L’attuale incoerenza della disciplina privacy sui cookie richiede un nuovo approccio

Le ultime linee guida del CNIL sui cookie e la bozza del Regolamento ePrivacy hanno amplificato l’incoerenza della disciplina privacy applicabili ai cookie e richiedono un nuovo approccio alla compliance privacy.

L’obiettivo di armonizzare le norme sulla privacy in tutta l’UE è sempre più lontano. Nonostante le recenti linee guida dell’EDPB sul consenso, che hanno allineato la posizione sulla disciplina dei cookie alla decisione Planet49 della Corte di Giustizia, esistono disposizioni incoerenti nell’Unione europea sulle modalità per concedere/negare il consenso, sui cookie wall e sulle categorie di cookie esentate dal consenso.

Come indicato in questo articolo dei nostri colleghi francesi del DLA Piper, le ultime linee guida della CNIL sui cookie hanno ulteriormente complicato la disciplina privacy applicabile prevedendo che:

  1. il rifiuto all’installazione dei cookie e dei tracker deve essere così “facile” come la loro accettazione, piuttosto che essere soggetto a procedure complesse, ad esempio, attraverso l’uso di un pulsante “rifiuta tutto” e la disponibilità di un’icona che permetta agli utenti di selezionare le loro scelte e di revocare il consenso;
  2. i cookie wall non sono vietati, ma – in linea con la posizione dell’EDPB – il consenso non è “libero” e quindi non è valido se l’accesso ai servizi e alle funzionalità è subordinato all’accettazione da parte dell’utente dell’uso dei cookie e del tracker; e
  3. alcuni cookie non richiedono il consenso, come i cookie di autenticazione, i cookie del carrello sui siti di eCommerce e alcuni cookie di analytics.

Come già illustrato in un precedente articolo, le trattative sulla bozza di Regolamento ePrivacy non sono finite. Tra la Presidenza croata e la Presidenza finlandese della Commissione europea vi sono state opinioni opposte sulla base giuridica applicabile ai cookie.

L’ultima versione della bozza di Regolamento ePrivacy sotto la Presidenza tedesca si è orientata verso un approccio conservativo, escludendo la possibilità di fare affidamento sull’interesse legittimo per il trattamento dei dati basati sui cookie e sulle tecnologie M2M. Il consenso rimane l’unica base giuridica applicabile al trattamento dei dati tramite i cookie, i metadati e le tecnologie M2M.

Deve inoltre essere ricordata agli utenti la possibilità di revocare il consenso almeno ogni 12 mesi, mentre le linee guida del CNIL richiedono una cadenza semestrale.

Nell’attuale panorama intricato, i cookie continuano ad essere un obiettivo privilegiato per i garanti per la protezione dei dati personali nell’ambito di un’ispezione, in quanto sono chiaramente visibili sui siti web delle aziende.

Sebbene una localizzazione delle modalità del trattamento dei cookie per ogni paese sia contraria allo spirito della normativa privacy europea, l’unica soluzione praticabile è individuare una opzione che richieda il minimo di localizzazione possibile e analizzarla con consulenti locali. Senza questo approccio, i costi tecnologici e di compliance rischiano di essere sproporzionati, anche perché la maggior parte delle aziende internazionali gestisce le versioni locali dei propri siti web tramite un’unica piattaforma.

Allo stesso tempo, non si vogliono perdere i benefici del regime più tollerante di alcuni paesi dell’UE.  Pertanto, la sfida principale sarà quella di bilanciare i benefici e i rischi di un regime più flessibile con i costi tecnici e operativi aggiuntivi.

Sul tema è possibile leggere l’articolo “Pubblicate dall’EDPB le nuove Linee Guida sul consenso al trattamento dei dati personali chiariscono la posizione sui cookie”.