Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9266 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Cookie 05.04.2019    Pdf    Appunta    Letti    Post successivo  

Cookie, consensi separati o prespuntati e la Corte di Giustizia

La Corte di Giustizia e' investita di due casi al momento. La Causa C‑673/17 e la causa C-40/17.

Si parla di consensi separati e cookie prespuntati.

Sono evidentemente cause pilote per avere una pronuncia europea ufficiale su come si debba fare, sottraendo alle singole autorita' il potere di decidere ciascuna in autonomia.

Attualmente sono disponibili solo le conclusioni dell'avvocato generale.

Utilissimo l'indice autogenerato dal software di IusOnDemand.
Spataro

 

C

CONCLUSIONI DELL’AVVOCATO GENERALE MACIEJ SZPUNAR

presentate il 21 marzo 2019 (1) Causa C‑673/17 Planet49 GmbH contro Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

[domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof (Corte federale di giustizia, Germania)]

«Rinvio pregiudiziale — Direttiva 95/46/CE — Direttiva 2002/58/CE — Regolamento (UE) 2016/679 — Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche — Cookie — Nozione di consenso dell’interessato — Dichiarazione di consenso tramite una casella di spunta preselezionata»





I.      Introduzione

1.        Al fine di partecipare a un gioco a premi organizzato dalla Planet49, un utente di Internet si è trovato dinanzi a due caselle di spunta da selezionare o deselezionare prima di poter premere il “pulsante di partecipazione”. Una delle caselle di spunta richiedeva all’utente di acconsentire a essere contattato da una serie di aziende per ricevere offerte promozionali, mentre un’altra casella richiedeva il suo consenso all’installazione di cookie sul proprio computer. Ecco, in sintesi, i fatti alla base della domanda di pronuncia pregiudiziale in esame proposta dal Bundesgerichtshof (Corte federale di giustizia, Germania).

2.        Dietro questi fatti, apparentemente neutri, giacciono questioni fondamentali del diritto dell’Unione in materia di protezione dei dati: quali sono esattamente i requisiti del consenso informato da manifestare liberamente? Sussiste una differenza per quanto riguarda il (mero) trattamento dei dati personali e l’installazione di cookie con relativo accesso? Quali sono gli strumenti giuridici applicabili?

3.        Nella tesi esposta nelle presenti conclusioni sosterrò che, per quanto riguarda il caso in esame, i requisiti per dichiarare il consenso sono i medesimi, sia ai sensi della direttiva 95/46/CE (2) sia a norma del regolamento (UE) 2016/679 (3) e che, nella specie, non vi è alcuna differenza, indipendentemente dal fatto che si tratti della questione generale del trattamento dei dati personali o di quella più specifica concernente la memorizzazione dei cookie e l’accesso alle informazioni per mezzo dei medesimi.

II.    Contesto normativo

A.      Diritto dell’Unione

1.      Direttiva 95/46

4.        L’articolo 2 della direttiva 95/46, rubricato «Definizioni», così dispone:

«Ai fini della presente direttiva si intende per:

(…)

h)      “consenso della persona interessata”: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento».

5.        Nella sezione II della direttiva, intitolata «Principi relativi alla legittimazione del trattamento dei dati», al punto a) l’articolo 7 prevede quanto segue:

«Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:

a)      la persona interessata ha manifestato il proprio consenso in maniera inequivocabile, oppure

(…)».

6.        Il successivo articolo 10, rubricato «Informazione in caso di raccolta dei dati presso la persona interessata», così recita:

«Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:

a)      l’identità del responsabile del trattamento ed eventualmente del suo rappresentante;

b)      le finalità del trattamento cui sono destinati i dati;

c)      ulteriori informazioni riguardanti quanto segue:

–        i destinatari o le categorie di destinatari dei dati;

–        se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,

–        se esistono diritti di accesso ai dati e di rettifica in merito ai dati che la riguardano,

nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata».

2.      La direttiva 2002/58/CE (4)

7.        I considerando 24 e 25 della direttiva 2002/58/CE (5) così recitano:

«(24)      Le apparecchiature terminali degli utenti di reti di comunicazione elettronica e qualsiasi informazione archiviata in tali apparecchiature fanno parte della sfera privata dell’utente, che deve essere tutelata ai sensi della convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali. I cosiddetti software spia, bachi invisibili (“web bugs”), identificatori occulti ed altri dispositivi analoghi possono introdursi nel terminale dell’utente a sua insaputa al fine di avere accesso ad informazioni, archiviare informazioni occulte o seguire le attività dell’utente e possono costituire una grave intrusione nella vita privata di tale utente. L’uso di tali dispositivi dovrebbe essere consentito unicamente per scopi legittimi e l’utente interessato dovrebbe esserne a conoscenza.

(25)      Tuttavia, tali dispositivi, per esempio i cosiddetti marcatori (“cookie”), possono rappresentare uno strumento legittimo e utile, per esempio per l’analisi dell’efficacia della progettazione di siti web e della pubblicità, nonché per verificare l’identità di utenti che effettuano transazioni “on-line”. Allorché tali dispositivi, ad esempio i marcatori (“cookies”), sono destinati a scopi legittimi, come facilitare la fornitura di servizi della società dell’informazione, il loro uso dovrebbe essere consentito purché siano fornite agli utenti informazioni chiare e precise, a norma della direttiva 95/46/CE, sugli scopi dei marcatori o di dispositivi analoghi per assicurare che gli utenti siano a conoscenza delle informazioni registrate sull’apparecchiatura terminale che stanno utilizzando. Gli utenti dovrebbero avere la possibilità di rifiutare che un marcatore o un dispositivo analogo sia installato nella loro apparecchiatura terminale. Ciò riveste particolare importanza qualora utenti diversi dall’utente originario abbiano accesso alle apparecchiature terminali e quindi a dati contenenti informazioni sensibili in relazione alla vita privata che sono contenuti in tali apparecchiature. L’offerta di informazioni e del diritto di opporsi può essere fornita una sola volta per l’uso dei vari dispositivi da installare sull’attrezzatura terminale dell’utente durante la stessa connessione e applicarsi anche a tutti gli usi successivi, che possono essere fatti, di tali dispositivi durante successive connessioni. Le modalità di comunicazione delle informazioni, dell’offerta del diritto al rifiuto o della richiesta del consenso dovrebbero essere il più possibile chiare e comprensibili. L’accesso al contenuto di un sito Internet specifico può tuttavia continuare ad essere subordinato all’accettazione in conoscenza di causa di un marcatore o di un dispositivo analogo, se utilizzato per scopi legittimi».

8.        L’articolo 2 della direttiva de qua, rubricato «Definizioni», alla lettera f) così dispone:

«Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva 95/46/CE e alla direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) [(6)].

Si applicano inoltre le seguenti definizioni:

(…)

f)      “consenso” dell’utente o dell’abbonato: corrisponde al consenso della persona interessata di cui alla direttiva 95/46/CE;

(…)».

9.        Ai sensi del paragrafo 3 del successivo articolo 5, rubricato «Riservatezza delle comunicazioni»:

«Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio».

3.      Direttiva 2009/136/CE (7)

10.      Il considerando 66 della direttiva 2009/136/CE (8) così recita:

«Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, “cookies”) o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE. L’esecuzione di detti requisiti dovrebbe essere resa più efficace tramite i maggiori poteri conferiti alle autorità nazionali competenti».

4.      Regolamento 2016/679

11.      Il considerando 32 del regolamento 2016/679 afferma quanto segue:

«Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso».

12.      L’articolo 4 del regolamento medesimo, rubricato «Definizioni», al punto 11 così dispone:

«Ai fini del presente regolamento s’intende per:

(…)

11)      “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(…)».

13.      Il successivo articolo 6, intitolato «Liceità del trattamento», stabilisce quanto segue:

«1.      Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)      l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

(...)».

14.      Il successivo articolo 7 è intitolato «Condizioni per il consenso». Ai sensi del suo paragrafo 4, «[n]el valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».

B.      Diritto tedesco

1.      Il Codice civile tedesco

15.      L’articolo 307 (9) del Bürgerliches Gesetzbuch (codice civile tedesco; in prosieguo il «BGB») dispone quanto segue:

«1)       Le clausole contenute in condizioni generali di contratto sono inefficaci se, in violazione del principio della buona fede, svantaggiano eccessivamente la controparte contrattuale di chi le utilizza. Uno svantaggio eccessivo può derivare anche dal fatto che la clausola non sia chiara e comprensibile.

2)       Nel dubbio, si presume l’esistenza di uno svantaggio eccessivo, se una clausola

1.      non è compatibile con i principi fondamentali della disciplina legislativa cui ha derogato, oppure

2.      limita diritti o doveri essenziali inerenti alla natura del contratto in misura tale da pregiudicare il conseguimento dell’oggetto del contratto stesso.

3)       I punti 1 e 2 supra e gli articoli 308 e 309 si applicano soltanto alle condizioni generali di contratto in base alle quali sono convenuti patti in deroga alle disposizioni di legge o patti che integrano tali disposizioni di legge. Altre clausole possono essere inefficaci ai sensi della seconda frase del punto 1 supra in combinato disposto con la prima frase del punto 1 supra».

2.      La legge sulla concorrenza sleale

16.      Il Gesetz gegen den unlauteren Wettbewerb (legge sulla concorrenza sleale; in prosieguo l’«UWG») vieta le pratiche commerciali da cui derivi indebito pregiudizio nei confronti di un operatore di mercato. Al punto 2, l’articolo 7, paragrafo 2, dell’UWG stabilisce che «[l]’ indebito pregiudizio deve sempre presumersi nei casi di (…) pubblicità telefonica ad un consumatore senza il suo previo consenso esplicito o a un altro partecipante al mercato quantomeno senza il presunto consenso del medesimo».

3.      La legge sui media online

17.      L’articolo 12, paragrafo 1, del Telemediengesetz (legge sui media online; in prosieguo il «TMG») ha recepito l’articolo 7, lettera a), della direttiva 95/46 e stabilisce le condizioni alle quali un fornitore di servizi è autorizzato a raccogliere e impiegare i dati personali ai fini della messa a disposizione di media online. Ai sensi di tale articolo, il fornitore di servizi può raccogliere e impiegare dati personali ai fini della messa a disposizione di media online solo se ciò è consentito dal TMG o da un’altra normativa riguardante espressamente i media online, oppure se l’utente vi abbia prestato consenso.

18.      L’articolo 12, paragrafo 3, del TMG prevede che la legislazione in vigore in materia di dati personali debba essere applicata anche qualora i dati non siano oggetto di trattamento automatizzato.

19.      Il successivo articolo 13, paragrafo 1, dispone che, all’inizio dell’utilizzazione, il fornitore di servizi deve informare l’utente circa il tipo, la portata e le finalità del trattamento dei dati personali nonché in merito al trattamento dei dati oltre l’ambito di applicazione della direttiva 95/46.

20.      A termini del successivo articolo 15, paragrafo 1, i fornitori di servizi possono raccogliere e trattare i dati personali solo se necessario ai fini dell’uso dei media online o ai fini dell’emissione una fattura relativa a tale uso («dati dell’utente»). Con l’espressione dati dell’utente si definiscono, tra l’altro, i dati che consentono l’identificazione degli utenti.

21.      Il paragrafo 3 del medesimo articolo 15 ha recepito l’articolo 5, paragrafo 3, della direttiva 2002/58 e prevede che, a fini di pubblicità, ricerche di mercato o per un’appropriata configurazione dei media online, il fornitore di servizi può creare profili di utilizzo con l’impiego di pseudonimi, purché l’utente non eserciti il proprio diritto di opposizione e sia stato informato del diritto di rifiuto da parte del fornitore di servizi, conformemente all’obbligo di fornire informazioni di cui all’articolo 13, paragrafo 1, del TMG.

4.      La legge federale sulla protezione dei dati

22.      L’articolo 3, paragrafo 1, del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati; in prosieguo: il «BDSG») (10) ha recepito l’articolo 2, lettera a), della direttiva 95/46 e definisce l’espressione «dati personali» come dati relativi a condizioni personali o materiali di una persona fisica determinata o determinabile.

23.      L’articolo 4, lettera a), del BDSG ha trasposto nell’ordinamento nazionale l’articolo 2, lettera h), della direttiva 95/46 e dispone che il consenso è efficace solo se si basa sulla libera decisione dell’interessato.

III. Fatti, procedimento e questioni pregiudiziali

24.      In data 24 settembre 2013, la Planet49 GmbH organizzava un gioco a premi promozionale all’indirizzo Internet www.dein-macbook.de (11). Per poter partecipare al gioco a premi, l’utente di Internet doveva immettere il proprio codice di avviamento postale, aprendo così una pagina contenente dei campi da riempire con il nome e l’indirizzo dell’utente. Al di sotto dei campi da riempire per l’indirizzo si trovavano due didascalie accompagnate da caselle di spunta. In prosieguo farò riferimento ad esse come a «prima casella » e «seconda casella ». La prima didascalia, la cui rispettiva casella non era già selezionata, recitava come segue:

«Acconsento a ricevere informazioni per posta, per telefono oppure per email o SMS da alcuni sponsor e partner sulle offerte del loro rispettivo settore commerciale. È mia facoltà stabilire autonomamente i soggetti legittimati ad inviarmi dette offerte, in caso contrario la scelta spetta all’organizzatore. Posso revocare il consenso in ogni momento. Ulteriori informazioni al riguardo si trovano qui».

25.      La seconda didascalia, corredata di un segno di spunta preinserito, recitava come segue:

«Acconsento a sottopormi al servizio di analisi web Remintrex. Ciò comporta che l’organizzatore del gioco a premi, la Planet49 GmbH, a seguito della relativa registrazione, installa cookie per permetterle, tramite Remintrex, un’analisi del mio comportamento di navigazione e di utilizzazione dei siti web dei partner commerciali e dunque della pubblicità profilata. Posso cancellare i cookie in ogni momento. Per ulteriori dettagli legga qui».

26.      La partecipazione al gioco a premi era possibile solo selezionando quantomeno la prima casella.

27.      Il link sottostante alle parole «sponsor e partner» e «qui» figurante nella prima didascalia portava ad un elenco contenente 57 imprese, i rispettivi indirizzi, il settore commerciale da pubblicizzare e la modalità di comunicazione utilizzata per la pubblicità (email, posta o telefono), nonché, dopo ciascuna impresa, la parola sottolineata «eliminare». L’elenco era preceduto dal seguente avviso:

«Cliccando sul link “eliminare” stabilisco che non possa essere comunicato al menzionato partner/sponsor il consenso a fini pubblicitari. Ove non abbia eliminato alcun partner/sponsor o non ne abbia eliminato un numero sufficiente, la Planet 49 compirà la scelta per mio conto a sua completa discrezione (numero massimo: 30 partner/sponsor)».

28.      Attivando il link sottostante alla parola «qui» nella seconda didascalia compariva il seguente messaggio:

«I cookie installati con il nome ceng_cache, ceng_etag, ceng_png e gcr consistono in piccoli archivi memorizzati in maniera aggregata sul suo disco rigido dal browser da Lei utilizzato attraverso i quali confluiscono determinate informazioni che consentono una pubblicità più efficace e rispettosa dell’utente. I cookie contengono un determinato numero generato casualmente (ID), contestualmente associato ai suoi dati di registrazione. In caso di ricollegamento alla pagina web di un partner pubblicitario registrato per Remintrex (l’esistenza di tale registrazione potrà essere desunta dalla dichiarazione del partner sulla protezione dei dati personali), verrà automaticamente rilevato, grazie ad un iFrames di Remintrex ivi incorporato, che Ella (cioè l’utente associato all’ID memorizzato) si è collegato alla pagina, per quale prodotto Ella abbia mostrato interesse e se sia stato concluso un contratto.

Successivamente, la Planet49 GmbH, in forza del consenso a ricevere pubblicità espresso all’atto della registrazione al gioco a premi, può farLe pervenire email pubblicitarie che prendano in considerazione degli interessi da Lei manifestati sul sito web del partner pubblicitario. Dopo la revoca del consenso a ricevere pubblicità, ovviamente Ella non riceverà più alcuna pubblicità per email.

Le informazioni trasmesse per mezzo dei cookie vengono impiegate esclusivamente per la pubblicità nella quale sono presentati prodotti del partner pubblicitario. Le informazioni vengono raccolte, archiviate e utilizzate separatamente per ciascun partner pubblicitario. In nessun caso verrà compiuta attività di profilazione degli utenti destinata a tutti i partner pubblicitari. I singoli partner pubblicitari non ricevono dati personali.

Ove Ella non abbia più alcun interesse all’utilizzazione dei cookie, può cancellarli in ogni momento attraverso il Suo browser. Le istruzioni per farlo possono essere reperite nella funzione di aiuto del Suo browser.

Per mezzo dei cookie non può essere eseguito alcun programma, né trasmesso alcun virus.

Ella può revocare naturalmente tale consenso in ogni momento. Ella può inviare la revoca per iscritto alla PLANET49 GmbH [indirizzo]. È sufficiente tuttavia anche una email al nostro servizio clienti [indirizzo email]».

29.      Il ricorrente nel procedimento principale, il Bundesverband der Verbraucherzentralen (associazione federale dei centri dei consumatori; in prosieguo: il «Bundesverband»), è registrato nell’elenco di istituzioni qualificate ai sensi del Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (legge relativa alle azioni inibitorie in caso di violazioni della normativa a tutela dei consumatori e altre violazioni; in prosieguo: l’«UKlaG»). Secondo il Bundesverband, le richiamate dichiarazioni di consenso usate dalla Planet49 non soddisfacevano i requisiti di cui all’articolo 307 del BGB, all’articolo 7, paragrafo 2, punto 2, dell’UWG e agli articoli 12 e segg. del TMG. Una diffida stragiudiziale restava senza esito.

30.      Il Bundesverband ricorreva in giudizio dinanzi al Landgericht Frankfurt am Main (Tribunale del Land di Francoforte sul Meno, Germania) affinché venisse inibita alla Planet49 l’utilizzazione delle clausole de quibus (12), con condanna della società medesima a corrispondergli l’importo di EUR 214,00, oltre interessi, a decorrere dal 15 marzo 2014.

31.      Il Landgericht Frankfurt am Main (Tribunale del Land di Francoforte sul Meno) accoglieva taluni capi della domanda, respingendo il ricorso quanto al resto. Successivamente ad appello (13) dinanzi all’Oberlandesgericht Frankfurt am Main (Tribunale superiore del Land di Francoforte sul Meno, Germania), veniva proposto ricorso per cassazione dinanzi al Bundesgerichtshof (Corte federale di giustizia)(14).

32.      Il Bundesgerichtshof (Corte federale di giustizia) ritiene che l’esito positivo del ricorso in un punto di diritto dipenda dall’interpretazione degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58, in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, e dell’articolo 6, paragrafo 1, lettera a), del regolamento 2016/679 e ha quindi sottoposto alla Corte di giustizia le seguenti questioni pregiudiziali:

«1)      a)      Se sussista un consenso efficace ai sensi dell’articolo 5, paragrafo 3, e dell’articolo 2, lettera f), della direttiva 2002/58 in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46/CE, nel caso in cui la memorizzazione di informazioni ovvero l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un utente siano consentiti tramite una casella preselezionata che l’utente deve selezionare per negare il suo consenso.

b)      Se, ai fini dell’applicazione dell’articolo 5, paragrafo 3, e dell’articolo 2, lettera f), della direttiva 2002/58 in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46/CE, la situazione differisca nel caso in cui le informazioni archiviate o consultate consistano in dati personali.

c)      Se, in presenza delle circostanze indicate nella prima questione pregiudiziale, sussista un consenso efficace ai sensi dell’articolo 6, paragrafo 1, lettera a), del regolamento (UE) 2016/679.

2)      Quali informazioni debbano essere comunicate dal fornitore di servizi all’utente, affinché quest’ultimo sia informato, in termini chiari e completi ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58/CE. Se in tali informazioni rientrino altresì la durata della funzione dei cookie e il fatto che terzi abbiano accesso ai cookie stessi».

33.      L’ordinanza di rinvio è pervenuta alla Corte il 30 novembre 2017. Hanno presentato osservazioni scritte la Planet49, il Bundesverband, i governi portoghese e italiano e la Commissione europea. Il 13 novembre 2018 si è tenuta un’udienza cui hanno partecipato la Planet49, il Bundesverband, il governo tedesco e la Commissione.

IV.    Valutazione

34.      Entrambe le questioni pregiudiziali sottoposte dal Bundesgerichtshof (Corte federale di giustizia) riguardano la manifestazione del consenso alla memorizzazione delle informazioni nonché l’ottenimento dell’accesso alle informazioni già archiviate nell’apparecchiatura terminale dell’utente, vale a dire ai cookie, nel contesto specifico delle disposizioni della direttiva 2002/58, in combinato disposto con quelle della direttiva 95/46 o del regolamento 2016/679.

35.      Ritengo utile, in limine, una precisazione in punto di fatto sul fenomeno dei cookie e sulla relativa terminologia, nonché chiarimenti giuridici sugli strumenti giuridici applicabili nella specie.

A.      Osservazioni preliminari

1.      Sui cookie

36.      Un cookie è un mezzo per raccogliere informazioni generate da un sito web e salvate da un browser di un utente Internet (15). Si tratta di un piccolo elemento di dati o file di testo, solitamente di dimensioni inferiori a un Kbyte, che un sito web chiede al browser di un utente Internet di memorizzare nel disco rigido locale del computer o del dispositivo mobile dell’utente (16).

37.      Un cookie consente al sito web di «memorizzare» le azioni o le preferenze dell’utente nel corso del tempo. La maggior parte dei browser web supportano i cookie, ma gli utenti possono impostare il proprio browser in modo da rifiutarli. Possono anche eliminarli ogni volta che lo desiderano. In effetti, molti utenti impostano nel proprio browser i cookie in modo tale da eliminare automaticamente questi ultimi come impostazione predefinita con la chiusura della finestra del browser. Ciò detto, talune prove empiriche dimostrano in modo inconfutabile che le persone modificano raramente le impostazioni predefinite, dando vita a un fenomeno definito «default inertia» (17).

38.      I siti web utilizzano i cookie per identificare gli utenti, memorizzare le loro preferenze specifiche e consentire agli utenti di completare le attività senza dover inserire nuovamente le informazioni durante la navigazione da una pagina all’altra o la visita al sito in un momento successivo.

39.      I cookie possono essere altresì utilizzati per raccogliere informazioni a fini di pubblicità e marketing comportamentali online (18). Le società, ad esempio, utilizzano software per tracciare il comportamento degli utenti e creare profili personali, il che consente di mostrare agli utenti annunci pubblicitari relativi alle loro ricerche precedenti (19).

40.      Esistono diversi tipi di cookie: alcuni sono classificati in base alla loro durata (ad esempio cookie di sessione e cookie permanenti), mentre altri sono basati sul loro dominio di appartenenza (ad esempio cookie di prima parte e i cookie di terzi) (20). Quando il server web che fornisce la pagina web memorizza cookie sul computer o sul dispositivo mobile dell’utente, si parla di cookie «header http» (21). La memorizzazione dei cookie può avvenire anche tramite un codice JavaScript contenuto o richiamato in quella pagina (22). Tuttavia, la validità del consenso al posizionamento dei cookie e l’applicabilità di eventuali esenzioni pertinenti, dovrebbero essere valutate in base alla finalità dei cookie piuttosto che alla luce delle loro caratteristiche tecniche (23).

2.      Sugli strumenti giuridici applicabili

41.      Nel corso degli anni il quadro normativo applicabile al procedimento principale si è evoluto fino alla recente entrata in vigore del regolamento 2016/679.

42.      Gli strumenti giuridici dell’UE applicabili al caso in esame possono essere suddivisi in due gruppi: il primo costituito dalla direttiva 95/46 e dal regolamento 2016/679, il secondo rappresentato dalla direttiva 2002/58, modificata dalla direttiva 2009/136 (24).

43.      In ordine a questi due gruppi di strumenti vorrei formulare due osservazioni.

44.      La prima osservazione riguarda l’applicabilità della direttiva 95/46 e del regolamento 2016/679.

45.      Il regolamento 2016/679, applicabile a decorrere dal 25 maggio 2018 (25), ha abrogato la direttiva 95/46 con effetto a decorrere dalla medesima data (26).

46.      La data del 25 maggio 2018 è successiva all’ultima udienza dinanzi al giudice del rinvio del 14 luglio 2017 e invero anche alla data del 5 ottobre 2017, data del rinvio pregiudiziale alla Corte di giustizia .

47.      Pertanto, per le situazioni precedenti al 25 maggio 2018, la legge applicabile è costituita dalla direttiva 2002/58 in combinato disposto con la direttiva 95/46, mentre per le situazioni a decorrere dal 25 maggio 2018, è data la direttiva 2002/58 in combinato disposto con il regolamento 2016/679.

48.      Nella misura in cui, con l’inibitoria richiesta (27), il Bundesverband mira a ottenere l’inibitoria nei confronti della Planet49 quanto alla prosecuzione della sua condotta, la fattispecie è disciplinata dal regolamento 2016/679. Pertanto, nella propria decisione sulla domanda d’inibitoria, il Bundesgerichtshof (Corte federale di giustizia) dovrà tener conto dei requisiti di cui al regolamento 2016/679. In tale contesto, il governo tedesco richiama la pertinente giurisprudenza nazionale relativa alle fattispecie oggetto di azioni inibitorie (28).

49.      Di conseguenza, occorre dunque rispondere alla questione sollevata con riferimento tanto alla direttiva 95/46 quanto al regolamento 2016/679 (29).

50.      Inoltre, va rilevato che i riferimenti contenuti nella direttiva 2002/58 alla direttiva 95/46 devono intendersi come riferimenti al regolamento 2016/679 (30).

51.      La seconda osservazione riguarda l’evoluzione dell’articolo 5, paragrafo 3, della direttiva 2002/58.

52.      La direttiva 2002/58 mira a garantire il pieno rispetto dei diritti sanciti dalla Carta dei diritti fondamentali dell’Unione europea e, in particolare, dagli articoli 7 e 8 di quest’ultima (31). L’articolo 5 della direttiva succitata mira a garantire la «riservatezza delle comunicazioni». In particolare l’articolo 5, paragrafo 3, disciplina l’utilizzo dei cookie e stabilisce i requisiti da soddisfare prima di procedere alla memorizzazione o all’accesso di dati sul computer di un utente tramite l’installazione di un cookie.

53.      Al fine di aumentare la tutela dell’utente, la direttiva 2009/136 ha introdotto modifiche significative ai requisiti di consenso di cui all’articolo 5, paragrafo 3, della direttiva 2002/58. Prima delle modifiche apportate da tale direttiva, l’articolo 5, paragrafo 3, richiedeva semplicemente che agli utenti fosse conferito un «opt-out» informato dal trattamento dei dati tramite i cookie. In altri termini, stando alla versione originale dell’articolo 5, paragrafo 3, all’atto della memorizzazione di informazioni nell’apparecchio terminale di un utente o dell’accesso a informazioni ivi archiviate, il fornitore di servizi doveva informare l’utente in modo chiaro e completo in particolare sugli scopi del trattamento e offrirgli la possibilità di rifiutare quest’ultimo.

54.      La direttiva 2009/136 ha sostituito quest’obbligo d’informazione in ordine al diritto di rifiuto imponendo che «l’abbonato o l’utente in questione [dev’aver espresso] preliminarmente il proprio consenso», sostituendo, in tal modo, il sistema di opt-out [rifiuto] informato, più facile da rispettare, con un sistema di opt-in [consenso] informato. Fatta salva un’eccezione molto limitata non applicabile al caso in esame (32), l’impiego dei cookie ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58, come modificato, è consentito solo qualora l’utente abbia espresso il proprio consenso dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46, sulle ragioni del tracciamento dei suoi dati, ossia sugli scopi del trattamento (33).

55.      Come si vedrà più in dettaglio in prosieguo, la portata dell’obbligo di fornire informazioni ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58 costituisce il fulcro della questione controversa, in particolare nel contesto delle impostazioni predefinite per le attività online.

B.      Prima questione

56.      Con la sua prima questione, sub a), il giudice del rinvio si chiede se sussista un consenso efficace ai sensi degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58, in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46 nel caso in cui la memorizzazione di informazioni ovvero l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un utente siano consentiti tramite una casella [di spunta] preselezionata che l’utente deve [de]selezionare per negare il suo consenso. A tal proposito, il giudice del rinvio chiede se la situazione differisca nel caso in cui le informazioni archiviate o consultate consistano in dati personali [prima questione, sub b)]. Infine, il giudice medesimo chiede se, in presenza delle circostanze descritte supra, sussista un consenso efficace ai sensi dell’articolo 6, paragrafo 1, lettera a), del regolamento 2016/679 [prima questione, sub c)].

1.      Sul consenso liberamente manifestato e informato

57.      Una caratteristica sottesa al diritto dell’Unione sulla protezione dei dati è costituita dal consenso.

58.      Prima di passare all’esame della questione specifica dei cookie, vorrei fissare i principi generali derivanti dagli strumenti giuridici applicabili alla manifestazione del consenso.

a)      Ai sensi della direttiva 95/46

1)      Consenso attivo

59.      Dalle disposizioni della direttiva 95/46 deduco che il consenso dev’essere manifestato in maniera attiva (34).

60.      L’articolo 2, lettera h), della direttiva 95/46 fa riferimento a una manifestazione della volontà della persona interessata, con cui evidentemente si indica un comportamento attivo, piuttosto che uno passivo. In aggiunta, l’articolo 7, lettera a), della direttiva citata, concernente i principi relativi alla legittimazione del trattamento dei dati (personali), stabilisce che la persona interessata ha manifestato il proprio consenso in maniera inequivocabile. Ancora una volta, l’ambiguità può essere dissipata solo con un comportamento attivo, opposto a un comportamento passivo.

61.      Ne deduco che non è sufficiente, a tal proposito, che la dichiarazione del consenso dell’utente sia pre-formulata e che l’utente debba opporsi attivamente qualora non acconsentisse al trattamento dei dati.

62.      Infatti, in quest’ultima situazione, non è noto se tale testo pre-formulato sia stato letto e compreso. La situazione non è inequivocabile. Un utente può aver letto o meno il testo; può non averlo fatto per pura negligenza. In una simile circostanza, non è possibile stabilire se il consenso sia stato espresso liberamente.

2)      Consenso separato

63.      Strettamente legato al requisito del consenso attivo è il requisito del consenso separato (35).

64.       Come affermato dalla Planet49, si potrebbe sostenere che l’interessato presti un consenso efficace non quando non deselezioni una dichiarazione di consenso pre-formulata, bensì «cliccando» attivamente sul pulsante di partecipazione al gioco a premi online.

65.      Non condivido tale interpretazione.

66.      Affinché il consenso sia «liberamente manifestato» e «informato», non dev’essere solo attivo, ma anche separato. L’attività che un utente svolge su Internet (leggere una pagina web, partecipare a un gioco a premi, guardare un video, ecc.) e la prestazione del consenso non possono far parte dello stesso atto. In particolare, dal punto di vista dell’utente, la manifestazione del consenso non può apparire di natura accessoria rispetto alla partecipazione al gioco a premi. Entrambe le azioni devono, specialmente sotto il profilo visivo, essere presentate su un piano di parità. Di conseguenza, ritengo dubbio che una serie di espressioni di volontà, fra cui figurerebbe l’espressione del consenso, sia conforme alla nozione di consenso ai sensi della direttiva 95/46.

3)      Obbligo di informare pienamente

67.      In questo contesto, per l’utente dev’essere perfettamente chiaro se l’attività che intende svolgere su Internet è subordinata alla manifestazione del consenso. Un utente dev’essere in grado di valutare fino a qual punto sia disposto a fornire i propri dati al fine di svolgere la propria attività su Internet, senza alcuna forma di ambiguità (36). Un utente deve sapere se e in qual misura la propria manifestazione di consenso incida sullo svolgimento della propria attività su Internet.

b)      Ai sensi del regolamento 2016/679

68.      I principi di cui supra valgono anche con riguardo al regolamento 2016/679.

69.      L’articolo 4, punto 11, del regolamento 2016/679 definisce il consenso dell’interessato come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

70.      Occorre rilevare che questa definizione è più stringente rispetto a quella di cui all’articolo 2, lettera h), della direttiva 95/46, dal momento che richiede una manifestazione inequivocabile della volontà dell’interessato e un’azione positiva inequivocabile con cui si manifesta il proprio assenso al trattamento di dati personali.

71.      Inoltre, i considerando del regolamento 2016/679 sono particolarmente illuminanti. Poiché farò ampio riferimento ai considerando (37), ritengo necessario rammentare che essi, ovviamente, non possiedono alcun valore giuridico autonomo (38), ma che la Corte vi ricorre frequentemente nell’interpretare le disposizioni di un atto giuridico dell’Unione. Nell’ordinamento giuridico dell’Unione, essi sono descrittivi e non hanno natura prescrittiva. Infatti, la questione del loro valore giuridico non insorge normalmente per il semplice motivo che, di solito, i considerando si riflettono nelle disposizioni giuridiche di una direttiva. Una buona prassi legislativa da parte delle istituzioni politiche dell’Unione deve mirare a far sì che i considerando forniscano un quadro utile alle disposizioni di un testo normativo (39).

72.      Ai sensi del considerando 32 del regolamento 2016/679, il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente, in tale contesto, l’accettazione da parte dell’interessato del trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.

73.      Il consenso attivo è ora, pertanto, espressamente previsto dal regolamento 2016/679.

74.      Inoltre, il considerando 43 del regolamento medesimo dispone che, per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso qualora non sia possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o qualora l’esecuzione di un contratto, compresa la prestazione di un servizio, sia subordinata al consenso sebbene esso non sia necessario per tale esecuzione.

75.      In tale o considerando la necessità di un consenso separato è quindi ora esplicitamente sottolineata.

c)      Ai sensi della direttiva 2002/58 – il caso dei cookie

76.      Ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58, gli Stati membri assicurano che la memorizzazione di informazioni o l’accesso a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente interessato sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE.

77.      Questa disposizione non prevede ulteriori criteri per quanto riguarda la nozione di consenso.

78.      Tuttavia, i considerando della direttiva 2002/58 e della direttiva 2009/136 forniscono indicazioni sul consenso per quanto riguarda i cookie.

79.      In tal senso, il considerando 17 della direttiva 2002/58 indica che il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel caso di un sito Internet (40).

80.      Inoltre, il considerando 66 della direttiva 2009/136 spiega la fondamentale importanza del fatto che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare la memorizzazione di informazioni sull’apparecchiatura di un utente o l’ottenimento dell’accesso a informazioni già archiviate, e che le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili.

81.      A questo proposito vorrei anche evidenziare il lavoro non vincolante, ma comunque illuminante, del Gruppo di lavoro «Articolo 29» per la protezione dei dati (in prosieguo: «il Gruppo di lavoro “Articolo 29”») (41), secondo cui il consenso implica una previa azione positiva degli utenti finalizzata all’accettazione della memorizzazione dei cookie e del loro utilizzo (42). Il medesimo Gruppo di lavoro rivela che la nozione di «manifestazione» implica la necessità di un’azione (43). Altri elementi della definizione di consenso, oltre al requisito aggiuntivo di cui all’articolo 7, lettera a), della direttiva 95/46 in base al quale il consenso dev’essere manifestato in maniera inequivocabile, avvalorano questa interpretazione (44). L’indicazione che l’interessato deve esprimere un assenso quale forma di «accettazione» sembra suggerire che la semplice inazione sia insufficiente e che, per configurare un consenso, sia necessaria una qualche forma di azione, benché siano possibili tipologie diverse di azioni, da valutare «nel contesto» (45).

2.      Applicazione alla fattispecie

82.      Vorrei ora applicare questi criteri al caso in esame. A tal fine, affronterò anzitutto la prima questione, sub a) e c), vale a dire la questione se vi sia stato un consenso efficace sull’installazione dei cookie e l’accesso ad essi, il che si riferisce alla seconda casella di spunta.

83.      Inoltre, dato che, come è stato appena visto, i requisiti per il consenso non differiscono notevolmente per quanto riguarda i cookie e, più in generale il trattamento dei dati personali, per ragioni sia di completezza sia di chiarezza, sebbene il giudice del rinvio non sottoponga esplicitamente domande in merito a tale aspetto, ai fini della corretta e uniforme interpretazione del diritto dell’Unione, ritengo necessario analizzare brevemente se, nel contesto della prima casella, sia sussistito un consenso efficace con riguardo al trattamento dei dati personali . Ritengo, inoltre, che il Bundesgerichtshof (Corte federale di giustizia), nell’ambito del procedimento dinanzi ad esso pendente, debba pronunciarsi sulla questione inerente alla prima casella (46).

a)      La seconda casella– prima questione, sub a) e c)

84.      Il giudice del rinvio chiede se sussista un consenso efficace ai sensi degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58 in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, nel caso in cui la memorizzazione di informazioni ovvero l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un utente siano consentiti tramite una casella preselezionata che l’utente deve deselezionare per negare il proprio consenso.

85.      I termini fondamentali dell’articolo 2, lettera h), della direttiva 95/46 e dell’articolo 4, punto 11, del regolamento 2016/679 ai fini della questione in esame sono «libera» e «informata». Si pone la questione se, in una situazione come quella descritta dal giudice del rinvio, un consenso possa essere manifestato liberamente e in modo informato.

86.      Secondo la Planet49 la risposta è affermativa, mentre tutte le altre parti (47) dissentono al riguardo. In questo contesto, il dibattito giuridico delle parti si è incentrato principalmente sulla questione se selezionare o deselezionare una casella contenente una spunta già pre-selezionata soddisfi tali requisiti. Il dibattito ruota intorno alla questione relativa all’attività e alla passività. Tuttavia, questo aspetto, per quanto importante, si ricollega solo ad una parte dei requisiti, dal momento che affronta solo il requisito del consenso attivo, ma non quello del consenso separato.

87.      A mio avviso, sulla base dei criteri stabiliti supra, la risposta è che non sussiste alcun consenso efficace nel caso in esame.

88.      In primo luogo, richiedere ad un utente di deselezionare positivamente una casella, divenendo quindi attivo se non esprime il consenso all’installazione di cookie, non soddisfa il criterio del consenso attivo. In una situazione di tal genere, è praticamente impossibile stabilire obiettivamente se un utente abbia espresso o meno il suo consenso sulla base di una decisione libera e informata. Per contro, richiedere ad un utente di selezionare una casella rende tale affermazione molto più probabile.

89.      In secondo luogo, e soprattutto, la partecipazione al gioco a premi online e la manifestazione del consenso all’installazione di cookie non possono formare parte dello stesso atto. Ma è proprio quanto si è verificato nella specie. In definitiva, per partecipare al gioco a premi, l’utente si limita a cliccare sul pulsante di partecipazione e, nel contempo, acconsente all’installazione di cookie. Si tratta di due manifestazioni di volontà (partecipazione al gioco a premi e consenso all’installazione di cookie) espresse contemporaneamente. Queste due espressioni non possono essere [peraltro] collegate allo stesso pulsante di partecipazione. Infatti, nel caso in esame, il consenso ai cookie appare di natura accessoria, nel senso che non è per nulla chiaro il fatto che esso faccia parte di un atto distinto. In altri termini, la (de)selezione della casella di spunta sui cookie appare come un atto preparatorio rispetto all’atto definitivo e giuridicamente vincolante, consistente nel «premere» il pulsante di partecipazione.

90.      In una simile situazione, un utente non è in grado di manifestare liberamente il suo consenso separato alla memorizzazione di informazioni o all’accesso a informazioni già archiviate nella propria apparecchiatura terminale.

91.      Inoltre, è stato dimostrato supra che la partecipazione al gioco a premi era possibile solo qualora fosse stata selezionata almeno la prima casella. Di conseguenza, la partecipazione al gioco a premi non era condizionata (48) alla manifestazione del consenso all’installazione di cookie e all’accesso ad essi, poiché un utente potrebbe anche avere cliccato (solo) la prima casella.

92.      Tuttavia, a quanto mi risulta, in nessun momento l’utente risultava informato al riguardo. Ciò non soddisfa i criteri relativi alla piena informazione degli utenti stabiliti supra.

93.      In sintesi, propongo di rispondere alla prima questione, sub a) e c), nel senso che non sussiste un consenso efficace, a norma degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58 in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, in una situazione come quella oggetto procedimento principale in cui la memorizzazione di informazioni ovvero l’accesso a informazioni già memorizzate nell’apparecchiatura terminale di un utente siano consentiti tramite una casella preselezionata che l’utente deve deselezionare per negare il proprio consenso e in cui il consenso non sia prestato separatamente, bensì contemporaneamente alla conferma della partecipazione a un gioco a premi. Lo stesso ragionamento vale per l’interpretazione degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58, in combinato disposto con l’articolo 4, punto 11, del regolamento 2016/679.

b)      La prima casella

94.      Sebbene le questioni del giudice del rinvio riguardino solo la seconda casella, vorrei formulare due osservazioni specifiche rispetto alla prima casella, che possono risultare d’ausilio al giudice del rinvio nell’elaborazione della decisione finale.

95.      Ricordo che la prima casella non riguarda i cookie, ma solo il trattamento dei dati personali. Qui l’utente non acconsente alla memorizzazione di informazioni nella propria apparecchiatura, bensì (meramente) ad essere contattato da un elenco di aziende per posta, telefono o posta elettronica.

96.      In primo luogo, i criteri relativi al consenso attivo e separato e alla piena informazione valgono ovviamente anche per quanto riguarda la prima casella. Il consenso attivo non sembra porre problemi, giacché la casella de qua non è preselezionata. Nutro invece qualche dubbio sul consenso separato. Sulla base della precedente analisi (49), con riguardo ai fatti della specie, sarebbe stato meglio se, parlando in senso figurato, vi fosse stato un pulsante separato da cliccare (50), piuttosto che una semplice casella da selezionare, al fine di prestare il consenso al trattamento dei dati personali.

97.      In secondo luogo, per quanto riguarda la prima casella relativa ai contatti da parte di sponsor e partner, si dovrebbe tener conto dell’articolo 7, paragrafo 4, del regolamento 2016/679. Ai sensi di tale norma, nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, inter alia, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione del contratto stesso. Ora, pertanto, l’articolo 7, paragrafo 4, del regolamento 2016/679, codifica un «divieto di pratiche di vendita aggregata» (51).

98.      Come risulta dall’espressione «si tiene nella massima considerazione», il divieto di pratiche di vendita aggregata non è assoluto (52).

99.      Orbene, spetterà al giudice competente valutare se il consenso al trattamento dei dati personali sia necessario ai fini della partecipazione al gioco a premi. A questo proposito occorre rammentare che l’obiettivo sotteso alla partecipazione al gioco a premi è la «vendita» di dati personali (vale a dire accettare di essere contattati dai cosiddetti «sponsor» per ricevere offerte promozionali). In altre parole, è la comunicazione di dati personali che costituisce il principale obbligo dell’utente al fine di partecipare al gioco a premi. In una tale situazione il trattamento di questi dati personali è, a mio avvisonecessario per la partecipazione al gioco a premi (53).

3.      Sui dati personali [prima questione, sub b)]

100. Vorrei ora esaminare se, ai fini dell’applicazione degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58, in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, la situazione differisca nel caso in cui le informazioni memorizzate o consultate consistano in dati personali.

101. La questione si comprende meglio se raffrontata con il contesto della legge tedesca di trasposizione dell’articolo 5, paragrafo 3, della direttiva 2002/58 (54). Infatti, detta legge stabilisce una differenza tra la raccolta e l’impiego di dati personali e di altro tipo.

102. Ai sensi dell’articolo 12, paragrafo 1, del TMG il fornitore di servizi può raccogliere e impiegare dati personali solo se, inter alia, l’utente vi abbia prestato consenso.

103. Per contro, a termini dell’articolo 15, paragrafo 3, del TMG, il fornitore di servizi può creare profili di utilizzo con l’impiego di pseudonimi, fra l’altro, a fini di pubblicità e ricerche di mercato, purché l’utente non eserciti il proprio diritto di opposizione. Pertanto, nella misura in cui non sono coinvolti dati personali, il requisito di diritto tedesco è meno rigoroso: non si tratta del consenso, ma soltanto della non opposizione.

104. La definizione giuridica di dato personale è contenuta nell’articolo 4, punto 1, del regolamento 2016/679, secondo cui per esso s’intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

105. Credo non sussistano dubbi quanto al fatto che, per quanto riguarda il caso in esame, le «informazioni» di cui all’articolo 5, paragrafo 3, della direttiva 2002/58 consistano in «dati personali». Anche il giudice del rinvio sembra condividere tale posizione; nella sua ordinanza di rinvio si afferma espressamente che la consultazione di dati derivanti dai cookie impiegati dalla resistente è soggetta al requisito del consenso di cui all’articolo 12, paragrafo 1, del TMG, in quanto essi costituiscono dati personali (55). Inoltre, sembra pacifico fra le parti del procedimento principale che, in questa sede, il discorso verta sui dati personali.

106. Ci si può pertanto interrogare circa la pertinenza di tale questione per il caso in esame e se la stessa non sia ipotetica (56).

107. Ad ogni modo, ritengo che la risposta a questa domanda sia molto semplice: la situazione non differisce nel caso in cui le informazioni memorizzate o consultate consistano in dati personali. L’articolo 5, paragrafo 3, della direttiva 2002/58 si riferisce a «l’archiviazione di informazioni oppure [al]l’accesso a informazioni già archiviate» (57). È chiaro che qualsiasi informazione di tal genere presenta un profilo attinente alla privacy, a prescindere dal fatto che costituisca o meno un «dato personale» ai sensi dell’articolo 4, punto 1, del regolamento 2016/679. Come correttamente sottolineato dalla Commissione, l’articolo 5, paragrafo 3, della direttiva 2002/58 è volto a proteggere l’utente da qualsiasi interferenza con la sua sfera privata, indipendentemente dal fatto che tale interferenza coinvolga dati personali o di altro tipo.

108. Tale interpretazione dell’articolo 5, paragrafo 3, della direttiva 2002/58 risulta inoltre avvalorata dai considerando 24 (58) e 25 (59) della medesima direttiva, nonché dai pareri del Gruppo di lavoro «Articolo 29». Infatti, secondo detto Gruppo di lavoro «[l]’articolo 5, paragrafo 3, si applica alle “informazioni” (archiviate o alle quali si accede), e non specifica il tipo di informazioni. Ai fini dell’applicazione di questa disposizione non è necessario che le informazioni siano dati personali ai sensi della direttiva 95/46/CE» (60).

109. Di conseguenza, sembra che l’articolo 15, paragrafo 3, del TMG non abbia integralmente trasposto nell’ordinamento tedesco i requisiti dettati dall’articolo 5, paragrafo 3, della direttiva 2002/58 (61).

110. Suggerisco, quindi, di rispondere alla prima questione, sub b), nel senso che, ai fini dell’applicazione degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58 in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, la situazione non differisce nel caso in cui le informazioni memorizzate o consultate consistano in dati personali.

C.      Seconda questione

111. Con la seconda questione il giudice del rinvio chiede quali informazioni debbano essere comunicate dal fornitore di servizi all’utente, affinché quest’ultimo sia informato, in termini chiari e completi ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58 e se in tali informazioni rientrino altresì la durata della funzione dei cookie e il fatto che terzi abbiano accesso ai cookie stessi.

1.      Sull’informazione chiara e completa

112. Gli articoli 10 e 11 della direttiva 95/46 (e gli articoli 13 e 14 del regolamento 2016/679) prevedono un obbligo di fornire informazioni agli interessati. L’obbligo di informare è legato al consenso, da intendersi nel senso che, perché possa esservi il consenso, deve esservi sempre prima l’informazione.

113. Data la contiguità concettuale di un utente (e di un fornitore) Internet a un consumatore (e a un professionista) (62), si può ricorrere, in questo contesto, alla nozione di consumatore europeo medio normalmente informato e ragionevolmente attento e avveduto (63) ed in grado di prendere la decisione di vincolarsi con piena cognizione di causa (64).

114. Tuttavia, a causa della complessità tecnica dei cookie, dell’asimmetria informativa tra fornitore e utente e, più in generale, della relativa mancanza di conoscenza da parte di qualsiasi utente medio di Internet, non ci si può attendere che l’utente medio di Internet possegga un elevato livello di conoscenza della funzione dei cookie.

115. Pertanto, l’informazione chiara e completa implica che un utente sia in grado di stabilire agevolmente le conseguenze di eventuali consensi prestati. A tal fine, l’utente stesso dev’essere in grado di valutare gli effetti delle proprie azioni. Le informazioni fornite devono essere chiaramente comprensibili e non soggette ad ambiguità o interpretazione e devono essere sufficientemente dettagliate, in modo da consentire all’utente di comprendere il funzionamento dei cookie effettivamente impiegati.

116. Come giustamente suggerito dal giudice del rinvio, ciò include sia la durata della funzione dei cookie sia il fatto che terzi abbiano accesso ai cookie stessi.

2.      Le informazioni sulla durata della funzione dei cookie

117. A norma dei considerando 23 e 26 della direttiva 2002/58, la durata della funzione dei cookie costituisce un elemento del requisito del consenso informato, nel senso che i fornitori di servizi dovrebbero «informare sempre i loro abbonati riguardo alla natura dei dati che stanno sottoponendo a trattamento, nonché agli scopi e alla durata del trattamento stesso». Anche se il cookie è essenziale, la questione della sua natura intrusiva dev’essere esaminata a fronte delle circostanze esistenti a fini del consenso. Oltre a chiedere quali dati contiene ogni cookie e se esso è collegato a qualunque altra informazione detenuta con riguardo all’utente, i fornitori di servizi devono prendere in considerazione la durata del cookie e se questa è adeguata alla luce dello scopo dei cookie stessi.

118. La durata della funzione dei cookie è connessa agli obblighi espliciti sul consenso informato in materia di qualità e accessibilità delle informazioni agli utenti. Tali informazioni sono fondamentali per consentire agli interessati di adottare decisioni informate prima del trattamento (65). Come sostenuto dai governi portoghese e italiano, poiché i dati raccolti dai cookie devono essere eliminati quando essi non sono più necessari per conseguire lo scopo originario, ne deriva che il periodo di memorizzazione dei dati raccolti dev’essere chiaramente comunicato all’utente.

3.      Informazioni sull’accesso di terzi

119. A tal proposito, la Planet 49 afferma che se taluni terzi accedono a un cookie, gli utenti devono esserne parimenti informati. Tuttavia, qualora, come nel caso in esame, abbia accesso al cookie solo un fornitore che intenda installarlo, sarebbe sufficiente richiamare l’attenzione su tale circostanza. Il fatto che altri terzi non abbiano accesso non dovrebbe essere evidenziato separatamente. Tale obbligo non sarebbe compatibile con la volontà del legislatore secondo cui le norme relative alla protezione dei dati devono restare concise e di agevole comprensione per l’utente.

120. Non posso condividere una simile interpretazione. Piuttosto, affinché l’informazione sia chiara e completa, un utente dev’essere esplicitamente informato quanto al fatto se i terzi abbiano accesso o meno all’installazione dei cookie. Qualora i terzi abbiano accesso, la loro identità dev’essere rivelata. Come giustamente sottolineato dal Bundesverband, ciò è indispensabile al fine di garantire che sia prestato un consenso informato.

4.      Esito

121. Propongo pertanto di rispondere alla seconda questione nel senso che le informazioni in termini chiari e completi che un fornitore di servizi deve comunicare a un utente ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58, ricomprendono altresì la durata della funzione dei cookie e il fatto che taluni terzi abbiano accesso o meno ai cookie stessi.

V.      Conclusione

122. Alla luce delle suesposte considerazioni, suggerisco alla Corte di rispondere alle questioni pregiudiziali sollevate dal Bundesgerichtshof (Corte federale di Giustizia, Germania) nei seguenti termini:

(1)      Non sussiste un consenso efficace a norma degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in una situazione come quella oggetto del procedimento principale in cui la memorizzazione di informazioni ovvero l’accesso a informazioni già memorizzate nell’apparecchiatura terminale di un utente siano consentiti tramite una casella di spunta preselezionata che l’utente deve deselezionare per negare il proprio consenso e in cui il consenso non sia prestato separatamente, bensì contemporaneamente alla conferma della partecipazione ad un gioco a premi.

(2)      Lo stesso ragionamento vale per l’interpretazione degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58, in combinato disposto con l’articolo 4, punto 11, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

(3)      Ai fini dell’applicazione degli articoli 5, paragrafo 3, e 2, lettera f), della direttiva 2002/58 in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46/CE, la situazione non differisce nel caso in cui le informazioni memorizzate o consultate consistano in dati personali.

(4)      Le informazioni in termini chiari e completi che un fornitore di servizi deve comunicare ad un utente ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58, ricomprendono altresì la durata della funzione dei cookie e il fatto che taluni terzi abbiano accesso o meno ai cookie stessi.

05.04.2019 Spataro



Dati Anonimi e identificabili - Corte Europea IV causa C‑604/22
Dati Anonimi e identificabili - Tribunale UE VIII causa T‑557/20,
Posta aziendale, una riflessione sulle nuove linee guida
ICO warns organisations to proactively make advertising cookies compliant after positive response to November call to action | ICO
Request for an EDPB opinion on “consent or pay” | Datatilsynet sui cookie walls
Cookies, Captcha e Google Analytics: la CNIL sanctionne Yahoo! d’une amende de 10 millions d’euros
Paiement électronique : la CNIL inflige une amende de 105 000 euros à NS CARDS FRANCE
Délibération SAN 2023 023 du 29 décembre 2023 su cookies, password, captcha e analitiche nei servizi di pagamento
Voluntary simplification of managment consent and cookies edpb
Bonnier: incrociamo i dati profilanti per interesse legittimo. Cookie Wall. Comunicato e testo in italiano.



Segui le novità in materia di Cookie su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.064