Che tu abbia un ecommerce o sia genericamente impegnato in attività di marketing non puoi non conoscere la Cookie Law. Peccato che tale normativa sia piuttosto complessa e non facilmente accessibile a causa della pluralità delle fonti legislative esistenti e della loro continua evoluzione. Proveremo, pertanto, a semplificare il quadro normativo di riferimento.
Il quadro giuridico di riferimento
Il quadro giuridico di riferimento in materia di cookies è costituito da intreccio di norme europee e nazionali e di provvedimenti a carattere non vincolante. Secondo un ordine meramente cronologico, abbiamo:
- la Direttiva 2002/58/Ce (cd. Direttiva ePrivacy);
- l’art. 122 D. Lgs. 196/2003 (cd. Codice Privacy) che recepisce quanto stabilito dalla direttiva ePrivacy nell’ordinamento nazionale;
- le Linee Guida del Garante Privacy italiano del 8 maggio 2014;
- il Regolamento Ue 679/2016 (cd. Gdpr) per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7 e al considerando 32;
- le Linee Guida del Comitato europeo per la Protezione dei dati personali (in inglese European Data Protection Board o EDPB) del 25 maggio 2018, sostituite, da ultimo, dalle Guidelines 05/2020;
- le Linee Guida del Garante Privacy italiano del 2021 in aggiornamento a quelle del 2014.
La Direttiva ePrivacy e la normativa italiana di recepimento
Il primo e principale pilastro della Cookie Law è senza dubbio la Direttiva ePrivacy del 2002, tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche. Essendo una direttiva, ovvero una normativa europea ad efficacia vincolante ma indiretta, le sue disposizioni sono state recepite dal D. Lgs. 196/2003 (Codice Privacy).
Ciò spiega perché, in seconda battuta, occorre tenere presente quanto stabilito dall’art. 122 del Codice Privacy. Tale disposizione, in sintesi, prevede che l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate siano consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
Il Gdpr e la rilevanza del consenso
Una volta compreso che l’iniezione di cookies nel dispositivo di un utente non è ammissibile se non dopo la manifestazione del consenso di questo, ecco che viene in rilievo il Gdpr come secondo pilastro della Cookie Law. Come noto, Il Gdpr è il Regolamento Ue in materia di protezione di dati personali ed è direttamente applicabile nell’ordinamento italiano. Il Gdpr declina le responsabilità degli addetti al trattamento ed individua le basi giuridiche dei vari trattamenti di dati personali. Secondo il Regolamento, anche il consenso dell’interessato può costituire base legale per determinati trattamenti purché esso sia lecito, libero, informato, chiaro, univoco e specifico.
Nello specifico e per quanto di interesse, il Considerando 32 del Gdpr dispone che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
Quali norme considerare?
Ma allora quale normativa considerare? La risposta è entrambe perché in molte ipotesi sovrapponibili, con la precisazione che “ogniqualvolta la direttiva renda più specifiche le regole del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento. Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti” (così le Linee Guida 2021, Garante Privacy Italia). Va da sé che, in Italia, l’applicazione della Direttiva consista nell’applicazione dell’art. 122 del Codice Privacy sopra menzionato.
Due ulteriori considerazioni. Il 10 febbraio 2021, il Consiglio europeo ha approvato un mandato negoziale finalizzato alla revisione delle norme del Regolamento ePrivacy, in materia di tutela della vita privata e della riservatezza nell’uso dei servizi di comunicazione elettronica. Una volta in vigore, il nuovo Regolamento sostituirà la direttiva ePrivacy del 2002 andando a disciplinare tra le altre cose:
- le condizioni e i termini di utilizzo, nell’attività di direct marketing, dei dati raccolti dalle vendite;
- i metodi di acquisizione dei cookies e degli strumenti di tracciamento (prevedendo, ad esempio, il divieto di utilizzare cookie banner o cookie wall);
- le modalità di trattamento dei dati contenuti nelle comunicazioni elettroniche (ossia il contenuto dei messaggi scambiati) e, in particolare, dei metadati delle comunicazioni elettroniche (ossia, i dati utilizzati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo, la data, l’ora, la durata e il tipo di comunicazione).
In tal modo, sarà il nuovo Regolamento ePrivacy ad assurgere a lex specialis della materia e ad essere complementare al Gdpr.
Linee guida
Infine, il ruolo delle Linee Guida. Le Linee Guida dei Garanti Privacy europei e del Comitato europeo per la protezione dei dati (EDPB) non sono provvedimenti vincolanti ma si inseriscono nel quadro della Cookie Law. Inoltre, le Linee Guida (in particolare quelle del Garante italiano), in qualità di raccolte di best practices, si rivelano particolarmente utili per gli addetti ai lavori perché descrivono i comportamenti da adottare per evitare di incorrere nelle sanzioni previste dal Gdpr.
In Italia, come accennato, rilevano le Linee Guida del 8 maggio 2014 aggiornate nel 2021 di cui al seguente link https://www.garanteprivacy.it/documents/10160/0/Consultazione+sulle+%E2%80%9CLinee+guida+sull%E2%80%99utilizzo+di+cookie+e+di+altri+strumenti+di+tracciamento%E2%80%9D+-+Allegato+1+-+Linee+guida.pdf/72eab081-e4c4-4500-77c3-8b6957f8cd12?version=2.0 .