NEWS

Cookie, non basta invocare il legittimo interesse: serve il consenso dell'utente

Il legittimo interesse non c'entra niente con i cookie di profilazione. Ci vuole il consenso dell'interessato per mettere sui dispositivi di chi si collega a un sito web i cookie che tracciano il profilo delle persone; e non basta invocare il diverso presupposto del legittimo interesse. Finalmente è arrivata la parola definitiva del Garante della privacy, che, nelle Linee guida cookie e altri strumenti di tracciamento (provvedimento 10 giugno 2021 n. 231), ha chiarito che i banner sui cookie di profilazione non possono contenere un riferimento alla base giuridica del legittimo interesse, tralasciando il consenso.

Cookie solo con il consenso

Ora gli editori dei siti internet hanno tempo fino al 10 gennaio 2022 per mettersi in regola (e cioè fino al termine accordato dallo stesso provvedimento del Garante: sei mesi di tempo decorrenti dalla pubblicazione sulla Gazzetta ufficiale delle citate Linee guida, avvenuta sul numero 163 del 9 luglio 2021). E sono molti gli interessati, in quanto i banner con l'opzione del legittimo interesse sono diffusissimi, anzi sono la regola. Ma andiamo in ordine. Quando uno si collega a un sito, quasi sempre vede comparire una finestrella (banner), che informa del fatto che, mentre si naviga sul sito, l'editore del sito o terzi tramite quel sito scaricano cookie sul computer o sul dispositivo usato per connettersi. Alcuni cookie sono solo tecnici e non schedano nessuno, essendo funzionali alla migliore fruibilità del sito.

Altri cookie, quelli di profilazione, marchiano il computer e i dispositivi e sono lo strumento per raccogliere le informazioni sulla persona che su Internet scarica pagine, compila modelli, compra beni, e vede film, ecc. L'obiettivo dei cookie di profilazione è tracciare un profilo della persona per favorire attività di marketing mirato. Si tratta di un trattamento subdolo, perché fatto a carico di un soggetto inconsapevole. E qui sta il nocciolo della questione. Se si trattano dati di una persona, questa persona lo deve sapere e ci vuole una base giuridica, cioè bisogna rispettare la condizione che la legge prevede per permettere il trattamento dei dati. È esperienza quotidiana di tutti coloro, che visitano siti internet, la lettura di banner sui cookie, i quali espongono due basi giuridiche e cioè il consenso e il legittimo interesse. Per dare un'idea di cosa voglia dire legittimo interesse, bisogna pensare al fatto che significa ”tratto i tuoi dati senza il tuo consenso per il mio interesse, superiore alla tua privacy”.

In relazione alla profilazione per marketing il Regolamento Ue sulla privacy n. 2016/679 (Gdpr) ha confuso enormemente gli operatori, perché al considerato 47 ha scritto con una formulazione ambigua e ipotetica che il marketing diretto “può” essere un legittimo interesse, cioè si può fare senza consenso. Ora, il problema era di chiarire se i cookie di profilazione per finalità di marketing diretto si possono usare con il presupposto del legittimo interesse (cioè senza consenso). In questa situazione tantissimi operatori hanno cominciato a inserire il legittimo interesse nei banner dei cookie. Ma la situazione risulta oscura anche per la inconcludenza delle disposizioni del Gdpr.

Ora, finalmente, il Garante ha fatto chiarezza e ha scritto nelle citate Linee guida che i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche possono essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. E ciò in base alla norma tuttora applicabile dell'articolo 122 del Codice della privacy, figlia della direttiva europea 2002/58/ce (direttiva e-privacy).

La conseguenza di ciò, sempre usando le parole del Garante, è che la disciplina di carattere speciale applicabile ai cookie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell'interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all'obbligo della sua raccolta previste proprio da tale disciplina speciale. In nessun caso, conclude il Garante, sarà pertanto possibile invocare ad esempio, come è stato invece osservato nel corso delle verifiche effettuate su diversi siti web, la scriminante del legittimo interesse del titolare per giustificare il ricorso a cookie o altri strumenti di tracciamento.

Fonte: Italia Oggi del 21 luglio 2021 - di Antonio Ciccia Messina

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev I cartelli informativi nella Videosorveglianza alla luce delle Linee Guida n.3/2019 dell’European Data Protection Board
Next Il mondo delle certificazioni ai sensi del Gdpr alla luce delle Faq del Garante Privacy e di Accredia

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy