Se un cookie può costare €18.000

La multa a Vueling

Ammonta a ben €18.000 l’importo della multa comminata dal Garante della Privacy spagnolo a Vueling Airlines per non aver attivato sul suo sito una corretta gestione dei cookies.

In sostanza, il sito della Vueling Airlines si limitava a informare gli utenti dell’utilizzo dei cookies e rimandava alle funzionalità del browser per eventualmente bloccarli, senza invece fornire pulsanti, caselle di spunta o altri strumenti per disabilitarli.

La decisione dell’Autorità spagnola ha invece ribadito che il sito web (che installa i cookies) deve esso stesso fornire agli utenti strumenti per accettare o meno i cookie; il rimando a funzionalità del browser (o di terze parti) non essendo dunque sufficiente a garantire il diritto (consapevole e granulare) di scelta da parte dell’utente.

L’antefatto

La multa a Vueling segue di pochi giorni un’importante sentenza della Corte di Giustizia dell’Unione Europea, relativa al caso C-673/17.

In tale decisione la CGUE ribadise due elementi:

• le caselle “pre-selezionate” non sono a norma di GDPR, poiché non garantiscono che l’utente abbia espresso una scelta consapevole (consenso esplicito)
• è necessario il consenso esplicito dell’utente per installare cookies sui computer degli utenti, anche se essi non trattano dati personali (“indipendentemente dal fatto che le informazioni di cui trattasi costituiscano o meno dati a carattere personale”)

Alcune considerazioni

Dall’analisi delle sentenze emergono alcune importanti considerazioni qualora un sito internet tratti dati personali dell’utente (attraverso cookies):

• Non è sufficiente informare l’utente che viene effettuato il trattamento dei dati (ad esempio tramite un cookie banner o tramite il contenuto della privacy policy), ma è necessario acquisirne il preventivo consenso;
• Non è sufficiente rimandare a funzionalità del browser (o di terze parti) per disabilitare i cookie, ma è necessario provvedere all’interno del sito strumenti (pulsanti, caselle di scelta) per disabilitare i cookie (e quindi impedire il trattamento dei dati)
• Gli strumenti forniti all’utente per esprimere il proprio consenso non possono essere “pre-selezionati”: deve essere l’utente a esplicitamente selezionarli.

Fino a qui, tutto sommato, niente di nuovo: le considerazioni di cui sopra erano già condivise dalla maggior parte degli esperti del settore e le sentenze le hanno in sostanza ribadite.

L’elemento su cui credo vada posta particolare attenzione deriva invece dalla decisione relativa al caso C-673/17. Perché la CGUE afferma che “il consenso all’archiviazione di informazioni o all’accesso a informazioni, attraverso cookie installati nell’apparecchiatura terminale dell’utente di un sito Internet, non è validamente espresso quando l’autorizzazione risulta da una casella di spunta preselezionata, e ciò indipendentemente dal fatto che le informazioni di cui trattasi costituiscano o meno dati a carattere personale“.

Questa decisione, dunque, coinvolge dunque anche i cookie che non trattano i dati personali degli utenti, ad esempio i cosiddetti cookie tecnici e statistici, presenti sulla stragrande maggioranza dei siti e per i quali la maggior parte dei siti web non richiede il consenso dell’utente.

Il problema dei cookie tecnici e delle Analytics

La decisione relativa al caso C-673/17 fa riferimento dalla Direttiva 2002/58/CE (direttiva relativa alla vita privata e alle comunicazioni elettroniche).

I terminali degli utenti

Tale Direttiva stabilisce che i terminali (smartphone, computer) degli utenti (e le informazioni in essi contenute) appartengono alla sfera privata degli utenti, e che tale sfera privata deve essere tutelata “ai sensi della convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali“.

Può forse sembrare, a prima vista, un’esagerazione parlare di libertà fondamentali (in fin dei conti si tratta solo di “cookie tecnici”), ma la “ratio” della direttiva è chiara e (credo) ampiamente condivisibile: non è consentito ad alcuno accedere ai terminali degli utenti per leggerne i dati o scriverci dati senza il preventivo consenso dell’utente.

E’ un principio fondamentale per la tutela della nostra libertà, perchè senza di esso chiunque potrebbe accedere ai dati registrati sui nostri smartphone, o scrivere dati su di essi, senza la nostra autorizzazione.

I cookie e l’accesso ai terminali

Il fatto è che i cookie fanno esattamente questo: scrivono e leggono sui terminale dell’utente!

Quando un sito web salva alcuni dati nei cookie, accede al nostro terminale per scriverci un file di testo e, successivamente, accede al nostro terminale per leggere i dati contenuti nel file (cookie).

I cookie ricadono dunque esattamente esattamente nel casistica di “accesso” ai terminali degli utenti, e si applica di conseguenza l’art. 5 comma 3, della Dir. 58/2002, il quale stabilisce appunto che “archiviare informazioni o avere accesso a informazioni archiviate nell´apparecchio terminale di un abbonato o di un utente è consentito unicamente a condizione che l´abbonato o l´utente interessato sia stato informato in modo chiaro e completo […] e che gli sia offerta la possibilità di rifiutare tale trattamento”

Lo stesso articolo e comma stabiliscono tuttavia che: “Ciò non impedisce l´eventuale memorizzazione tecnica o l´accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente”.

Qualora dunque si tratti di cookie tecnici strettamente necessari si può ritenere sulla base di questo articolo, che la scrittura e lettura sui terminali dell’utente sia consentita senza l’acquisizione del consenso preventivo (ma l’informazione all’utente è sempre richiesta)

I cookie delle Analytics

E’ opportuno osservare a questo punto che i cookie salvati sul terminale dell’utente non sono “strettamente necessari” per fornire il servizio (sito web) richiesto, questo perchè tutti i siti web funzionano anche senza cookie statistici.

Generalmente, in letteratura, si ritiene che il trattamento dei dati a fini statistici costituisca un legittimo interesse del titolare (così come disciplinato dall’art.6 del GDPR); tale articolo tuttavia fa riferimento al trattamento dei dati, e non all’accesso (scrittura e lettura di dati) ai terminali dell’utente.

Mettendo insieme il tutto, sembrerebbe di poter concludere che:

• il titolare di un sito ha facoltà di raccogliere dati statistici sulle visite al sito senza richiedere il consenso preventivo dell’utente (ovviamente i dati statistici devono essere opportunamente anonimizzati)
• il titolare di un sito non ha facoltà, senza il consenso esplicito dell’utente, si utilizzare cookies per questa finalità.

Purtroppo, tutti i moderni sistemi di web analytics utilizzano cookies (scritti e letti sul terminale dell’utente) per effettuare analisi statistiche.

Speriamo che il nuovo regolamento ePrivacy (purtroppo ancora bloccato al Parlamento Europeo da veti incrociati e lobbies varie) faccia chiarezza in questa materia.

Articolo scritto da Fabio Cioni, ICT Project Manager di Altuofianco