Quick read
Vueling Airlines è stata multata dal Garante Spagnolo per 30.000 € (ridotti a 18.000 per pagamento in unica soluzione) perché il sito internet della compagnia non gestiva correttamente il consenso ai cookie.
La sanzione segue le disposizioni di una sentenza delle Corte di Giustizia Europea che descrive come non accettabile il consenso passivo all’installazione di cookie e la raccolta di dati (personali e non) attraverso di essi. Il sito prevedeva, infatti, una casella pre-spuntata per l’accettazione dei cookie e permetteva all’utente di gestire in maniera granulare i singoli cookie esclusivamente attraverso le impostazioni del browser.
Close examination
La sentenza delle CGUE nasce da un rinvio proposto da una corte tedesca a seguito di una controversia tra le federazioni delle organizzazioni e associazioni di consumatori tedesche e Planet49 GmbH, una società che propone giochi online in merito al consenso all’installazione dei cookie da parte dei partecipanti a un gioco a premi organizzato da detta società.
Per esprimere il suo parere la Corte ha preso in considerazione la definizione di consenso prodotta dal combinato disposto tra il GDPR e la Direttiva ePrivacy, concludendo che tale consenso deve risultare in una azione attiva, libera ed informata dell’utente. indipendentemente dalla natura personale o meno dei dati raccolti. Infatti, il considerando 24 della direttiva ePrivacy stabilisce che «le apparecchiature terminali degli utenti di reti di comunicazione elettronica e qualsiasi informazione archiviata in tali apparecchiature fanno parte della sfera privata dell’utente, che deve essere tutelata ai sensi della convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali» mentre il considerando 32 GDPR sostiene che «Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata, inequivocabile di accettare il trattamento dei dati personali che lo riguardano […]. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web […]. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.»
Pertanto, la Corte ha stabilito che:
- L’obbligo ai sensi della direttiva ePrivacy di ottenere il consenso si applica “alla” conservazione delle informazioni “e” accesso alle informazioni già archiviate “senza specificare tali informazioni o specificando che devono essere dati personali”.
- l’uso di una casella preselezionata rende “praticamente impossibile chiarire in modo obiettivo se l’utente di un sito Web abbia effettivamente dato il proprio consenso al trattamento dei propri dati personali”, tanto che “non si può escludere che l’utente non abbia letto le informazioni allegate alla casella di controllo o che non abbia notato questa casella prima di continuare la sua attività sul sito Web visitato”.
- da tale azione non si può “presumere che l’utente abbia dato il proprio consenso effettivo alla memorizzazione dei cookie”
Ciò suggerisce che la Corte considererebbe inaccettabili anche i consensi impliciti (come i consensi derivati da un uso continuato del servizio).
Sulla scorta di questa sentenza il Garante Spagnolo ha stabilito che il sito della Vueling non fosse conforme poiché:
- La formulazione che prevede il pulsante “Accetto” e quindi “vedi impostazioni utente” per modificare le preferenze non sia sufficiente.
- La formulazione di “continuando a navigare in questo sito” vengono accettati i cookie non è sufficiente per indicare il consenso o il rifiuto.
- Le impostazioni del browser che indicano opzioni secondarie di opt-out possono integrare la capacità di rifiutare i cookie ma non sono sufficienti al loro posto di pulsanti o meccanismi dedicati.
La gestione dei cookie dovrebbe essere differenziale, ovvero il pannello di gestione dei cookie dovrebbe prevedere un meccanismo per rifiutare tutti i cookie, un altro per abilitare tutti i cookie o per poterlo fare in modo granulare al fine di consentire all’utente di gestire le proprie preferenze.
Action to do
- Banner informativo sulle differenti tipologie di cookie con caselle non spuntate
- Cookie policy
- Gestione granulare dei cookie
Riferimenti
- Direttiva E-Privacy 2002/58/CE del Parlamento europeo e del Consiglio s.m.i.; relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).
- Sentenza della Corte di Giustizia Europea (Grande Sezione) del 1° ottobre 2019 – Causa C-673/17
- Regolamento UE 679/2016 – GDPR