Gentilissimi,
il 15 settembre 2021 la Camera dei deputati della Repubblica Ceca ha approvato un emendamento alla legge sulle comunicazioni elettroniche (Legge n. 127/2005 Sb.) che introduce una serie di novità in merito all’utilizzo e alla conservazione dei cookie. Le nuove regole sono entrate in vigore il 1° gennaio 2022.
Il presente articolo ha l’obiettivo di illustrare l’attuale “cookie policy” mediante un approfondimento delle nuove regole in materia di privacy dettate – oltre che da Regolamento GDPR (Regolamento generale sulla protezione dei dati, ufficialmente “Regolamento (UE) n. 2016/679”) – dalle recenti “Linee guida 5/2020 sul consenso”, risalenti al 4 maggio 2020. Tale disciplina mira a tutelare la riservatezza degli individui nell’utilizzo dei servizi di comunicazione elettronica e, dunque, anche nella navigazione sul web.
– COSA SONO E PERCHÉ SONO IMPORTANTI I COOKIE.
I cookie non sono altro che piccoli file di testo che vengono memorizzati sui dispositivi degli utenti (computer, cellulari o browser come, ad esempio, Microsoft Edge, Google Chrome, Internet Explorer) quando essi navigano su Internet; servono a identificare i visitatori del sito nonché ad archiviare e recuperare le loro informazioni nel lungo termine. Vengono utilizzati dagli amministratori di pagine web per raccogliere i dati degli utenti e, conseguentemente, per effettuare analisi, statistiche, pubblicità o per valutare i servizi forniti; il più delle volte hanno lo scopo di garantire la navigazione nel web (c.d. cookie tecnici), di raccogliere le informazioni sul numero di accessi (c.d. cookie analitici) o di visualizzare annunci pubblicitari personalizzati (c.d. cookie di marketing).
I cookie, di per sé, non costituiscono un pericolo: anzi, il loro impiego è di fondamentale importanza, per esempio, per il corretto funzionamento dei negozi online (i prodotti inseriti nel carrello vengono memorizzati temporaneamente in un cookie), per conservare il login in un blog o in un forum. Tuttavia, il rischio di fuga di dati personali, il loro utilizzo da parte di soggetti a ciò non autorizzati nonché il modo in cui le informazioni immagazzinate possono essere utilizzate rappresentano un rischio in termini di privacy per gli utenti.
– LA NORMATIVA IN REPUBBLICA CECA.
Sino a qualche mese fa, era prassi dell’Ufficio per la Protezione dei Dati Personali (Úřad pro ochranu osobních údajů) tollerare la circostanza per cui gli operatori dei siti web non richiedevano il consenso
“espresso” agli utenti per trattare i loro dati personali. Infatti, per lungo tempo – posto che la legge ceca
non formulava con precisione i requisiti del consenso – gli operatori e i professionisti del web hanno
interpretato la necessità di richiedere il consenso ai visitatori secondo il principio c.d. di “opt-out”, in
forza del quale ciò che l’utente esplicitamente non rifiuta, accetta.
Pertanto, sui siti web, era sufficiente informare gli utenti finali che si stava lavorando con i cookie e
rendere nota la possibilità di rifiutare la loro memorizzazione attraverso le impostazioni del browser. È
necessario cambiare tale approccio poiché dal 1° gennaio 2022 il consenso dell’utente non soltanto deve
essere esplicitamente richiesto ma deve essere altresì libero, specifico, informato, inequivocabile e
dimostrabile. Un tale consenso, dunque, non può essere quello automaticamente impostato in anticipo nel
browser né quello espresso da una casella di spunta preselezionata. Allo stesso modo, l’informazione per
cui “restando sul sito web acconsenti alla memorizzazione dei cookie” non può essere considerata come
un consenso consapevole e liberamente prestato.
Il sopracitato emendamento (Legge n. 374/2021 Sb. che modifica la Legge n. 127/2005 Sb.), pertanto, ha
modificato l’art. 89, co. III, della legge sulle comunicazioni elettroniche sostituendo i termini “informa in
anticipo gli abbonati o gli utenti della portata e delle finalità del loro trattamento in modo dimostrabile e
offre loro la possibilità di rifiutare tale trattamento” con i termini “deve ottenere il consenso preventivo e
dimostrabile di tali utenti in merito alla portata e allo scopo del relativo trattamento”. Pertanto, oggi,
chiunque intenda utilizzare o utilizzi reti di comunicazione elettronica per raccogliere dati deve ottenere il
consenso preventivo e dimostrabile degli utenti finali.
In questo modo, l’ordinamento giuridico della Repubblica Ceca ha recepito, in materia di cookie, il
principio del “opt-in” di matrice europea e si è, così, uniformato al nuovo orientamento giurisprudenziale
della Cote di Giustizia Europea.
Vediamo, dunque, la pronuncia dei giudici europei e la normativa europea sul punto.
– IL CASO AVANTI LA CORTE DI GIUSTIZIA UE: “OPT-IN” OBBLIGATORIO
In Germania, un consumatore contestava dinanzi ai giudici del Bundesgerichtshof (la Corte federale di
giustizia), l’utilizzo – da parte di una società tedesca produttrice di giochi d’azzardo online – di una
pagina web in cui all’utente veniva sottoposta la domanda relativa all’impostazione dei cookie, ma la
casella corrispondente era già spuntata. Trattavasi, dunque, di una casella di spunta preselezionata
mediante la quale gli utenti di Internet che intendevano partecipare al gioco esprimevano il proprio
consenso all’installazione di cookie. Pertanto, gli utenti che desideravano opporsi alla memorizzazione di
dati dovevano deselezionare la casella (procedura c.d. di “opt-out”).
La Corte di giustizia europea si è pronunciata su tale tema e si è schierata a favore dell’inversa procedura
del c.d. “opt-in” statuendo che sono gli stessi consumatori (i fruitori dei siti web) a dover attivamente
selezionare quella casella. In particolare, la Corte europea ha affermato che il consenso del consumatore
“non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già
archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono
autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di
negare il proprio consenso” (Sentenza della Corte, Grande Sezione, C-673/17 del 1° ottobre 2019).
Come noto, le sentenze interpretative della Corte di giustizia vincolano il giudice nazionale (c.d. giudice di rinvio) nonché i giudici degli altri Stati membri, i quali dovranno eventualmente disapplicare la norma interna confliggente. In merito agli effetti nel tempo della pronuncia della Corte, si ritiene che essa esplichi i propri effetti retroattivamente (ex tunc), ovvero dal momento di entrata in vigore delle norme oggetto di interpretazione.
In conclusione, occorre precisare che se, da un lato, la sopracitata sentenza rappresenta un precedente vincolante (per tutti i giudici degli Stati UE) dall’altro, la Corte potrà, in futuro, modificare la propria linea interpretativa.
– LA LEGGE EUROPEA SUI COOKIE
Il tema dei cookie, come già precisato, rientra nell’ambito delle comunicazioni elettroniche e, in quanto tale, è soggetto alla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 (conosciuta come “Direttiva ePrivacy” o “Legge europea sui cookie”), dipoi modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio del 25 novembre 2009.
La Direttiva sui cookie prevede, in primo luogo, che gli utenti di una pagina web devono essere informati dal gestore del sito sull’uso dei cookie in una forma comprensibile e semplice e, in secondo luogo, che il gestore è tenuto a raccogliere il consenso informato del visitatore prima di installare i cookie sul dispositivo e avviare il tracciamento.
Dunque, il gestore della pagina web può usufruire dei cookie solamente in due ipotesi: o previo espresso consenso dell’utente o se si tratta di cookie “tecnicamente necessari”, ovverosia di cookie che permettono il funzionamento corretto di un sito web (si pensi, esemplificando, ai cookie di sessione per la memorizzazione delle preferenze linguistiche o a quelli che salvano i dati di login e del carrello).
Da ultimo, è importante ricordare che la terminologia “Legge europea sui cookie” è utilizzata in modo improprio: trattasi non di una “legge”, bensì di una “direttiva” e, in quanto tale, deve essere adottata da ogni Stato membro e attuata secondo modalità interne sancite dello Stato medesimo. Proprio per questa ragione, posto che la Direttiva ePrivacy non chiarisce affatto come gli obblighi di informativa e consenso debbano essere applicati, la direttiva de qua è stata recepita dai Paesi membri ma – si badi bene – è stata interpretata e, quindi, applicata secondo modalità differenti.
L’Unione europea, pertanto, sta lavorando al Regolamento sull’ePrivacy (COM/2017/010 final – 2017/03 (COD)), un atto normativo che andrà ad abrogare e sostituire la direttiva ePrivacy 2002/58/CE e che affiancherà il GDPR nel disciplinare il trattamento dei dati personali. In particolare, posto che il GDPR non regola in modo specifico l’ambito digitale, il Regolamento andrà a disciplinare tutti gli aspetti legati alla comunicazione online.
Il progetto dell’Unione Europea, infatti, è quello di formulare una legge sulla protezione dei dati personali universale e vincolante per tutti i Paesi membri. Ciononostante, ad oggi, l’approvazione del Regolamento sull’ePrivacy è già stata rinviata più volte e, dunque, sono ancora in fase di discussione i requisiti concreti ai quali dovranno sottostare le imprese europee nonché i soggetti che operano nel mondo digitale.
Nel frattempo, il 4 maggio 2020, l’Unione ha emanato le c.d. “Linee guida 5/2020 sul consenso”: un documento – non vincolante – che ha lo scopo di agevolare l’applicazione della direttiva europea e che, quindi, mira ad orientare i gestori dei siti web nella predisposizione dei propri portali online.
Vediamo, per concludere, alcuni risvolti pratici di quanto appena illustrato in tema di cookie.
– COSA DOBBIAMO FARE NEL O NEI NOSTRI SITI WEB E COSA SI RISCHIA?
In primo luogo, occorre chiarire che il consenso dell’utente non deve costituire una condizione di accesso alla pagina web: la barra dei cookie non può bloccare l’accesso al sito ove il visitatore non abbia prestato il proprio consenso. Un tale consenso non potrebbe considerarsi “prestato liberamente”. Dunque, dal rifiuto al consenso del visitatore (o dal suo successivo ritiro) non può derivare alcun danno all’utente finale (ad esempio, l’impossibilità di visualizzare il contenuto del sito).
In secondo luogo, il visitatore deve ricevere – in modo chiaro e comprensibile – informazioni complete e precise in merito ad ogni questione rilevante ai fini della tutela della privacy, come ad esempio la natura dei dati trattati, le finalità del trattamento, i destinatari a cui i dati possono essere trasferiti o i diritti della persona interessata. Ad esempio, si potrebbe fornire sulla propria pagina web un’informativa concisa delle modalità con cui si conservano i dati ma, comunque, occorre garantire ai visitatori la possibilità di richiedere una spiegazione dettagliata, completa e trasparente al riguardo. Il consenso, inoltre, dovrebbe essere richiesto dal gestore del sito per ciascuna delle finalità per cui i dati personali vengono raccolti. Infine, ogni utente ha il diritto di far correggere i dati inesatti nonché il diritto di far cancellare i propri dati. Pertanto, gli utenti non soltanto hanno il diritto di essere informati sull’utilizzo dei propri dati nel momento in cui acconsentono al loro trattamento, ma devono poter richiedere – in qualsiasi momento successivo – informazioni circa l’utilizzo di tali dati e, eventualmente, possono domandare una copia dei dati forniti.
Qualora non ci si dovesse conformare al nuovo emendamento, un imprenditore (i.e., una persona giuridica o un imprenditore individuale) rischia una multa di ammontare sino a 15.000.000 CZK o sino al 5% del fatturato netto realizzato nell’ultimo periodo contabile, se superiore.
In conclusione, posto che la normativa in materia di cookie ha subito diverse modifiche nel corso degli anni – divenendo sempre più specifica con riferimento alla tutela dei dati personali – le nuove linee guida offrono una serie di indicazioni al fine di trasmutare le varie novità teoriche sul piano della pratica.
Rimaniamo a disposizione per ogni eventuale chiarimento.
RingraziandoVi per la cortese attenzione, porgiamo cordiali saluti.
Team Spoladore & Bystřický