fbpx
Napoli e Omignano-Scalo
+39 081 19750217
commerciale@selefor.it

LA DISCIPLINA DEI COOKIE E LA LEGGENDA DEL LEGITTIMO INTERESSE

A cura di Giovanni Crea

Il provvedimento d’urgenza adottato dal Garante per la protezione dei dati personali lo scorso 7 luglio 2022 nei riguardi della piattaforma Tik Tok ha definitivamente chiarito l’inadeguatezza della base giuridica del legittimo interesse per i trattamenti di dati personali effettuati durante la navigazione in internet e individuati nella archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente”.

Questa fattispecie di trattamenti (archiviazione di dati o accesso a dati archiviati), svolti attraverso l’impiego di tecnologie denominate ‘marcatori’ (cookies), è assoggettata al quadro normativo ‘speciale’ rappresentato dalla direttiva c.d. e-privacy, segnatamente l’art. 5.3 e, in diritto interno, dall’art. 122, d.lgs. 196/2003.

Con riguardo ai profili applicativi, vale la pena richiamare le Linee guida del Garante relative all’utilizzo dei cookie e “altri strumenti di tracciamento” in cui l’autorità, riferendosi alla categoria più generale degli ‘identificatori’, oltre i cookies distingue gli identificatori passivi (es., fingerprinting) che consentono di effettuare trattamenti analoghi a quelli sopra tratteggiati.

Le basi giuridiche che legittimano i trattamenti effettuati attraverso i predetti strumenti vanno pertanto ricercate all’interno del quadro ‘speciale’ che, come è immediato verificare, non contempla il legittimo interesse ai sensi del Regolamento (UE) 2016/679 (Gdpr).

La lex specialis prevede il consenso dell’interessato, a meno che i trattamenti siano indispensabili per effettuare trasmissioni di comunicazioni (più precisamente, instradare informazioni su una rete di comunicazione elettronica) finalizzate alla gestione operativa del sito del provider o per la fornitura di un servizio richiesto dall’utente.

Il consenso, dunque, copre tutti i trattamenti le cui finalità sono diverse dalla gestione del sito o dalla prestazione di un servizio, compresi i trattamenti svolti ai fini dell’invio di pubblicità personalizzata.

Per completezza argomentativa, va anche precisato che la base giuridica rappresentata dalla “necessità di gestione operativa del sito” non è ascrivibile a un legittimo interesse nel senso del Gdpr per il semplice motivo che il quadro speciale non prevede, per i relativi trattamenti, alcun test di bilanciamento.

In chiusura, va peraltro osservato che l’istruttoria svolta dal Garante ha fatto emergere come, anche nell’ipotesi in cui le eccezioni al consenso previste dalla direttiva e-privacy fossero riconducibili alla base giuridica del legittimo interesse ai sensi dell’art. 6.1.f), gdpr, il provider ne abbia fatto un uso comunque 'disinvolto'.

  • In primo luogo, perché non ha fornito - se non in modo astratto e insufficiente - elementi concreti che potessero dimostrare l’esecuzione del test di bilanciamento (in particolare, seguendo le indicazioni fornite dalla Corte di giustizia UE nella sentenza Rīgas satiksme).
  • In secondo luogo, perché la scelta del fondamento giuridico è apparsa espressione di un criterio di convenienza piuttosto che un presupposto aderente alla realtà del trattamento, tenuto conto che in occasione di un precedente intervento del Garante la piattaforma aveva dichiarato l’applicazione del consenso per la somministrazione di pubblicità personalizzata ai maggiori di anni 16.

[1] Cfr. Gpdp, Provv. n. 248/2022, in Registro dei provvedimenti, https://garanteprivacy.it/ web/guest/home/docweb/-/docweb-display/docweb/9788429

[2] direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE, in GUCE, L 337, 18.12.2009, p. 13.

[3] Cfr. Gpdp, Provv. n. 231/2021, in Registro dei provvedimenti e G.U. n. 163 del 9 luglio 2021.

[4] Cfr. Corte di giustizia Ue, causa C‑13/16, Rīgas satiksme, in Raccolta generale, 4 maggio 2017.

Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!

Giovanni Crea

Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.

Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” presso Master Universitari e Corsi specialistici.