Le linee guida in materia di cookies della Commission nationale de l’informatique et des libertés-CNIL francese sono entrate pienamente in vigore il 1° aprile 2021. Di conseguenza i siti internet dovranno raccogliere il consenso esplicito degli utenti alla raccolta dei cookies e non sarà più sufficiente che l’utente continui a navigare sul sito web. Il mancato rispetto delle regole contenute nelle linee guida potrà condurre all’adozione di sanzioni piuttosto ingenti, quali quelle subite da Google e Amazon a fine 2020.
Il 1° aprile 2021 la Commission nationale de l’informatique et des libertés–CNIL, l’autorità amministrativa indipendente francese incaricata di assicurare l’attuazione delle norme volte alla tutela dei dati personali, ha iniziato ad applicare pienamente le linee guida volte a verificare che i siti internet rispettino le regole in materia di conservazione dei cookies. Tali linee guida, infatti, sono state adottate nella loro versione definitiva dalla CNIL nell’autunno 2020, adeguandosi ai dettami del Consiglio di Stato francese che ne aveva annullato parzialmente una prima versione a giugno 2019. La CNIL ha attuato le regole in esame già a fine 2020, sanzionando Google ed Amazon con due multe pari, rispettivamente, a cento e trentacinque milioni di euro.
Agli inizi di Marzo 2021 la CNIL ha annunciato che il rispetto delle regole in materia di cookie costituirà una delle tre priorità dell’autorità durante l’anno, insieme alla cybersicurezza e alla protezione dei dati sanitari. Aprile 2021, quindi, ha segnato una parziale svolta nella policy dell’autorità, in quanto il periodo di transizione di sei mesi volto a consentire l’adeguamento alle linee guida si è concluso e i siti internet si sono trovati costretti ad adeguarsi ad ogni aspetto delle nuove regole.
Di conseguenza gli utenti debbono manifestare esplicitamente il consenso al tracciamento tramite cookies commerciali e non è più sufficiente che l’utente continui a navigare sul sito internet per ritenere acquisito il consenso. Questi dovrà necessariamente compiere un’operazione materiale, quale il classico click su di un bottone «accetto». Peraltro, le linee guida prevedono che gli utenti debbono poter conoscere in modo chiaro lo scopo per cui i cookies vengono raccolti prima di rilasciare il consenso. Infine, gli utenti devono poter ritirare in qualsiasi momento il consenso previamente rilasciato.
Inizialmente le linee guida vietavano in via generale e assoluta i c.d. cookie wall, ossia banner e altri strumenti volti ad impedire agli utenti che non acconsentono all’uso dei cookie di accedere a un sito o un’app mobile, rendendo sostanzialmente obbligatoria la prestazione del consenso. Tuttavia, in seguito alla menzionata pronuncia del Conseil d’Etat, tale divieto è stato rimosso. D’altro canto, la CNIL ritiene che questa pratica possa comunque influire sulla libertà di consenso e, quindi, la sua legittimità potrà essere valutata caso per caso. Inoltre, anche qualora venga utilizzato un cookie wall, gli utenti devono essere chiaramente informati dello scopo della raccolta dei cookies e delle conseguenze delle loro scelte, in particolare dell’impossibilità di accedere al contenuto del sito o dell’app o del servizio se non prestano il consenso.
Queste linee guida costituiscono l’attuazione del regolamento europeo 2016/679 sul trattamento dei dati personali (GDPR), il quale al considerando 32 prevede che: «Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle».
La questione del tracciamento tramite cookies, tuttavia, come già rilevato in questo osservatorio, è destinata a produrre nuove problematiche, data la trasformazione che tale tecnologia sta subendo. L’annuncio di Google operato a gennaio 2020, secondo cui la società non utilizzerà più i cookies, abbandonando un sistema di tracciamento individuale in favore di metodi aggregati di targeting (i c.d. Federated Learning of Cohorts -FLoC), lascia presagire che regole come quelle adottate dalla CNIL si riveleranno obsolete in tempi relativamente brevi e richiederanno un ulteriore aggiornamento.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale