le sue disposizioni non saranno applicabili in materia di cookie in assenza di uno specifico rinvio. Difatti, all’art. 1 comma 2, viene posto un rinvio al GDPR solo per “precisare ed integrare” i contenuti della Direttiva, e dunque non per applicare – oltretutto in assenza di un rinvio specifico – nuove previsioni permettendo dunque di attivare i cookie pur in mancanza di una scelta da parte dell’utente. Ciò andrebbe sicuramente a pregiudicare la tutela posta dall’istituto del consenso da parte della Direttiva.

Ad avvalorare tale ipotesi, rileva anche il fatto che seppur il legittimo interesse fosse una base legale idonea all’attivazione dei cookie, ciò non sarebbe possibile ai sensi di quanto previsto all’art. 6 GDPR, il quale stabilisce che si possa ricorrere a questo solo a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato. Nel caso di specie, l’interesse dell’utente alla protezione dei dati personali risulta invece di primaria importanza rispetto agli altri interessi in gioco. Difatti, l’interesse del titolare, ad esempio, a profilare gli utenti al fine di svolgere attività di marketing mirato, potrà difficilmente essere considerato prevalente rispetto all’interesse dell’utente alla tutela della sua privacy. Per questo motivo, un sito web, non potrà trattare dati stabilendo arbitrariamente che i suoi interessi siano prevalenti rispetto a quelli dell’interessato. La causa principale di tale erronea interpretazione, che ha causato l’attuale confusione degli operatori, deriva dal considerando 47 del GDPR, il quale ha “ambiguamente” previsto che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”. Effettivamente, dopo l’entrata in vigore del GDPR, molti siti web hanno inserito il legittimo interesse nei banner.

In questo contesto frammentato e poco garantista, a prendere posizione è stato infine il Garante italiano il quale, nelle Linee guida da ultimo pubblicate, ha chiarito che: “In nessun caso sarà possibile invocare la scriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento”. Si tratta sì di una fonte nazionale che tuttavia, come si è potuto vedere, rappresenta l’orientamento della maggior parte degli Stati membri.

Invasione di banner, esiste un’alternativa?

Sebbene lo strumento del banner sia quello ad oggi maggiormente utilizzato, conseguono delle problematiche relative al suo massivo utilizzo. Infatti, ad oggi accade che, nel navigare in internet, l’utente si trovi a gestire le proprie preferenze cookie per ogni pagina aperta, accettando o rifiutando cookie quasi incessantemente. In questo modo, la navigazione viene continuamente “disturbata” e per poter accedere più agevolmente al contenuto del sito, l’utente finisce per manifestare velocemente le proprie preferenze solo al fine di far scomparire il banner che spesso impedisce la corretta visualizzazione del sito. Di conseguenza, la scelta viene espressa in modo non del tutto consapevole e la tutela posta dall’istituto del consenso viene così pregiudicata.

Rispetto a tutte queste problematiche, potrebbe tuttavia esserci una soluzione. Difatti, nonostante ormai il ricorso indiscriminato al banner, questo non è il solo strumento idoneo e legittimo con cui l’utente possa esprimere le proprie preferenze riguardo ai cookie.

In riferimento a ciò, le stesse Guidelines 02/2013 prevedono altre modalità per l’acquisizione del consenso tra cui quello di utilizzare le impostazioni del browser. In questo modo l’utente, attraverso tali impostazioni, potrebbe esprimere una preferenza riguardo ai cookie che verrà applicata per tutti i siti che questo visiterà senza dover effettuare una scelta ogni volta. Riguardo a ciò, l’art. 66 della Direttiva 2009/136/CE prevede che “ove tecnicamente possibile ed efficace, in conformità con le rilevanti previsioni della Direttiva 95/46/CE (ndr GDPR), il consenso dell’utente al trattamento potrebbe essere espresso mediante l’utilizzo di appropriate impostazione del browser o di altra applicazione”.

Infatti, è proprio verso questa soluzione che si stanno orientando gli ultimi aggiornamenti normativi in materia di cookie. In particolare, il Regolamento e-Privacy^[20] (la cui bozza è stata emanata nel 2017), pone questa come una delle più idonee modalità per l’acquisizione di un consenso ai cookie. Uno degli obiettivi primari del Regolamento è infatti quello rendere più user friendly, e quindi più semplice, la raccolta del consenso. Ciò nonostante, sebbene la bozza sia stata presentata ormai 5 anni fa, tale regolamento tarda ad essere emanato e ad oggi è stata solo calendarizzata una discussione nel merito per la primavera del 2022.

In riferimento a tutto quanto sopra esposto, appare evidente che, seppur sia presente una Cookie Law, questa risulta talvolta insufficiente e obsoleta in riferimento ad una tecnologia in costante evoluzione dal punto di vista informatico, con numerosissime tipologie di cookie che possono essere “iniettate” ubiquo nei nostri browser^[21].

Di conseguenza, nonostante le svariate iniziative in ambito europeo adottate dal Working party 29 e dall’EDPB, sono necessarie indicazioni più chiare, dettagliate e uniformi in riferimento a un tema oltremodo complesso e diversificato, le quali siano fornite da una normativa che tenga in considerazione anche e soprattutto gli aspetti tecnico-informatici relativi a tale fenomeno. Il Regolamento e-Privacy potrebbe essere una soluzione? Probabilmente sì, è certo che si tratta di questioni urgenti per le quali sono sempre più urgenti delle soluzioni, al fine di assicurare una più ampia tutela della privacy dei cittadini e della loro sfera privata.

Note

1. Con cookie o altri strumenti di tracciamento si intendono, secondo la definizione data dal Garante italiano “piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi usati per la consultazione (computer, smartphone, tablet, smart TV, ecc.) per essere memorizzati e poi trasmessi agli stessi siti in occasione della visita successiva” (Linee guida cookie e altri strumenti di tracciamento, 10 giugno 2021, n. 9677876, entrate in vigore il 9 gennaio 2022, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021, registro dei provvedimenti n. 231 del 10 giugno 2021) ↑
2. cfr Direttiva e-Privacy (2002/58/CE), così come modificata dalla direttiva 2009/136/CE. ↑
3. “Linee guida cookie e altri strumenti di tracciamento” (n. 9677876), emanazione: 10 giugno 2021, entrata in vigore: 10 gennaio 2022, pubblicate sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021. ↑
4. «3. Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il pro­prio consenso, dopo essere stato informato in modo chiaro e completo, a norma della Direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un ser­ vizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio.»; ↑
5. art. 5.3. prevede infatti che non sia necessario il consenso in caso in cui i cookie vengano installati 1) “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica (…)”: qui si fa riferimento ai c.d. dati relativi al traffico, ossia ai sensi dell’art. 2 della Direttiva, “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione” e 2) “(…) nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio.»”. ↑
6. Al contrario invece, così come anche specificato nelle Guidelines 02/2013 del WP29 sul consenso ai cookie, se i cookie possiedono la sola finalità di fornire benefici ulteriori all’operatore del sito e non sono dunque necessari alla fornitura del servizio, sarà necessario che l’utente esprima il proprio consenso. Tra tali tipologie di cookie rientrano, ad esempio, i cookie di profilazione, in altre parole quei cookie che consentono di tracciare i comportamenti dell’utente all’interno del sito web e, acquisiti dati sulle loro preferenze o inclinazioni, creare dei “profili” sulla base dei quali creare pubblicità e offrire prodotti in maniera mirata. Per l’attivazione di tale tipologia di cookie sarà dunque sempre necessaria l’acquisizione del consenso da parte dell’utente dal momento che, nel loro utilizzo, vengono altresì trattati dati personali dell’utente. ↑
7. Il considerando 25 della Direttiva 2002/58/CE prevede che: “Gli utenti, dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale”. ↑
8. Il considerando 17 della prima versione della Direttiva, prevedeva che: “il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel caso di un sito Internet”. ↑
9. Inoltre, il considerando 32 GDPR specifica che: “Il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. (…)”. ↑
10. “Working document 02/2013” adottate il 2 ottobre 2013 dal Working Party 29 il quale fornisce “guidance on obtaining consent for cookies ↑
11. Linee guida 5/2020 emanate dall’EDPB lo scorso 4 maggio 2020, sul “consenso ai sensi del regolamento (UE) 216/679” ↑
12. cfr. considerando 17, vd. nota supra. ↑
13. Il considerano 66 prevede che: “(…) il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’al­tra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della Direttiva 95/46/CE”. ↑
14. considerando 66: “(…) è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’ar­chiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili (…)”. ↑
15. Servizio che permette di creare delle “mappe di calore” che mostrino le parti del sito su cui gli utenti si soffermano maggiormente e, sulla base delle quali, sia possibile analizzare il loro comportamento e offrire un servizio più personalizzato. ↑
16. Paypal è un servizio che permette di effettuare pagamenti all’interno del sito web. Poiché in assenza di tale cookie non è possibile accedere al servizio di pagamento, questo rientra nella categoria dei cookie tecnici (o necessari). ↑
17. “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”, Versione 1.1, adottate il 4 maggio 2020 ↑
18. cfr definizione di “Cookie wall” fornita dalle “Linee guida cookie e altri strumenti di tracciamento” (n. 9677876) del Garante italiano al sotto-paragrafo 6.1 ↑
19. considerando 25 Direttiva 2002/58/CE “ (…) L’accesso al contenuto di un sito Internet specifico può tuttavia continuare ad essere subordinato all’accettazione in conoscenza di causa di un marcatore o di un dispositivo analogo, se utilizzato per scopi legittimi”. ↑
20. “proposal for a Regulation of the European parliament and of the council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/CE (Regulation on Privacy and Electronic Communications)”, Brussels, 10 gennaio 2017, COM (2017) 10 final. ↑
21. A tal proposito, è necessario specificare che i cookie, anche quelli di profilazione, non dovrebbero essere considerati sempre una “minaccia” per gli utenti e che, anzi, alcuni permettono di migliorare e personalizzare la navigazione online usufruendo di utili funzionalità. Pensiamo ad esempio al caso di un utente che interrompe i suoi acquisti su una piattaforma e-commerce dopo aver aggiunto i prodotti all’interno del carrello; alla successiva visita, i prodotti risulteranno essere ancora all’interno dello stesso grazie a cookie specifici che, installati sul device dell’utente, garantiscono questa possibilità. Pensiamo inoltre a quando su un sito web l’utente si trova a non dover inserire tutte le volte le proprie “preferenze”, come la lingua, le credenziali, la valuta, etc. Anche in questo caso, questa “comodità” messa a disposizione dell’utente è sempre frutto di cookie che sono stati installati sul suo device. Pertanto, i cookie, non devono sempre essere considerati come dannosi o invasivi, nemmeno quelli che vadano a recare un “vantaggio” al titolare del sito, ad es. quelli di profilazione. In tutti questi casi, ciò che è di fondamentale importanza e che è da sempre il punto cardine di tutti gli interventi a livello nazionale ed europeo in materia di cookie, è quello di garantire che l’utente sia sempre conscio delle funzioni e finalità di questi e dunque consapevole delle conseguenze derivanti dalla loro attivazione. ↑