Logo Logo
Cookiebot

La sentenza della CGUE interpreta il GDPR e la Direttiva ePrivacy stabilendo che le caselle preselezionate sui banner non sono modalità di consenso valide, tranne per i cookie strettamente necessari.

Prova ora il nostro test di conformità gratuito per verificare se l'utilizzo dei cookie e del tracking online sul tuo sito web è conforme al GDPR e alla Direttiva ePrivacy.

Active consent according the CJEU ruling is explicit consent, i.e. no pre-checked checkboxes.

La corte suprema dell’UE crea un precedente per una maggiore privacy dei dati.



Il 1° ottobre 2019 la Corte di Giustizia dell’Unione Europea (CGUE), massima autorità giuridica dell’UE, nel caso di Planet49, ha stabilito che l’unica forma di consenso valido per il trattamento dei dati degli utenti nell’UE è il consenso esplicito, ovvero un consenso attivamente e specificatamente accordato dagli utenti del sito web, per esempio mettendo la spunta su una casella.

Questa è la prima sentenza post-GDPR che affronta esplicitamente la tematica del consenso in relazione ai cookie e al tracciamento dei siti web. È pertanto di primaria importanza per chi si occupa professionalmente di privacy, sia per tutti coloro che possiedono un sito web: stabilisce infatti un precedente legale che d’ora in avanti, di fatto, influenzerà i requisiti di legge per i cookie almeno fino all’entrata in vigore del Regolamento ePrivacy.

In questo blogpost facciamo luce sulla decisione della CGUE, chiariamo la terminologia relativa al consenso (implicito/esplicito, opt-in attivo/soft) e spieghiamo in parole semplici quali siano le conseguenze della sentenza per i proprietari/titolari e gli operatori di siti web, non solo nell’UE ma in tutto il mondo.

È davvero uno spartiacque per la protezione dei dati personali nell’Unione Europea.

La sentenza Planet49 avrà conseguenze di vasta portata non soltanto per quanto riguarda la privacy dei dati, ma anche per il modo in cui internet stesso opera.

La CGUE è il più alto organo giuridico dell’Unione Europea e la loro decisione – un filo rosso che collega tra loro le vigenti normative UE in materia di privacy – crea un forte precedente che cambia in modo significativo le norme sul trattamento dei dati nell’UE e per i cittadini dell’UE.

Un precedente che potrà essere annullato soltanto dall’approvazione di nuove leggi sui dati, quali il nuovo Regolamento ePrivacy, previsto per il 2020.



È consentito preselezionare i cookie?


Il comunicato stampa ufficiale della CGUE dissipa ogni dubbio: si intitola “Per l’installazione di cookie è necessario il consenso attivo degli utenti di Internet” e chiarisce inequivocabilmente che “una casella di spunta preselezionata è pertanto insufficiente”.

Non è consentito preselezionare i cookie non strettamente necessari, indipendentemente dal fatto che i dati trattati siano classificati come personali.

.

banner consenso cjeu cookie necessari planet49 planet 49

Questo è ora l’unico banner di consenso valido nell’UE, secondo la sentenza della CGUE.



La CGUE e Planet49


La Corte di Giustizia dell’Unione Europea (CGUE) è il più alto organo giuridico dell’UE. È costituita da un giudice per ogni paese membro, oltre a undici avvocati generali.

La CGUE interpreta il diritto dell’UE per assicurarsi che venga applicato uniformemente in tutti i paesi dell’UE, dirime le controversie legali tra i governi nazionali e le istituzioni dell’UE e, in questo caso, interpreta il diritto dell’UE per stabilire precedenti giurisprudenziali.

Il caso Planet49

Per capire il contesto della sentenza della CGUE sul consenso valido nell’UE, illustriamo brevemente il caso di Planet49.

Sembra un romanzo di fantascienza degli anni '50, ma invece è una società tedesca di gaming online che nel 2013 ha organizzato una lotteria promozionale online, per partecipare alla quale gli utenti dovevano fornire informazioni personali.

I campi di inserimento, dove gli utenti dovevano inserire i propri dati, erano affiancati da due testi informativi e da altrettante caselle, una delle quali preselezionata.

La Federazione delle organizzazioni dei Consumatori tedeschi (VZBV) ha contestato, nei tribunali tedeschi, il metodo utilizzato da Planet49 per ottenere il consenso degli utenti, sollecitando infine la CGUE ad interpretare il diritto dell’UE al fine di verificare se il consenso tramite caselle preselezionate fosse in generale una valida forma di consenso a livello eurounitario.

La sentenza della CGUE di martedì 1° ottobre 2019 non ha soltanto dissipato ogni dubbio sul caso Planet49: crea anche, infatti, un importante precedente per l'interpretazione reciproca delle legislazioni dell'UE in materia di privacy.

La sentenza integrale della CGUE in italiano.



La sentenza della CGUE sulla validità del consenso


La sentenza della CGUE può essere interpretata come un filo conduttore tra la Direttiva ePrivacy del 2002 (modificata nel 2009), la precedente direttiva del 1995 e il regolamento generale sulla protezione dei dati (GDPR) del 2018.

Tali normative UE sulla privacy mirano a proteggere gli utenti da qualsiasi ingerenza nella loro vita privata e, in particolare, dal rischio che tecnologie di identificazione nascoste, come i cosiddetti “hidden identifiers”, accedano ai terminali informatici a loro insaputa.



Active consent means explicit consent, according to the CJEU ruling.

La sentenza UE sul consenso valido comporta modifiche nelle pratiche di analisi del comportamento degli utenti sui siti internet.



La sentenza della CGUE riguarda l’interpretazione dell’Articolo 2(f) e dell’Articolo 5(3) della Direttiva ePrivacy 2002/2009, in combinato disposto con l’Articolo 2(h) della direttiva del 1995 e l’Articolo 6(1)(a) del regolamento generale sulla protezione dei dati.

“Il consenso esplicito è l’unico consenso valido nell’UE”, delibera la CGUE

La CGUE ha decretato che i suddetti articoli devono essere interpretati in modo tale che sia chiaro che, nel momento in cui l’utente deve deselezionare una casella preselezionata per negare il proprio consenso, tale consenso non è valido.

Tutte le tipologie di dati richiedono il consenso esplicito

La CGUE ha inoltre precisato che nell’interpretazione degli articoli delle normative UE sulla privacy non fa alcuna differenza se le informazioni memorizzate siano o meno dati personali.

Obbligo di informazione sulla durata e sull’accesso di terzi

Inoltre, la CGUE ha anche stabilito che i siti web e i fornitori di servizi internet devono comunicare agli utenti la durata dei cookie presenti sul loro sito, nonché se terzi abbiano accesso o meno ai dati degli stessi.



Quadro riassuntivo sulla CGUE e il consenso valido


L'unica forma valida di consenso per il trattamento dei dati degli utenti nell'UE è il consenso esplicito. Le caselle preselezionate sui banner per i cookie sono vietate, ad eccezione di quelle per i cookie strettamente necessari.

Il consenso deve essere specifico e concesso attivamente dall’utente spuntando una casella, non deleselezionando una casella già spuntata. Inoltre, il consenso è valido soltanto se gli utenti sono stati informati sulla durata dei cookie in funzione e sul fatto che terzi avranno accesso ai loro dati.



Consenso esplicito vs consenso implicito


Ora magari ti starai chiedendo cosa fare per gestire correttamente il consenso come assicurarti di essere conforme alla sentenza della CGUE, vincolante in tutti i 28 paesi dell’UE?

Facciamo chiarezza sulla terminologia…

Il consenso esplicito, nella sentenza della CGUE, è anche chiamato consenso attivo, perché considera il consenso come un’azione attiva, affermativa e specifica da parte dell’utente finale.

Consenso esplicito

Finora il consenso esplicito è stato ritenuto quella specifica tipologia di consenso che un sito deve ottenere quando tratta informazioni personali sensibili (quali opinioni politiche, credenze religiose e dati sulla salute).

Tuttavia, con la sentenza della CGUE, tutti i dati degli utenti – indipendentemente dal fatto che siano personali o sensibili, o che non lo siano – possono essere trattati solo dal momento in cui gli utenti finali accordano il loro consenso esplicito, noto anche come consenso attivo nella sentenza ufficiale della CGUE.

Consenso implicito

Il consenso implicito, invece, è la tipologia di consenso che è stata fino ad oggi valida nell’UE, posto che il tuo sito trattasse solamente dati personali (non dati personali sensibili).

Questo tipo di consenso è anche noto come soft opt in. Poniamo che un utente visiti un sito web e gli appaia un banner di consenso ai cookie ma scelga di non cliccare “okay” e continui a scorrere o visiti un’altra sottopagina sullo stesso dominio: ecco, questa attività da parte dell’utente equivale a un suo consenso valido, anche se non ne è a conoscenza.

Questa tipologia di consenso non è più valida nell’UE.

Rimane, tuttavia, una forma di consenso valida in altre legislazioni sulla privacy nel mondo, come la LGPD brasiliana, che ricalca da vicino il GDPR dell’UE.

Prima della sentenza, un banner di consenso valido poteva contenere caselle preselezionate per i cookie necessari, di preferenza e statistici – ma non per quelli di marketing.

A seguito della sentenza della CGUE, solo i cookie necessari possono essere preselezionati.



Gestione del consenso sul tuo sito web


Con la sentenza della CGUE, i siti web non sono autorizzati ad avere banner di consenso ai cookie con caselle preselezionate. Noi di Cookiebot siamo in prima fila nella lotta per la privacy: tuteliamo la privacy dei tuoi utenti finali, fornendo contestualmente al tuo sito una gestione del consenso equilibrata e completa.

Cookiebot è una soluzione di gestione del consenso che ispeziona il tuo dominio e trova tutti i cookie e tracker, ne impedisce il funzionamento fino a quando gli utenti finali non ne abbiano dato il loro consenso esplicito e poi, in totale sicurezza, archivia a fini legali tutti i consensi degli utenti.



Cookiebot enables compliance with the CJEU ruling by obtaining explicit consent from your end-users.

La nostra soluzione per il consenso ti permette di rispettare la sentenza della CGUE.



Cookiebot permette al tuo sito web di essere conforme alla sentenza della CGUE (alla Direttiva ePrivacy e al GDPR), così come ad altre leggi sulla privacy in tutto il mondo, dal CCPA alla LGPD.

Prova oggi gratuitamente la nostra soluzione.



Le conseguenze per te, titolare o gestore del sito web


La sentenza della CGUE ha conseguenze per quasi tutti i siti web nell'UE, a prescindere dalle dimensioni e dalla struttura, che non utilizzino soltanto i cookie strettamente necessari per il loro essenziale funzionamento.

La sentenza della CGUE ha conseguenze anche per i siti web al di fuori dell'UE. Se il tuo sito ha sede al di fuori dell'Europa, ma hai utenti europei e quindi tratti dati di cittadini europei, sei tenuto a seguire la sentenza della CGUE.

Devi ottenere il consenso esplicito dei cittadini dell’UE prima di installare sui loro dispositivi cookie non strettamente necessari.

Dati analitici e consenso valido

Non stupisce neppure che il rispetto della sentenza della CGUE comporti cambiamenti significativi in come gestisci il tuo sito web.

Se, come la maggior parte dei siti web nel mondo, usi Google Analytics, Matomo o simili strumenti di analisi per ottimizzare il tuo sito e le sue funzionalità, questa sentenza può compromettere il flusso di informazioni e dati statistici.

Perché? Beh, non puoi avere caselle preselezionate sul tuo banner di consenso ai cookie, tranne per quelli strettamente necessari. Ciò significa che dovrai fare affidamento sulla volontà dei tuoi utenti di spuntare le categorie che ti forniscono informazioni statistiche e analitiche in merito al loro comportamento sul tuo dominio.

Essere conformi al precedente della CGUE in materia di privacy nell'UE significa una privacy molto più forte e più efficace per gli utenti finali, ma per il tuo sito web comporta invece - probabilmente - una perdita di dati analitici sugli utenti.

Al momento, questo è il nuovo scenario per quanto riguarda la privacy nell’UE. Aumenta innegabilmente l’attesa dell’agognato Regolamento ePrivacy, che dovrebbe diventare legge nel 2020: consoliderà questi sviluppi in materia di privacy o riposizionerà ancora una volta la frontiera giuridica?



Risorse


Il comunicato stampa ufficiale sulla sentenza della Corte di Giustizia dell’Unione Europea

La sentenza integrale della CGUE

Il riassunto della sentenza della CGUE, a cura dello studio legale internazionale Hogan Lovells (in inglese)

La più alta autorità giudiziaria europea afferma che per monitorare i cookie è necessario il consenso attivo (in inglese)

Cos’è il GDPR?

Quali sono le conseguenze pratiche delle recenti sentenze della CGUE per l’Ad Tech? (in inglese)

Rendi l'uso dei cookie e del tracciamento online sul tuo sito conforme al GDPR/ePR oggi stesso

Provalo gratuitamente