Articoli

Cookie & scrolling: arriva la fine dell’ idillio?

Il Comitato Europeo per la Protezione dei Dati ha fornito indicazioni specifiche volte a regolamentare il complesso rapporto tra il mondo dei cookie ed il relativo libero consenso degli utenti del web.

L’European Data Protection Board (EDPB) ha adottato il 4.5.2020 delle nuove linee guida in materia di consenso al trattamento di dati personali, evidenziando la necessità di fornire ulteriori chiarimenti in merito al tema dei cookie, in particolare dei c.d. “cookie wall” e del rapporto tra “scrolling” e acquisizione del consenso.

Con riferimento al primo punto, l’EDPB ha chiarito come risulti contrario ai principi del GDPR condizionare l’accesso al sito web al rilascio di apposito consenso da fornirsi mediante i c.d. “cookie wall”. Tali “muri” impedirebbero l’accesso al sito sino a quando l’interessato non accetti i cookie del caso o proceda, mediante le apposite impostazioni, alla scelta tra i cookie installati. In particolare, si otterrebbe un consenso non liberamente espresso qualora il titolare bloccasse la visibilità di tutti i contenuti della propria pagina web, rendendo agli utenti unicamente visibile la propria cookie policy e l’opzione “Accetta i cookie”, impedendo dunque di accedere al sito senza fornire tale accettazione.

Quanto al secondo tema di novità, rappresentato dal c.d. “scrolling”, l’EDPB ha chiarito come il consenso debba generalmente tradursi in una manifestazione inequivocabile di volontà da parte dell’interessato. Azioni come lo scrolling di una pagina web non soddisferanno in nessun caso, quindi, la necessità di un’azione chiaramente affermativa alla base del rilascio di un consenso. Inoltre, simili categorie di azioni potrebbero risultare difficilmente distinguibili da altre attività inerenti la navigazione e non connesse al trattamento dei dati personali, con estrema difficoltà per il titolare di ottenere un consenso univoco. In siffatte ipotesi, del resto, sarà difficile fornire all’utente la possibilità di revocare il consenso facilmente così come l’ha concesso.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso

Avv. Vincenzo Colarocco

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso. È quanto disposto dal Tribunale di Bari accogliendo il ricorso di un uomo che chiedeva venissero rimosse le foto sue e dei suoi figli dal profilo Facebook della propria ex compagna.

La pubblicazione di una foto è subordinata alla manifestazione, esplicita o implicita, del consenso da parte della persona ritratta. E tale condizione “è prevista sia dalle disposizioni normative a tutela del diritto all’immagine (art. 10 c.c. et art. 96 legge 633/1941) sia da quelle a tutela del diritto alla riservatezza (art. 6 Regolamento UE 2016/679) poiché l’altrui pubblicazione di una propria immagine fotografica costituisce in ogni caso (e a prescindere dall’applicabilità o meno della normativa di tutela di riferimento) una forma di trattamento di un dato personale”.

Irrilevante la differenza tra negazione e cessazione del consenso. Nel caso di specie, il consenso del ricorrente risulta espressamente negato, o, comunque, ne risulta comunicata la cessazione.

Il giudice ha disposto anche una misura di coercizione indiretta dell’adempimento dell’obbligo a norma dell’articolo 614-bis del c.p.c., condannando la donna a corrispondere una somma per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione.

Youtube ha violato la privacy dei minori: si va al patteggiamento

Avv. Vincenzo Colarocco

Già dallo scorso anno, alcune associazioni americane a tutela della privacy avevano accusato Google per avere trattato illecitamente i dati degli utenti della piattaforma Youtube. Non una categoria di interessati qualunque quella che sarebbe stata danneggiata dal colosso della Silicon Valley: si sarebbe trattato, infatti, degli utenti minorenni fruitori dei video e degli altri contenuti messi a disposizione dal provider. Ebbene è di questi giorni la notizia che le accuse perpetrate non sarebbero state infondate: Google ha infatti dato avvio al patteggiamento con la Federal Trade Commission, autorità che avrebbe effettivamente accertato l’intervenuta violazione della normativa sulla privacy dei bambini, il Children’s Online Privacy Protection Act. Google ha davvero raccolto i dati ed altre informazioni personali di minori sotto i 13 anni senza il consenso dei genitori. La cifra per il patteggiamento va dai 150 ai 200 milioni di dollari e se l’accordo sarà approvato si tratterà della maggiore sanzione erogata dall’authority in procedimenti riguardanti i bambini. Se, da un lato, la sanzione mostra come le autorità americane stiano intensificando gli sforzi per mettere fine alle violazioni della privacy da parte delle aziende della Silicon Valley (si pensi a Facebook), dall’altro, le indiscrezioni sul patteggiamento hanno lasciato insoddisfatte le associazioni che hanno denunciato YouTube, convinte che la cifra non sia adeguata e non possa funzionare da deterrente per il futuro, che piuttosto suggerirebbero una multa di almeno mezzo miliardo di dollari. Il patteggiamento – che potrebbe dare avvio ad una serie di altri casi analoghi di patteggiamento per siti o app in violazione – dovrebbe essere annunciato con la fine del mese di settembre 2019.

Fidelity card: senza il consenso è illecito inviare comunicazioni commerciali

Avv. Vincenzo Colarocco

Con una recente pronuncia del 20 giugno 2019, il Garante è tornato a ribadire l’illiceità del trattamento finalizzato all’invio di comunicazioni commerciali nei riguardi de possessori di carta fedeltà qualora il detto trattamento non trovi il proprio fondamento giuridico nel rilascio di un consenso libero e specificamente correlato alla descritta finalità.

Il caso di specie, che si sostanzia in accadimenti antecedenti all’applicazione del Regolamento UE 679/2016 (“GDPR”), prende le proprie mosse da alcune segnalazioni inviate all’Autorità Garante (delle quali, la prima datata 15 giugno 2017 e l’ultima 8 settembre 2017), con le quali un’interessata lamentava la ricezione di comunicazioni promozionali mediante posta elettronica da parte di Mediamarket s.p.a. (titolare del marchio “Mediaworld”, di seguito anche la “Società”), in assenza del necessario consenso e nonostante la reiterata opposizione manifestata dall’interessata medesimi ai sensi degli art. 7 ss. della versione previgente del Codice Privacy.

A seguito della conseguente istruttoria avviata dall’Autorità, emergeva principalmente che:

  1. i) i dati personali (e in particolare l’indirizzo di posta elettronica) relativi alla segnalante sarebbero stati raccolti in occasione della sottoscrizione, nel 2007 e nel 2009, da parte della stessa, di due carte fedeltà “Saturn” (brand riconducibile alla medesima Società e successivamente oggetto di un’operazione di re-branding a vantaggio del marchio “MediaWorld”);
  2. ii) la Società non aveva richiesto agli interessati, limitatamente al modulo a marchio “Saturn”, un consenso specifico per le finalità promozionali, bensì un unico consenso per tali finalità nonché per finalità diverse e riconducibili alla gestione contrattuale e paracontrattuale;

iii)       il sistema informativo della Società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di comunicazioni commerciali.

In forza delle descritte evidenze il Garante osservava che, in assenza dell’acquisizione di uno specifico consenso per le finalità di marketing, i dati raccolti dal titolare per l’erogazione di alcuni servizi venivano di fatto piegati alla diversa finalità di invio di messaggi promozionali; tanto in violazione, oltre che del principio del consenso libero e specifico di cui agli artt. 23 e 130 del Codice, anche dei principi di correttezza e finalità del trattamento dei dati personali, ribaditi all’art. 5, par. 1 e 2, del GDPR.

A conclusione del provvedimento in analisi. il Garante ammoniva la Società a non utilizzare più, per finalità di marketing, i dati personali degli interessati raccolti mediante i moduli relativi alla fidelity card contestata. In più, vietava alla Società di trattare, per la medesima finalità, dati personali di eventuali interessati per i quali non fosse stato rilasciato un comprovato consenso libero e specifico, ingiungendola, inoltre, ad implementare misure tecniche ed organizzative al fine di garantire una corretta gestione delle richieste di esercizio dei diritti da parte degli interessati (in particolare per quanto attiene al diritto di opposizione di cui all’art. 21 del GDPR).

Corte di Giustizia dell’Unione: Facebook e siti corresponsabili per il pulsante «mi piace»

Avv. Vincenzo Colarocco

Il 29 luglio 2019, la Corte di Giustizia dell’Unione Europea ha emesso una importante sentenza in materia di data protection.

Con tale pronuncia, la Corte ha stabilito che il gestore di un sito Internet che scelga di inserire il pulsante “Like” fornito dalla piattaforma Facebook per consentire all’utente di esprimere il proprio gradimento in relazione ai prodotti proposti, può essere ritenuto congiuntamente responsabile con il social network della raccolta e della trasmissione dei dati personali dei visitatori a tale piattaforma.

La Corte si è pronunciata sulla vicenda che ha coinvolto la Fashion ID, impresa tedesca di abbigliamento di moda online, e la Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori. L’associazione in questione ha rilevato come la Fashion ID avrebbe trasmesso a Facebook Ireland i dati personali dei visitatori del proprio sito web senza il loro consenso ed in violazione degli obblighi di informazione previsti dalle disposizioni sulla protezione dei dati personali.

La Verbraucherzentrale NRW ha quindi proposto dinanzi al Landgericht Düsseldorf (tribunale regionale di Düsseldorf, Germania) un’ingiunzione contro la Fashion ID per porre fine a tale pratica.

La questione è giunta fino alla Corte lussemburghese, stante la decisione del Tribunale regionale superiore di Düsseldorf di sospendere il procedimento e di sottoporre alla CGUE le seguenti questioni pregiudiziali:

  • se la legittimazione attiva[1] ad agire per far valere i diritti degli interessati coinvolti nel trattamento spetti anche alle associazioni di categoria, e dunque alla Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori che ha dato inizio alla vertenza;
  • in caso di soluzione negativa della prima questione, se possa considerarsi “titolare del trattamento” un soggetto che, inserendo nel proprio sito web un codice di programma che consente al browser dell’utente di trasmettere dati personali a terzi, non può avere alcuna influenza su tale trattamento di dati[2];
  • se, in simili ipotesi, possa essere preso in considerazione l’interesse all’inserimento di contenuti di terzi o nell’interesse di terzi;[3]
  • in tale scenario, quale sia il soggetto tenuto alla raccolta del consenso al trattamento dei dati, nonché obbligato a rendere l’informativa.[4]

Con riferimento alla prima questione sollevata, la Corte di Giustizia ha affermato che, gli artt. 22-24 e i par. 3 e 4 dell’art. 28 della direttiva 95/46 non ostano ad una normativa nazionale che consenta alle associazioni di consumatori di promuovere un’azione giudiziaria nei confronti del presunto autore della violazione della protezione dei dati personali. A fondamento di tale assunto viene posta una norma fondamentale del diritto dell’Unione, ossia l’art. 288, III comma del TFUE, il quale dispone che gli Stati membri sono tenuti, in sede di recepimento di una direttiva, a garantirne la piena efficacia disponendo, allo stesso tempo, di un ampio margine di discrezionalità quanto alla scelta delle modalità e dei mezzi per garantirne l’attuazione. Tale libertà lascia a ciascuno Stato membro la facoltà di adottare tutte le misure necessarie per garantire la piena efficacia della direttiva in questione, conformemente all’obiettivo che persegue. A tal proposito viene anche richiamato il decimo Considerando della direttiva 95/46, che stabilisce che il ravvicinamento delle legislazioni nazionali applicabili in questo settore non deve portare ad un indebolimento della protezione da esse fornita, ma deve, al contrario, mirare a garantire un elevato livello di protezione nell’Unione.

La linea sostenuta da Fashion ID e Facebook Ireland, quindi, non è accettata dalla Corte, la quale non ritiene che qualsiasi azione legale non espressamente prevista dalla direttiva sarebbe esclusa, ma che gli articoli 22, 23 e 28 della direttiva 95/46 lasciano agli Stati membri la facoltà di decidere in merito ai dettagli o di scegliere tra le opzioni, cosicché gli Stati membri hanno per molti aspetti un margine di manovra per il recepimento di detta direttiva.

Per quanto concerne, poi, la seconda questione pregiudiziale e come espressamente previsto dall’articolo 2, lettera d), della direttiva 95/46, la nozione di “titolare del trattamento” si riferisce all’organismo che, “da solo o insieme ad altri“, determina le finalità e gli strumenti del trattamento dei dati personali: non ci si riferisce necessariamente ad un unico organismo e può riguardare diversi soggetti coinvolti nel trattamento, ognuno dei quali è soggetto alle disposizioni applicabili in materia di protezione dei dati. Ciò detto, l’esistenza di una responsabilità congiunta non si traduce necessariamente in una responsabilità equivalente, per lo stesso trattamento dei dati personali, dei diversi attori. Al contrario, questi soggetti possono essere coinvolti in fasi diverse di questo trattamento e in misura diversa, cosicché il livello di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze pertinenti del caso. Ebbene, nel caso in esame, sembra che, nonostante l’impossibilità per Fashion ID di determinare le finalità e le modalità di successivi trattamenti di dati personali effettuati da Facebook Ireland dopo la loro trasmissione a quest’ultima, questa sia, invece, in grado di determinare il trasferimento del dato mediante l’apposizione del pulsante “mi piace” sulla pagina web dell’azienda Fashion ID, e tanto anche al fine di beneficiare della visibilità procurata dal social network.

L’ultima questione affrontata ha, come anticipato, a che vedere con l’individuazione del soggetto deputato alla raccolta del consenso per il trattamento dei dati, nonché obbligato a rendere l’informativa necessaria. Qualificato come “titolare del trattamento” il gestore di un sito web che inserisca in tale sito un “modulo social” che consente al browser del visitatore di tale sito web di richiedere contenuti al fornitore di tale modulo e di trasmettere a tale fornitore i dati personali di tale visitatore, questi assume gli obblighi imposti dalla direttiva per tale figura.

Ragion per cui, la raccolta del consenso e l’obbligo di rendere l’informativa inerente il trattamento dei dati gravano anche in capo a questo soggetto.

 

[1] Cfr. punto 42, n.1 della sentenza: “Se il regime previsto dagli artt. 22, 23 e 24 della direttiva [95/46] osti ad una normativa nazionale che, oltre ai poteri di intervento delle autorità preposte alla protezione dei dati e all’azione legale dell’interessato, conferisce, in caso di violazione, alle associazioni di pubblica utilità che difendono gli interessi dei consumatori il potere di agire contro l’autore di una violazione.”

[2] Cfr. punto 42, n.2 della sentenza: “Se, in un caso come quello di specie, in cui qualcuno inserisce nel suo sito web un codice di programma che consente al browser dell’utente di richiedere contenuti a terzi e di trasmettere a tal fine dati personali a terzi, la persona che rende l’inserimento “responsabile del trattamento” ai sensi dell’art. 2, lett. d), della direttiva [95/46], qualora non possa avere egli stesso alcuna influenza su tale trattamento di dati.”

[3] Cfr. punto 42, n.4 della sentenza: “In un contesto come quello del caso di specie, quale sia l'”interesse legittimo” da prendere in considerazione nella ponderazione da effettuare ai sensi dell’art. 7, lett. f), della direttiva [95/46]. È nell’interesse dell’inserimento di contenuti di terzi o nell’interesse di terzi?

[4] Cfr. punto 42, n.5 della sentenza: “In un contesto come quello del caso di specie, a chi deve essere dato il consenso di cui agli artt. 7, lett. a), e 2, lett. h), della direttiva [95/46]. Se l’obbligo di informare l’interessato ai sensi dell’art. 10 della direttiva [95/46] in una situazione come quella che si verifica nel caso di specie si applichi anche al gestore del sito che ha inserito il contenuto di un terzo ed è quindi all’origine del trattamento di dati personali da parte di un terzo”.

Violare la privacy dei minori costa caro: il caso dell’app TikTok

Avv. Vincenzo Colarocco

Il consenso dei minori al trattamento dei dati personali è una questione delicata, ed è stata recentemente oggetto di attenzione della Federal Trade Commission. Quest’ultimo -ente statunitense preposto alla tutela dei consumatori- ha sanzionato l’app musicale TikTok, che conta 500 milioni di utenti attivi mensili e di proprietà di Bytedance, per aver violato la privacy dei propri utenti minorenni. A riguardo, è stata comminata una sanzione da 5,7 milioni di dollari in ragione di una palese violazione del Children’s Online Privacy Protection Act, legge che negli USA regola la protezione della privacy dei minorenni in rete, e che vieta la raccolta e il trattamento di dati sensibili da soggetti minori di 18 anni senza che vi sia il consenso dei genitori o dei tutori legali.

Secondo una nota diffusa dalla Federal Trade Commissionl’operatore era a conoscenza del fatto che l’ applicazione fosse utilizzata da soggetti minorenni, eppure ha deliberatamente mancato di ottenere il consenso dei genitori prima di raccogliere nomi, indirizzi email e altri dati sensibili di utenti di età inferiore ai tredici anni“, inaugurando un precedente sanzionatorio nell’ambito della violazione della privacy di soggetti minori.

Invero, il testo normativo, il Children’s Online Privacy Protection Act, sulla base del quale è stata comminata la sanzione prevede che “an operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented”. Nonostante la chiarezza del testo di legge gli operatori di TikTok consentivano l’utilizzo dell’applicazione da parte di soggetti minori, che conferivano dati personali quali nome, cognome, indirizzo e-mail, immagine, numero di telefono e altre informazioni personali, senza che nell’utilizzo dell’applicazione fosse stato richiesto il preventivo consenso dei soggetti legittimati a fornirlo per loro conto, e quindi genitori o tutori legali. Ad attivare la procedura sanzionatoria da parte dell’ente americano competente in materia, sono state le migliaia segnalazioni ricevute da parte dei genitori dei soggetti interessati, le quali hanno dato origine ad un precedente importantissimo nell’ambito della violazione dei dati personali online di minori, e in relazione al quale, in ambito europeo, lo stesso GDPR, all’art. 8, ha dedicato un’attenzione particolare, disciplinando dettagliatamente il tema del consenso e le relative condizioni, avendo a riguardo i servizi della società dell’informazione.