Persona, diritti personalità - Riservatezza, privacy -  Redazione P&D - 01/12/2019

Nozione di consenso dell’interessato – Dichiarazione di consenso mediante una casella di spunta preselezionata» - causa C673/17, sentenza CGUE 1^ ottobre 2019. Gabriele Gentilini

«Rinvio pregiudiziale – Direttiva 95/46/CE – Direttiva 2002/58/CE – Regolamento (UE) 2016/679 – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Cookie – Nozione di consenso dell’interessato – Dichiarazione di consenso mediante una casella di spunta preselezionata» - causa C673/17, sentenza CGUE 1^ ottobre 2019.

Come si legge nella versione italiana
“La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 2, lettera f), e dell’articolo 5, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva 2002/58»), letti in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), e dell’articolo 6, paragrafo 1, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).”.

“ Tale domanda è stata presentata nell’ambito di una controversia tra la Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (federazione delle organizzazioni e associazioni di consumatori – federazione delle organizzazioni di consumatori, Germania) (in prosieguo: la «federazione») e la Planet49 GmbH, una società che propone giochi online, in merito al consenso, da parte dei partecipanti a un gioco a premi organizzato da detta società, al trasferimento dei loro dati personali agli sponsor e ai partner della stessa, nonché all’archiviazione di informazioni e all’accesso a informazioni archiviate nell’apparecchiatura terminale di tali utenti.”
L’atto giudiziario dopo avere richiamato il contesto normativo, ricorda che  “a norma dell’articolo 10 della medesima direttiva 95/46:
«Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:
a)      l’identità del responsabile del trattamento ed eventualmente del suo rappresentante;
b)      le finalità del trattamento cui sono destinati i dati;
c)      ulteriori informazioni riguardanti quanto segue:
–        i destinatari o le categorie di destinatari dei dati,
–        se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,
–        se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata».”

Inoltre il giudice europeo ricorda quando prescritto dalla “Direttiva 2002/58 -
7        I considerando 17 e 24 della direttiva 2002/58 enunciano quanto segue:
«(17)      Ai fini della presente direttiva il consenso dell’utente o dell’abbonato, senza considerare se quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva [95/46]. Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel caso di un sito Internet.
(…)
(24)      Le apparecchiature terminali degli utenti di reti di comunicazione elettronica e qualsiasi informazione archiviata in tali apparecchiature fanno parte della sfera privata dell’utente, che deve essere tutelata ai sensi della convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali[, firmata a Roma il 4 novembre 1950]. I cosiddetti software spia, bachi invisibili (“web bugs”), identificatori occulti ed altri dispositivi analoghi possono introdursi nel terminale dell’utente a sua insaputa al fine di avere accesso ad informazioni, archiviare informazioni occulte o seguire le attività dell’utente e possono costituire una grave intrusione nella vita privata di tale utente. L’uso di tali dispositivi dovrebbe essere consentito unicamente per scopi legittimi e l’utente interessato dovrebbe esserne a conoscenza».
8        L’articolo 1 della direttiva 2002/58 prevede quanto segue:
«1.      La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno [dell’Unione europea].
2.      Ai fini di cui al paragrafo 1, le disposizioni della presente direttiva precisano e integrano la direttiva [95/46]. (…)».
9        L’articolo 2 di tale direttiva così dispone:
«Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva [95/46] e alla direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) [GU 2002, L 108, pag. 33].
Si applicano inoltre le seguenti definizioni:
a)      “utente”: qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
(…)
f)      “consenso” dell’utente o dell’abbonato: corrisponde al consenso della persona interessata di cui alla direttiva [95/46];
(…)».
10      L’articolo 5, paragrafo 3, di detta direttiva prevede quanto segue:
«Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva [95/46], tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio».”

Interessante ed ovviamente dovuto è poi il richiamo che il giudice fa del nuovo regolamento Regolamento 2016/679.
“11      Il considerando 32 del regolamento 2016/679 enuncia quanto segue:
«Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso».
12      L’articolo 4 di tale regolamento dispone quanto segue:
«Ai fini del presente regolamento s’intende per:
1)      “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2)      “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(…)
11)      “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
(…)».
13      L’articolo 6 di detto regolamento prevede quanto segue:
«1.      Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a)      l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
(…)».
14      L’articolo 7, paragrafo 4, del medesimo regolamento recita quanto segue:
«Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».
15      Ai sensi dell’articolo 13, paragrafi 1 e 2, del regolamento 2016/679:
«1.      In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
(…)
e)      gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali (…);
(…)
2.      In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a)      il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
(…)».
16      L’articolo 94 di detto regolamento dispone quanto segue:
«1.      La direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018.
2.      I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva [95/46] si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento».”
Dopo l’analisi delle casistiche, il giudicante osserva circa l’efficacia della legge europea
nel tempo per cui “In limine, occorre esaminare l’applicabilità della direttiva 95/46 e del regolamento 2016/679 ai fatti di cui al procedimento principale.
39      A decorrere dal 25 maggio 2018, la direttiva 95/46 è stata abrogata e sostituita dal regolamento 2016/679, in virtù dell’articolo 94, paragrafo 1, di quest’ultimo.
40      Indubbiamente, tale data è successiva alla data dell’ultima udienza tenutasi dinanzi al giudice del rinvio, che si è svolta il 14 luglio 2017, nonché alla data in cui la domanda di pronuncia pregiudiziale è stata proposta alla Corte da detto giudice.
41      Tuttavia, il giudice del rinvio ha indicato che, tenuto conto dell’entrata in vigore, il 25 maggio 2018, del regolamento 2016/679, su cui verte peraltro una parte della prima questione, era probabile che tale regolamento dovesse essere preso in considerazione nel risolvere la controversia di cui trattasi nel procedimento principale. Inoltre, come rilevato dal governo tedesco all’udienza dinanzi alla Corte, non è escluso che, poiché il procedimento promosso dalla federazione intende far cessare la condotta della Planet49 per il futuro, il regolamento 2016/679 sia applicabile ratione temporis nell’ambito del procedimento principale alla luce della pertinente giurisprudenza nazionale relativa alle fattispecie oggetto di azioni inibitorie, circostanza che spetta al giudice del rinvio verificare (v., per quanto riguarda un ricorso di natura dichiarativa, sentenza del 16 gennaio 2019, Deutsche Post, C496/17, EU:C:2019:26, punto 38).
42      In tali circostanze e in considerazione del fatto che, in forza dell’articolo 94, paragrafo 2, del regolamento 2016/679, i riferimenti alla direttiva 95/46, contenuti nella direttiva 2002/58, si intendono fatti al suddetto regolamento, non è escluso che, nel caso di specie, la direttiva 2002/58 si applichi unitamente alla direttiva 95/46 o al regolamento 2016/679, in funzione della natura delle domande della federazione e del periodo interessato.”
Dopo la serrata analisi delle questioni poste il giudice europeo dichiara che:
1)      L’articolo 2, lettera f), e l’articolo 5, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letti in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e altresì con l’articolo 4, punto 11, e l’articolo 6, paragrafo 1, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che il consenso di cui a tali disposizioni non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.
2)      L’articolo 2, lettera f), e l’articolo 5, paragrafo 3, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letti in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, nonché con l’articolo 4, punto 11, e l’articolo 6, paragrafo 1, lettera a), del regolamento 2016/679, non devono essere interpretati in modo diverso a seconda che le informazioni archiviate o consultate nell’apparecchiatura terminale dell’utente di un sito Internet costituiscano o meno dati personali, ai sensi della direttiva 95/46 e del regolamento 2016/679.
3)      L’articolo 5, paragrafo 3, della direttiva 2002/58, come modificata dalla direttiva 2009/136, deve essere interpretato nel senso che il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente di un sito Internet.”

Dunque la pratica di richiedere il consenso degli utenti all’uso dei cookie tramite caselle di spunta preselezionate è da considerarsi definitivamente vietata secondo la Corte di Giustizia Ue che l’ha infatti ritenuta contraria al GDPR.
L’articolo 4(11) del GDPR specifica che, oltre a dover essere libero, specifico ed informato, il consenso debba tradursi in una manifestazione di volontà “inequivocabile” dell’interessato, con la quale lo stesso manifesta il proprio assenso a che i dati personali che lo riguardano siano oggetto di trattamento che si applica anche ai fini della  direttiva 2002/58/CE, che fissa l’obbligo di ottenere il consenso dell’utente all’istallazione ed uso di cookie, ossia di quegli strumenti utilizzati dai siti web per memorizzare le azioni o le preferenze degli utenti nel corso del tempo.
Nella prassi di conseguenza ed in virtù della decisione della CGUE il consenso degli utenti all’utilizzo tra l’altro dei cookie, mediante caselle di spunta preselezionate è considerabile come vietata.