La CGUE si pronuncia sul rilascio del consenso per l’utilizzo dei cookie di profilazione

La Corte di Giustizia dell’Unione Europea (CGUE) ha stabilito con una recente sentenza che nell’utilizzo dei siti web, gli utenti devono poter esprimere il consenso esplicito per l’utilizzo dei cookie di profilazione.

La decisione, obbligatoria dal 1° ottobre, prende spunto da un caso portato davanti ai giudici tedeschi da alcune associazioni di consumatori: nel caso preso in esame, la società Planet49, attiva nel settore dei giochi online, aveva predisposto una casella di spunta già selezionata per la partecipazione ad un gioco promozionale, ottenendo così anche il consenso per l’installazione di cookie di profilazione collegati ai prodotti dei partner dell’azienda.

Per rifiutare il consenso gli utenti avrebbero dovuto deselezionare l’apposita casella, attivando però un automatismo che avrebbe loro precluso anche la partecipazione al gioco.

Secondo quanto stabilito dalla CGUE, una casella pre-spuntata tramite un automatismo non è sufficiente per raccogliere le informazioni digitali degli utenti, ma soprattutto il consenso deve essere specifico, dunque non basta che l’utente attivi il pulsante di partecipazione per far scattare l’installazione di cookie, ma è necessario sia fornito un consenso esplicito per la loro installazione.

Tuttavia è opportuno precisare che una volta rilasciato il consenso, i cookie non potranno essere associati ad altri scopi e i siti web dovranno fornire informazioni specifiche sul tracciamento dell’utente.

Al fine di proteggere la privacy degli internauti e promuovere scelte più consapevoli, il Garante con un provvedimento dell’8 maggio del 2014 aveva di fatto già stabilito come l’accesso ad un sito web (dalla homepage o qualsiasi altra pagina) dovrebbe essere immediatamente seguito dalla comparsa di un banner ben visibile, in cui indicare chiaramente:

1) l’utilizzo di cookie di profilazione per inviare messaggi pubblicitari mirati;

2) la presenza di cookie di “terze parti“, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;

4) l´indicazione utile al rilascio del consenso all´uso dei cookie per proseguire nella navigazione (ad es., accedendo ad un´altra area del sito o selezionando un´immagine o un link).

Il Garante ha avuto inoltre modo di appurare come “i cookie di profilazione sono volti a creare profili relativi all´utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell´ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell´ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l´utente debba essere adeguatamente informato sull´uso degli stessi ed esprimere così il proprio valido consenso”.

Consenso che, secondo quanto stabilito dal GDPR, non può essere implicito o assunto, ma deve essere dato prima della memorizzazione o dell’accesso ai cookie non essenziali, cosa che le caselle di consenso dei cookie preselezionate non possono fare.

La normativa europea punta dunque a “tutelare l’utente da qualsiasi ingerenza nella vita privata, in particolare dal rischio che identificatori occulti o altri dispositivi analoghi si introducano nell’apparecchiatura terminale dell’utente a sua insaputa”.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

La CGUE si pronuncia sul rilascio del consenso per l’utilizzo dei cookie di profilazione

Le possibili minacce alla protezione dei dati personali – International School in Digital Governance 2023

La protezione dei dati personali nel processo di trasformazione digitale

Information Security e Digital Forensics

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA