La sentenza della Corte UE relativa ai cookie: ecco le prime sanzioni.

La sentenza della Corte UE relativa ai cookie: ecco le prime sanzioni.

Con la sentenza del 1° ottobre 2019, la Corte UE ha affermato che il consenso deve essere manifestato attivamente, da parte dell’interessato. In tal senso, non è considerato validamente reso un consenso espresso mediante una dichiarazione predeterminata, in quanto l’interessato si troverebbe nella posizione di doversi opporre al trattamento, anziché di manifestare liberamente la propria adesione o non adesione al trattamento. In particolare, il consenso acquisito attraverso una casella preselezionata non permette di stabilire né che tale volontà sia stata effettivamente espressa, né che l’interessato fosse informato delle caratteristiche del trattamento. Relativamente ai cookie, l’informazione fornita all’interessato (contestualmente alla richiesta del consenso) dovrà precisare anche la durata dei dati e l’eventuale accesso di terze parti.

Nel concreto, questa sentenza limita moltissimo la richiesta del consenso attraverso campi preselezionati e richiede una verifica delle informazioni fornite agli utenti. Con particolare riferimento ai cookie, le informazioni da verificare sono quelle contenute nei documenti di policy dei siti internet; mentre, per quanto riguarda gli strumenti di raccolta del consenso al loro utilizzo, il sito internet dovrà essere dotato di strumenti atti a consentirne la libera manifestazione del consenso, per ogni tipologia di cookie utilizzata dal sito stesso.

Sempre con riguardo al consenso dell’interessato, il GDPR stabilisce la possibilità di revocarlo in qualsiasi momento e la revoca deve avvenire con la stessa facilità con la quale è stato accordato (art. 7 par. 3 del Regolamento UE 2016/679). Tale principio è stato recentemente applicato dal Garante polacco, sanzionando una società che non aveva previsto una modalità di esercizio della revoca del consenso, risultando carente di “adeguate misure tecniche e organizzative per consentire la revoca in modo semplice ed efficace del consenso e l’esercizio del diritto di richiedere la rimozione dei dati personali (il c.d. diritto all’oblio), violando così i principi di liceità, correttezza e trasparenza”. Lo strumento adottato dalla società per la revoca del consenso, infatti, non era che un collegamento a una pagina contenente informazioni imprecise, aventi lo scopo di confondere l’utente e di impedirgli, di fatto, di esercitare i propri diritti. Oltre alla pesante sanzione di 47’000 euro, il Garante ha imposto l’adeguamento degli strumenti della società entro pochi giorni e la cancellazione dei dati degli utenti che avevano richiesto di interrompere il trattamento.

Al fine di gestire correttamente la raccolta e la revoca del consenso, è dunque necessario progettare entrambi questi aspetti alla luce degli orientamenti giurisprudenziali e di prassi recentemente intervenuti, in modo da integrarli negli strumenti di gestione della privacy.

DataConSec da oltre 15 anni affianca quotidianamente le più importanti imprese italiane e multinazionali, offrendo la propria esperienza per rafforzarne la governance e la compliance in modo integrato, dall’applicazione normativa alla Business Security.