28 Set Il Consiglio dell’Unione Europea propone nuove regole per l’utilizzo dei cookie analitici

Background

Lo scorso 8 settembre 2017, il Consiglio dell’Unione Europea (d’ora in avanti, “il Consiglio”) ha revisionato la bozza del nuovo Regolamento E-Privacy (d’ora in avanti, “REP”) – pubblicata dalla Commissione Europea il 10 gennaio 2017 – aprendo alla possibilità di utilizzare i cookie analitici di prima e terza parte senza che sia necessario un consenso espresso da parte dell’utente finale.

Negli ultimi anni, la vigente disciplina in materia (Direttiva 58/2002/CE, cd. Direttiva E-Privacy, d’ora in avanti “DEP”) è stata sottoposta ad un processo di riforma volto ad allineare la legislazione corrente agli sviluppi tecnologici ed alle nuove previsioni contenute nel Regolamento Generale sulla Protezione dei Dati (Regolamento Europeo n. 679/2016, d’ora in avanti “RGPD”).

Tra le varie modifiche proposte alla nuova bozza del REP, il Consiglio ha emendato l’articolo 8 relativo alla “Protezione delle informazioni memorizzate su e relative al terminale dell’utente finale”. I cookie rappresentano uno dei principali esempi di tecnologie in grado di tracciare il comportamento online degli utenti attraverso la lettura delle informazioni contenute sui loro dispositivi e sin dall’introduzione della DEP sono stati costantemente oggetto di regolamentazione a livello europeo e nazionale.

Questioni principali

Nella disciplina europea, la norma di riferimento per quanto riguarda l’utilizzo delle tecnologie in questione è rappresentata dall’articolo 5, comma 3, della Direttiva e-Privacy. Nell’Opinione 4/2012, il Gruppo dei Garanti europei Article 29 Working Party (d’ora in avanti “WP29”) ha chiarito che il summenzionato articolo permette che i cookie possano beneficiare dell’esonero dalla richiesta di un consenso espresso e informato purché siano utilizzati “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica” (criterio A) o se gli stessi sono “strettamente necessari per il fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente per erogare il servizio” (criterio B).

In aggiunta, il WP29 ha proposto un’ulteriore eccezione all’obbligo di fornire il consenso rilevando che “i cookie analitici di prima parte non sono idonei a sollevare rischi per la privacy quando sono strettamente limitati alle finalità statistiche aggregate della prima parte” (criterio C).

Il criterio C è stato inizialmente recepito da alcuni Stati membri, tra cui l’Italia, e ribadito dall’Opinione 3/2016. Il Consiglio ha implementato alcune raccomandazioni nella sua proposta di revisione del REP, ammettendo la possibilità di non richiedere il consenso per i cookie analitici di terze parti a condizione che fossero rispettate le previsioni di cui all’art. 28 RGPD (rubricato “Responsabile del trattamento”).

L’apertura all’utilizzo dei cookie analitici di prima e terza parte mediante l’introduzione di una nuova eccezione al consenso espresso e informato da parte degli utenti finali punta ad andare incontro alle esigenze commerciali delle aziende. Peraltro, l’assenza di qualsiasi riferimento nell’articolo 8 a concetti quali “l’anonimizzazione dei dati”, “la privacy by design” e “la minimizzazione dei dati”, come specificato nell’Opinione 3/2016, porta a ritenere che i cookie analitici non costituiscano un rischio rilevante per la privacy degli utenti. Tuttavia, lo stesso non può dirsi relativamente ai cookie di profilazione, per i quali permane la necessità di fornire un consenso espresso ed informato.

Implicazioni pratiche

In conclusione, laddove la revisione dell’articolo 8 proposta dal Consiglio venisse condivisa:

• un consenso espresso ed informato potrà essere richiesto solo per l’uso di tecnologie di profilazione e non anche per l’uso di cookie analitici di prima e terza parte;
• l’impostazione predefinita dei software che raccoglieranno il consenso in maniera centralizzata, come i browser web, dovrà consentire agli utenti di gestire liberamente le proprie impostazioni sulla privacy (art. 4a REP), evitando l’uso di banner.

Continueremo a tenere monitorati i successivi sviluppi del processo legislativo.