Il Garante Finlandese ha pubblicato una decisione sui requisiti per il consenso dei cookie, contraddicendo una precedente decisione della sua “cugina”, l’Autorità delle Comunicazioni Finlandese. Il punto focale di entrambe le decisioni era se il consenso per l’uso di cookie non essenziali potesse essere fornito tramite le impostazioni del browser dell’utente di un sito Web.
La decisione del 14 maggio 2020 dell’Autorità per la protezione dei dati, (DPA) ha stabilito che istruire un utente, che visita un sito Web, su come gestire le impostazioni della privacy del browser e quindi come disattivare/attivare i cookie, non costituisce un consenso sufficientemente attivo ed esplicito ai sensi del Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). L’Autorità ha inoltre sottolineato che rifiutare i Cookie non essenziali deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie stessi. Come detto, questa decisione differisce dai pareri presentati nella decisione del 24 aprile 2020 dell’Agenzia finlandese per le Comunicazioni (Traficom).
L’interpretazione del Garante Privacy Finlandese è in linea con la sentenza della Corte di giustizia dell’Unione europea (CGUE) dell’ottobre 2019 sul consenso ai cookie, (sentenza C ‑ 673/17 (Planet49).
Nella sentenza, la CGUE ha dichiarato che il consenso deve essere fornito mediante una misura attiva e ha ritenuto che una casella di spunta pre-selezionata non indica tale misura attiva da parte di un singolo utente. Mentre nella sentenza “Planet49”, la CGUE non ha affrontato la questione di cosa significhi “consenso dato liberamente” nel contesto dei cookie, Il Garante ha ora chiarito che in Finlandia tale consenso non può essere ottenuto tramite le impostazioni del browser.
Il Garante Privacy finlandese ha intimato una società, in qualità di Titolare del trattamento dei dati, di modificare il modo in cui richiede il consenso dell’utente di un sito Web per l’uso di cookie non essenziali, dopo che un individuo ha presentato un reclamo in cui affermava di non avere l’opportunità di rifiutare l’uso di cookie su il sito web dell’azienda. La società ha utilizzato i cookie sul proprio sito Web per raccogliere dati per sé e per terze parti, ad esempio sull’uso del servizio e sugli indirizzi IP allo scopo di personalizzare i servizi e il marketing mirato.
Un “banner cookie“, come quello della maggioranza dei siti italiani, informava che, continuando la navigazione gli scenari sarebbero stati sostanzialmente 2:
1) l’utente accettava i cookie
2) l’utente poteva rifiutare i cookie configurando opportunamente le impostazioni del proprio browser.
Il DPA Finlandese ha dichiarato che tale consenso non soddisfa i requisiti del GDPR e che l’inattività relativa alle impostazioni del browser, vale a dire il rifiuto dei cookie nelle impostazioni del browser, non costituisce un consenso valido. Tuttavia, il DPA non ha emesso sanzioni monetarie per il Titolare del trattamento dei dati, facendo riferimento allo status giuridico ambiguo della domanda dopo l’inizio dell’applicazione del GDPR.
L’interpretazione del DPA segue le linee guida aggiornate sul consenso dell’European Data Protection Board , che sottolineano l’indicazione attiva della scelta in un consenso valido e menziona che le impostazioni del browser dovrebbero essere sviluppate in linea con le condizioni per un consenso valido nel GDPR, sottolineando che un consenso deve essere granulare per ciascuno degli scopi previsti.
Questo sviluppo segna la fine delle precedenti pratiche di consenso dei cookie finlandesi, secondo le quali un consenso per i cookie potrebbe essere dato attraverso le impostazioni del browser. Attualmente, la direttiva sulla e-privacy del 2002 richiede che una persona tracciata debba “aver dato il proprio consenso” all’uso dei cookie e una disposizione analoga è inclusa nella legge finlandese sui servizi di comunicazione elettronica (917/2014, come modificata ).
Il prossimo regolamento UE sulla e-privacy, che sostituirà l’attuale direttiva sulla e-privacy, dovrebbe specificare ulteriormente i requisiti di consenso per i cookie e unificare le pratiche negli Stati membri dell’UE. Tuttavia, non è stato ancora raggiunto un accordo sul testo finale del regolamento e-privacy, con le discussioni più recenti che si svolgono in seno al gruppo di lavoro del Consiglio dell’UE.
In assenza di ulteriori leggi in materia, la decisione del DPA finlandese rimane la fonte chiave di interpretazione in merito a un consenso valido per l’uso di cookie non essenziali in Finlandia e può essere sintetizzata come segue:
- Il consenso dei cookie deve soddisfare i requisiti GDPR, compreso il consenso che deve essereun’indicazione liberamente fornita, specifica, informata e inequivocabile dei desideri dell’interessato attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
- Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
- Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
- Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.
E Tu come sei messo con il tuo Sito web? Sei conforme?
Nella sezione Cookie del nostro sito trovi tutte le informazioni per approfondire l’argomento e utilizzare una soluzione compliant, economica e sempre aggiornata. Evita le sanzioni e dai valore al Tuo brand dimostrando la conformità alle norme che regolano i trattamenti dei dati personali!