Cookie, il legittimo interesse non basta, serve il consenso dell’utente
Il provvedimento del Garante per la protezione dei dati personali 10 Giugno 2021, n.231 chiarisce finalmente un punto che è stato al centro di un acceso dibattito: il legittimo interesse è sufficiente per autorizzare il download dei cookie sui dispositivi degli utenti anche senza il loro consenso? Finalmente si ha una risposta e la risposta è no: il Garante ha chiarito in maniera esplicita che i banner informativi sui cookie di profilazione non possono contenere riferimenti alla base giuridica del legittimo interesse tralasciando la richiesta di espressione del consenso.
Cookie: step by step
Andiamo con ordine. Quando un utente si collega ad un sito web, vede comparire (nella quasi totalità dei casi, ormai) un banner che informa che l’editore del sito o terzi scaricheranno sul dispositivo dell’utente una serie di cookie: alcuni cookie sono tecnici, non eseguono profilazioni e servono al funzionamento stesso del sito.
Altri cookie hanno invece funzionalità di profilazione dell’utente, individuano i dispositivi in uso e raccolgono informazioni sull’utente e sulle azioni che questo compie sul sito. Lo scopo di tali cookie è quello di eseguire attività di marketing mirato. Il fulcro del problema quindi è che da una parte c’è chi sostiene che l’utente debba essere consapevole di tali attività di profilazione e debba quindi esprimere un consenso che autorizzi o neghi l’uso di tali cookie, dall’altra c’è chi afferma che il legittimo interesse al trattamento dei dati sia superiore alla privacy dell’utente.
Il considerato 47 del GDPR tratta il punto in maniera ambigua e vaga, difficilmente applicabile al caso concreto: specifica che il marketing diretto “può” essere un legittimo interesse e quindi esercitabile anche senza consenso. Ma i cookie di profilazione per finalità di marketing rientrano in questa casistica? Nel dubbio, moltissimi editori e gestori di siti web hanno inserito nei propri banner cookie i riferimenti al proprio legittimo interesse, procedendo al download automatico di cookie di profilazione sui dispositivi dell’utente anche senza l’espressione di un consenso.
Il provvedimento del Garante chiarisce il punto: per i cookie non è sufficiente il legittimo interesse
Il provvedimento del Garante indica che cookie e, in generale, qualsiasi strumento di tracciamento per finalità diverse da quelle meramente tecniche possono essere usati solo e soltanto dopo aver acquisito regolare consenso (quindi esplicito e informato) da parte dell’utente.
Insomma, la disciplina speciale applicabile ai cookie non contempla basi giuridiche ulteriori che rendano legittimo il trattamento senza consenso e quindi non sono applicabili deroghe. Il legittimo interesse del titolare non giustifica il ricorso a cookie e altri strumenti di tracciamento.
Per saperne di più > Profilazione e legittimo interesse: quale equilibrio?