Con la recente sentenza del 1° Ottobre 2019, causa C-673/17, la Corte di Giustizia Europea si è pronunciata sulle questioni pregiudiziali sollevate dalla Bundesgerichtshof ( la suprema corte tedesca) relative alla validità del consenso espresso dagli utenti di un sito web all’installazione di cookie sui propri terminali, in presenza di caselle di spunta preselezionate. La posizione espressa dalla Corte di Giustizia risulta peraltro in linea con l’orientamento del Garante Privacy italiano, da tempo contrario all’utilizzo delle caselle di spunta preselezionate.

La vicenda ha avuto origine dal gioco a premi online organizzato dalla società Planet49, per partecipare al quale agli utenti veniva chiesto di acconsentire all’installazione di cookie sul proprio terminale, al fine di raccogliere informazioni per promuovere i prodotti dei partner della società organizzatrice; tuttavia, da un lato, l’utente prestava il proprio consenso mediante una casella di spunta preselezionata, da deselezionarsi in caso di opposizione, dall’altro, l’informativa non specificava l’identità dei terzi con cui tali dati sarebbero stati condivisi.

Tali condotte venivano contestate innanzi al Tribunale di Francoforte da parte della Federazione delle associazioni di consumatori tedesca, che chiedeva venissero inibite. Il ricorso veniva accolto in primo grado, ma il giudice d’appello, di fronte al quale la Planet 49 impugnava la decisione, rigettava la domanda proposta dalla Federazione, ritenendo che all’utente fosse nota la possibilità di deselezionare la casella e che le informazioni fornite in merito all’utilizzo dei cookie fossero sufficienti, non essendo necessario rendere nota l’identità dei terzi che avrebbero potuto avere accesso alle informazioni raccolte. Tale decisione veniva a sua volta impugnata dalla Federazione di fronte alla suprema corte tedesca, che sollevava due questioni pregiudiziali rimettendole alla CGUE. 

Con la prima questione pregiudiziale, il giudice tedesco ha chiesto se, dal combinato disposto delle Direttive CE 2002/58 e 95/46 in materia di protezione dei dati personali, il consenso espresso dall’utente alla memorizzazione di informazioni nel proprio terminale o all’accesso a informazioni ivi già archiviate si può considerare validamente prestato anche in presenza di caselle di spunta preselezionate, e se tale consenso può considerarsi efficace anche ai sensi dell’art. 6 par. 1 lett. a del Reg. 679/2016 (GDPR). Inoltre, il giudice ha chiesto di specificare se la circostanza che le informazioni archiviate siano dati personali influisce sulla precedente valutazione.

In via preliminare, la Corte di Giustizia ha specificato che il GDPR, sebbene entrato in vigore successivamente alla vicenda oggetto del rinvio, è stato correttamente preso in considerazione nel rinvio, in quanto, in vista della possibile inibitoria delle future condotte della Planet49, esso potrebbe dover essere applicato dal giudice del rinvio nel procedimento principale.

Nel decidere sulle questioni rimesse, la Corte di Giustizia ha anzitutto ricordato che l’art. 5 par. 3 della dir. 2002/58, ammette l’archiviazione e l’accesso ad informazioni già archiviate sul terminale dell’utente solo a condizione che quest’ultimo abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo sugli scopi del trattamento a norma della dir. 95/46.

Sebbene l’art. 5 citato non specifichi in che modo il consenso deve essere prestato, la norma suggerisce la necessità di un’attività positiva dell’utente, prevedendo che tale consenso venga “espresso”. Peraltro, la norma in questione è stata modificata dalla dir. UE 2009/136 che ha eliminato la “possibilità di rifiutare” la memorizzazione o l’accesso, lasciando intendere che il consenso non poteva più essere implicitamente espresso mediante il mancato rifiuto.

Inoltre, anche l’interpretazione della dir. 95/46 depone in tal senso: l’art. 2 della direttiva, infatti, definisce il consenso come “qualsiasi manifestazione di volontà”, manifestazione che implica un comportamento attivo; mentre l’art. 7 lett. a) chiede una manifestazione inequivocabile, e va da sé che solo un comportamento attivo soddisfa quest’ultimo requisito.

Infine, la dir. 95/46 chiede che la manifestazione di volontà sia «specifica» (e tale requisito si impone a maggior ragione in forza del più restrittivo art. 4 n. 11 del GDPR), nel senso che deve riferirsi precisamente al trattamento dei dati interessati e non può essere desunta da una manifestazione di volontà avente un oggetto distinto.

La Corte di Giustizia quindi ha concluso sul punto affermando che, ai sensi della normativa citata, in presenza di una casella preselezionata non si potesse ritenere che l’utente avesse manifestato in modo oggettivo ed inequivocabile il consenso all’installazione dei cookie sul proprio terminale, anche alla luce del GDPR. Inoltre, la necessaria specificità del consenso esclude che l’attivazione del pulsante “partecipa al gioco” potesse automaticamente implicare che l’utente prestava il proprio consenso anche all’installazione di cookie.

Quanto al quesito complementare, secondo la Corte, poiché l’art. 5 par. 3 citato non specifica alcunché sulla natura delle informazioni archiviate, il fatto che queste ultime siano “dati personali” non influisce sull’interpretazione della normativa considerata.

Con la seconda questione pregiudiziale, il giudice tedesco ha chiesto se l’art. 5 par. 3 deve essere interpretato nel senso che, tra le informazioni che devono essere comunicate all’utente di un sito web, rientrano il periodo di attività dei cookie, nonché la possibilità dei terzi di avervi accesso.

La Corte di Giustizia ha dato risposta positiva al quesito. Da un lato, infatti, la possibilità dei terzi di avere accesso ai cookie è espressamente compresa tra le informazioni essenziali da fornire all’interessato, sia ai sensi della dir. 95/46, sia del GDPR, che chiedono di esplicitare i destinatari (o le categorie di destinatari) del trattamento. Dall’altro lato, benché la durata del trattamento non sia espressamente menzionata dall’art. 10 della dir. 95/46 tra le informazioni che l’interessato deve necessariamente ricevere, si tratta di informazione essenziale, come conferma l’art. 13 par. 2 lett. a) del GDPR, secondo cui il titolare del trattamento deve informare l’interessato del periodo di conservazione dei dati personali oppure, se ciò non è possibile, dei criteri utilizzati per determinarlo.