Tutti gli articoli del nostro blog

Il consenso attivo e Planet49 | CGUE | GDPR & ePR

La sentenza della CGUE interpreta il GDPR e la Direttiva ePrivacy stabilendo che le caselle preselezionate sui banner non sono modalità di consenso valide, tranne per i cookie strettamente necessari.

Aggiornato in data 11 marzo 2021.

Il 1° ottobre 2019 la Corte di Giustizia dell’Unione Europea (CGUE), massima autorità giuridica dell’UE, nel caso di Planet49, ha stabilito che l’unica forma di consenso valido per il trattamento dei dati degli utenti nell’UE è il consenso esplicito, ovvero un consenso attivamente e specificatamente accordato dagli utenti del sito web, per esempio mettendo la spunta su una casella.

Questa è la prima sentenza post-GDPR che affronta esplicitamente la tematica del consenso in relazione ai cookie e al tracciamento dei siti web. È pertanto di primaria importanza per chi si occupa professionalmente di privacy, sia per tutti coloro che possiedono un sito web: stabilisce infatti un precedente legale che d’ora in avanti, di fatto, influenzerà i requisiti di legge per i cookie almeno fino all’entrata in vigore del Regolamento ePrivacy.

In questo blogpost facciamo luce sulla decisione della CGUE, chiariamo la terminologia relativa al consenso (implicito/esplicito, opt-in attivo/soft) e spieghiamo in parole semplici quali siano le conseguenze della sentenza per i proprietari/titolari e gli operatori di siti web, non solo nell’UE ma in tutto il mondo.

È davvero uno spartiacque per la protezione dei dati personali nell’Unione Europea.

La sentenza Planet49 avrà conseguenze di vasta portata non soltanto per quanto riguarda la privacy dei dati, ma anche per il modo in cui internet stesso opera.

La CGUE è il più alto organo giuridico dell’Unione Europea e la loro decisione – un filo rosso che collega tra loro le vigenti normative UE in materia di privacy – crea un forte precedente che cambia in modo significativo le norme sul trattamento dei dati nell’UE e per i cittadini dell’UE.

Un precedente che potrà essere annullato soltanto dall’approvazione di nuove leggi sui dati, quali il prossimo Regolamento ePrivacy.

Non sei sicuro che il tuo sito web sia conforme al GDPR? Verificalo con il test di conformità gratuito di Cookiebot.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito è di piccole dimensioni.

Il comunicato stampa ufficiale della CGUE dissipa ogni dubbio: si intitola “Per l’installazione di cookie è necessario il consenso attivo degli utenti di Internet” e chiarisce inequivocabilmente che “una casella di spunta preselezionata è pertanto insufficiente”.

Non è consentito preselezionare i cookie non strettamente necessari, indipendentemente dal fatto che i dati trattati siano classificati come personali.

Logo banner powered by Cookiebot by Usercentrics
Uno dei banner di consenso validi nell’UE, secondo la sentenza della CGUE.

Le linee guida dell’EDPB sul consenso valido

Nel maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida sul consenso valido nell’UE. Le linee guida dell’EDPB rafforzano sì la decisione della CGUE sul caso Planet49, ma trattano anche altri aspetti relativi a ciò che costituisce un consenso valido ai sensi del GDPR.

Le linee guida dell’EDPB specificano che:

  • Le caselle preselezionate non sono consentite sui banner di consenso.
  • Lo scorrimento e la continuazione della navigazione non costituiscono un consenso valido.
  • I cookie wall (consenso forzato) non sono una forma valida di consenso.

Per saperne di più sulle linee guida dell’EDPB sul consenso valido, leggi qui.

La CGUE e Planet49

La Corte di Giustizia dell’Unione Europea (CGUE) è il più alto organo giuridico dell’UE. È costituita da un giudice per ogni paese membro, oltre a undici avvocati generali.

La CGUE interpreta il diritto dell’UE per assicurarsi che venga applicato uniformemente in tutti i paesi dell’UE, dirime le controversie legali tra i governi nazionali e le istituzioni dell’UE e, in questo caso, interpreta il diritto dell’UE per stabilire precedenti giurisprudenziali.

Il caso Planet49

Per capire il contesto della sentenza della CGUE sul consenso valido nell’UE, illustriamo brevemente il caso di Planet49.

Sembra un romanzo di fantascienza degli anni ’50, ma invece è una società tedesca di gaming online che nel 2013 ha organizzato una lotteria promozionale online, per partecipare alla quale gli utenti dovevano fornire informazioni personali.

I campi di inserimento, dove gli utenti dovevano inserire i propri dati, erano affiancati da due testi informativi e da altrettante caselle, una delle quali preselezionata.

La Federazione delle organizzazioni dei Consumatori tedeschi (VZBV) ha contestato, nei tribunali tedeschi, il metodo utilizzato da Planet49 per ottenere il consenso degli utenti, sollecitando infine la CGUE ad interpretare il diritto dell’UE al fine di verificare se il consenso tramite caselle preselezionate fosse in generale una valida forma di consenso a livello eurounitario.

La sentenza della CGUE di martedì 1° ottobre 2019 non ha soltanto dissipato ogni dubbio sul caso Planet49: crea anche, infatti, un importante precedente per l’interpretazione reciproca delle legislazioni dell’UE in materia di privacy.

La sentenza integrale della CGUE in italiano.

La sentenza della CGUE sulla validità del consenso

La sentenza della CGUE può essere interpretata come un filo conduttore tra la Direttiva ePrivacy del 2002 (modificata nel 2009), la precedente direttiva del 1995 e il regolamento generale sulla protezione dei dati (GDPR) del 2018.

Tali normative UE sulla privacy mirano a proteggere gli utenti da qualsiasi ingerenza nella loro vita privata e, in particolare, dal rischio che tecnologie di identificazione nascoste, come i cosiddetti “hidden identifiers”, accedano ai terminali informatici a loro insaputa.

Active consent means explicit consent, according to the CJEU ruling.
La sentenza UE sul consenso valido comporta modifiche nelle pratiche di analisi del comportamento degli utenti sui siti internet.

La sentenza della CGUE riguarda l’interpretazione dell’Articolo 2(f) e dell’Articolo 5(3) della Direttiva ePrivacy 2002/2009, in combinato disposto con l’Articolo 2(h) della direttiva del 1995 e l’Articolo 6(1)(a) del Regolamento generale sulla protezione dei dati.

“Il consenso esplicito è l’unico consenso valido nell’UE”, delibera la CGUE

La CGUE ha decretato che i suddetti articoli devono essere interpretati in modo tale che sia chiaro che, nel momento in cui l’utente deve deselezionare una casella preselezionata per negare il proprio consenso, tale consenso non è valido.

Tutte le tipologie di dati richiedono il consenso esplicito

La CGUE ha inoltre precisato che nell’interpretazione degli articoli delle normative UE sulla privacy non fa alcuna differenza se le informazioni memorizzate siano o meno dati personali.

Obbligo di informazione sulla durata e sull’accesso di terzi

Inoltre, la CGUE ha anche stabilito che i siti web e i fornitori di servizi internet devono comunicare agli utenti la durata dei cookie presenti sul loro sito, nonché se terzi abbiano accesso o meno ai dati degli stessi.

Quadro riassuntivo sulla CGUE e il consenso valido

L’unica forma valida di consenso per il trattamento dei dati degli utenti nell’UE è il consenso esplicito. Le caselle preselezionate sui banner per i cookie sono vietate, ad eccezione di quelle per i cookie strettamente necessari.

Il consenso deve essere specifico e concesso attivamente dall’utente spuntando una casella, non deselezionando una casella già spuntata. Inoltre, il consenso è valido soltanto se gli utenti sono stati informati sulla durata dei cookie in funzione e sul fatto che terzi avranno accesso ai loro dati.

Consenso esplicito vs consenso implicito

Ora magari ti starai chiedendo cosa fare per gestire correttamente il consenso come assicurarti di essere conforme alla sentenza della CGUE, vincolante in tutti i 28 paesi dell’UE?

Facciamo chiarezza sulla terminologia…

Il consenso esplicito, nella sentenza della CGUE, è anche chiamato consenso attivo, perché considera il consenso come un’azione attiva, affermativa e specifica da parte dell’utente finale.

Consenso esplicito

Finora il consenso esplicito è stato ritenuto quella specifica tipologia di consenso che un sito deve ottenere quando tratta informazioni personali sensibili (quali opinioni politiche, credenze religiose e dati sulla salute).

Tuttavia, con la sentenza della CGUE, tutti i dati degli utenti – indipendentemente dal fatto che siano personali o sensibili, o che non lo siano – possono essere trattati solo dal momento in cui gli utenti finali accordano il loro consenso esplicito, noto anche come consenso attivo nella sentenza ufficiale della CGUE.

Consenso implicito

Il consenso implicito, invece, è la tipologia di consenso che è stata fino ad oggi valida nell’UE, posto che il tuo sito trattasse solamente dati personali (non dati personali sensibili).

Questo tipo di consenso è anche noto come soft opt in. Poniamo che un utente visiti un sito web e gli appaia un banner di consenso ai cookie ma scelga di non cliccare “okay” e continui a scorrere o visiti un’altra sottopagina sullo stesso dominio: ecco, questa attività da parte dell’utente equivale a un suo consenso valido, anche se non ne è a conoscenza.

Questa tipologia di consenso non è più valida nell’UE.

Rimane, tuttavia, una forma di consenso valida in altre legislazioni sulla privacy nel mondo, come la LGPD brasiliana, che ricalca da vicino il GDPR dell’UE.

Prima della sentenza, un banner di consenso valido poteva contenere caselle preselezionate per i cookie necessari, di preferenza e statistici – ma non per quelli di marketing.

A seguito della sentenza della CGUE, solo i cookie necessari possono essere preselezionati.

Gestione del consenso sul tuo sito web

Con la sentenza della CGUE, i siti web non sono autorizzati ad avere banner di consenso ai cookie con caselle preselezionate. Noi di Cookiebot siamo in prima fila nella lotta per la privacy: tuteliamo la privacy dei tuoi utenti finali, fornendo contestualmente al tuo sito una gestione del consenso equilibrata e completa.

Cookiebot è una soluzione di gestione del consenso che ispeziona il tuo dominio e trova tutti i cookie e tracker, ne impedisce il funzionamento fino a quando gli utenti finali non ne abbiano dato il loro consenso esplicito e poi, in totale sicurezza, archivia a fini legali tutti i consensi degli utenti.

Logo banner powered by Cookiebot by Usercentrics
La nostra soluzione per il consenso ti permette di rispettare la sentenza della CGUE.

Cookiebot permette al tuo sito web di essere conforme alla sentenza della CGUE (alla Direttiva ePrivacy e al GDPR), così come ad altre leggi sulla privacy in tutto il mondo, dal CCPA alla LGPD.

Prova oggi gratuitamente la nostra soluzione.

Le conseguenze per te, titolare o gestore del sito web

La sentenza della CGUE ha conseguenze per quasi tutti i siti web nell’UE, a prescindere dalle dimensioni e dalla struttura, che non utilizzino soltanto i cookie strettamente necessari per il loro essenziale funzionamento.

La sentenza della CGUE ha conseguenze anche per i siti web al di fuori dell’UE. Se il tuo sito ha sede al di fuori dell’Europa, ma hai utenti europei e quindi tratti dati di cittadini europei, sei tenuto a seguire la sentenza della CGUE.

Devi ottenere il consenso esplicito dei cittadini dell’UE prima di installare sui loro dispositivi cookie non strettamente necessari.

Dati analitici e consenso valido

Non stupisce neppure che il rispetto della sentenza della CGUE comporti cambiamenti significativi in come gestisci il tuo sito web.

Se, come la maggior parte dei siti web nel mondo, usi Google Analytics, Matomo o simili strumenti di analisi per ottimizzare il tuo sito e le sue funzionalità, questa sentenza può compromettere il flusso di informazioni e dati statistici.

Perché? Beh, non puoi avere caselle preselezionate sul tuo banner di consenso ai cookie, tranne per quelli strettamente necessari. Ciò significa che dovrai fare affidamento sulla volontà dei tuoi utenti di spuntare le categorie che ti forniscono informazioni statistiche e analitiche in merito al loro comportamento sul tuo dominio.

Essere conformi al precedente della CGUE in materia di privacy nell’UE significa una privacy molto più forte e più efficace per gli utenti finali, ma per il tuo sito web comporta invece – probabilmente – una perdita di dati analitici sugli utenti.

Al momento, questo è il nuovo scenario per quanto riguarda la privacy nell’UE. Aumenta innegabilmente l’attesa dell’agognato Regolamento ePrivacy: consoliderà questi sviluppi in materia di privacy o riposizionerà ancora una volta la frontiera giuridica?

FAQ

Cos’è la CGUE?

La Corte di Giustizia dell’Unione Europea (CGUE) è il più alto organo giuridico dell’UE, le cui sentenze e decisioni creano dei precedenti per l’interpretazione e l’applicazione del diritto europeo in ciascuno dei paesi membri dell’UE. La CGUE è composta da un giudice per ogni paese dell’UE e da undici avvocati generali.

Per saperne di più sul GDPR, leggi qui.

Cos’è la sentenza Planet49 della CGUE?

La sentenza della CGUE nel caso Planet49 ha riguardato l’interpretazione dei requisiti previsti dal GDPR per il consenso come base giuridica per il trattamento legittimo dei dati personali. La società tedesca di gaming online Planet49 raccoglieva il consenso degli utenti sul proprio sito web attraverso caselle preselezionate, e la CGUE ha stabilito che il consenso non è valido se fornito attraverso caselle preselezionate, che gli utenti devono deselezionare se desiderano negare il consenso.

Per saperne di più sulle linee guida dell’EDPB sul consenso valido nell’UE, leggi qui.

Cosa comporta la sentenza della CGUE per il mio sito web?

La sentenza della CGUE – insieme alle linee guida dell’EDPB sul consenso di maggio 2020 – stabilisce che il tuo sito web non può avere caselle preselezionate sui banner per il consenso. Secondo il GDPR, l’unica forma di consenso valida nell’UE consiste in un’azione chiara e affermativa da parte dell’utente, come lo spuntare una casella e successivamente cliccare su OK.

Per saperne di più sul GDPR e il consenso, leggi qui.

Come posso rendere il mio sito web conforme al GDPR?

Il tuo sito web deve sempre ottenere il consenso preventivo degli utenti prima di poter trattare i loro dati personali. La maggior parte dei cookie elabora dati personali come indirizzi IP, browser e cronologia delle ricerche, e una piattaforma per la gestione del consenso può essere un modo semplice per essere sicuro che tutte le attività di trattamento dei dati sul tuo dominio avvengano in modo lecito.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito web è di dimensioni limitate.

Risorse

Il comunicato stampa ufficiale sulla sentenza della Corte di Giustizia dell’Unione Europea

La sentenza integrale della CGUE

Il riassunto della sentenza della CGUE, a cura dello studio legale internazionale Hogan Lovells (in inglese)

La più alta autorità giudiziaria europea afferma che per monitorare i cookie è necessario il consenso attivo (in inglese)

Cos’è il GDPR?

Quali sono le conseguenze pratiche delle recenti sentenze della CGUE per l’Ad Tech? (in inglese)

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.