Corte di giustizia dell’Unione europea, 1 ottobre 2019, C-673/17, Planet49
Il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione di cookie sul suo dispositivo non può ritenersi validamente espresso nell’ipotesi in cui compaia una casella di spunta preselezionata. Questi dovrebbe infatti deselezionare tale casella al fine di negare il proprio assenso all’archiviazione o all’accesso di informazioni presenti nel suo terminale. La Corte di giustizia interpreta invero il diritto dell’Unione nel senso, da una parte, di una maggiore responsabilizzazione dei soggetti attivi del trattamento e, dall’altra, mirando all’innalzamento del livello di consapevolezza dell’utenza sull’uso dei propri dati. Non rileva, al riguardo, il fatto che le predette informazioni costituiscano o meno dati personali. Obiettivo della normativa europea (direttiva 95/46/CE, regolamento (UE) 679/2016, direttiva 2002/58/CE) è infatti quello di tutelare l’utente da qualsiasi ingerenza nella sua vita privata ed, in particolare, dal rischio di inconsapevoli introduzioni nell’apparecchiatura terminale. Pertanto, il fatto che un utente di una pagina web attivi il pulsante di partecipazione ad un gioco a premi non è sufficiente per ritenere che questi abbia validamente espresso il proprio consenso all’installazione di cookie.
Sommario: 1. Fatto e vicenda processuale. – 2. Premessa sulla normativa applicabile. – 3. Sulla validità del consenso dell’utente nell’ipotesi di casella preselezionata. – 4. Le altre questioni sollevate: cookie, dati personali e leale trattamento dei dati dell’utente. Cenni conclusivi
- Fatto e vicenda processuale
Le questioni pregiudiziali sottoposte all’esame della Corte di giustizia traggono origine da una controversia tra due Federazioni di consumatori tedesche (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband) e la Planet49 GmbH, una società che propone giochi on-line. Le prime si dolevano quindi del fatto che gli utenti di Internet che intendevano partecipare ad un gioco organizzato dalla predetta società si ritrovavano indirizzati ad una pagina web ove comparivano due didascalie accompagnate da caselle di spunta, da selezionare o deselezionare per usufruire di tale servizio. Più nel dettaglio, la prima casella, non preselezionata, richiedeva loro di acconsentire ad essere contattati da una serie di aziende per ricevere offerte promozionali di natura commerciale. La seconda casella, invece, già preselezionata, richiedeva agli utenti di acconsentire all’installazione di cookie, anche per finalità commerciali e di profilazione. Le federazioni contestavano quindi l’aderenza delle suddette dichiarazioni di consenso ai requisiti previsti dalla normativa tedesca e chiedevano pertanto al Tribunale del Land, Francoforte sul Meno (Landgericht Frankfurt am Main) di far cessare – con apposito provvedimento di inibitoria – le richieste della società organizzatrice del gioco, oltre alla condanna al risarcimento del danno. Il ricorso veniva quindi parzialmente accolto in primo grado. Tuttavia, la società Planet49 appellava tale decisione dinanzi al Tribunale superiore del Land (Oberlandesgericht Frankfurt am Main) il quale riteneva infondate le domande delle federazioni in quanto, da un lato, sarebbe comunque stato possibile all’utente deselezionare la seconda casella e, dall’altro, quest’ultima sarebbe risultata sufficientemente chiara – da un punto di vista tipografico – e completa nel fornire informazioni sulle modalità di utilizzo dei cookie. Da ultimo, quindi, con riguardo alla vicenda processuale, la Corte federale di giustizia (Bundesgerichtshof), adita con ricorso per cassazione (revision) dalle federazioni, si interrogava sulla validità dell’ottenimento del consenso prestato dagli utenti del sito Internet mediante una casella di spunta preselezionata rispetto alla normativa europea (su questa vedi infra). Sospendeva pertanto il procedimento interrogando sul punto, mediante rinvio pregiudiziale ex art. 267 TFUE, la Corte di giustizia.
- Premessa sulla normativa applicabile
Prima di analizzare le principali questioni giuridiche affrontate dal giudice europeo è quindi opportuno soffermarsi brevemente sul quadro normativo di riferimento. Per rispondere alle questioni sollevate dal giudice del rinvio, la Corte ha ritenuto applicabili sia le norme della direttiva 95/46/CE – relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – che quelle del successivo regolamento (UE) 2016/679, più noto come General Data Protection Regulation (di seguito GDPR[1]). Si noti invero, al riguardo, che il GDPR, il quale ha abrogato la direttiva 95/46/CE, è entrato in vigore il 25 maggio 2018 e, quindi, successivamente sia alla data dell’ultima udienza tenutasi davanti al giudice del rinvio che a quella in cui la questione pregiudiziale è stata sollevata. Tuttavia, la Corte ha osservato, in linea con quanto rilevato in udienza dal governo tedesco, che il GDPR potrebbe risultare applicabile ratione temporis anche nell’ambito del procedimento principale, in quanto l’azione fatta valere dalle Federazioni intende non solo censurare la condotta di Plant49 rispetto a fatti pregressi, bensì anche farla cessare pro futuro. Il giudice di Lussemburgo ha pertanto ritenuto di dover prendere in considerazione entrambe le fonti normative citate.
- Sulla validità del consenso dell’utente nell’ipotesi di casella preselezionata
Ciò premesso, la prima questione sollevata dalla Corte federale di giustizia riguarda la validità del consenso espresso dall’utente in situazioni analoghe a quelle del caso da cui è scaturito il contenzioso tra le Federazioni e la società Planet49. Trattasi invero della particolare ipotesi in cui l’archiviazione di informazioni o l’accesso a informazioni già archiviate, mediante cookie, nell’apparecchiatura terminale di un utente di un sito Internet, siano autorizzati mediante una casella preselezionata, che l’utente deve deselezionare per negare il proprio consenso. Il dibattito delle parti si è quindi incentrato sugli effetti che la selezione o de-selezione di una casella, contenente una spunta già preselezionata, può produrre in capo al fruitore del servizio Internet. Si tratta di un dibattito che ruota intorno all’attività o passività della manifestazione del consenso dell’utente al trattamento dei dati personali[2]. Invero, i requisiti da soddisfare affinché questo fosse ritenuto valido erano stati, per diverso tempo, circondati da un alone di incertezza[3]. Proprio per questo, il GDPR si è prefissato, quale obiettivo cardine, quello di garantire “un elevato livello di protezione dei dati personali”[4], ponendo un freno alla frammentazione normativa[5] in materia prodotta dalla diversa attuazione, nei vari Stati membri, della precedente direttiva 95/46/CE[6]. Per raggiungere tale scopo, il regolamento (UE) 2016/679 ha quindi perseguito due direttrici fondamentali: la prima, volta ad una maggiore responsabilizzazione dei soggetti attivi del trattamento; la seconda, consistente nel fornire agli interessati degli strumenti atti ad innalzare il livello di consapevolezza sull’uso dei propri dati. Ne è quindi disceso – come osservato da attenta dottrina[7] – che entrambe le linee d’azione, se complessivamente considerate, hanno avuto, quale effetto, quello di innalzare il livello di controllo sui dati, come già auspicato dal Garante europeo della protezione dei dati[8]. Coerentemente con quanto sin d’ora affermato, il GDPR prevede quindi, all’art. 4, n. 11, che «il consenso dell’interessato sia qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’utente con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento». Pertanto, alla luce di tale normativa, ai fini della validità del consenso richiesto all’interessato, è senz’altro necessario che questo si sostanzi in un comportamento attivo, manifestato con piena cognizione di causa da parte dell’utente[9]. Corollario di quanto affermato è che non può configurare consenso il silenzio, l’inattività dell’utente o, ancora, la preselezione di caselle. Tale interpretazione è altresì avvalorata anche dal tenore letterale di altre disposizioni ritenute dalla Corte applicabili. In primis, la Corte osserva che il concetto di consenso contenuto nella direttiva 2002/58/CE – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche – deve essere equiparato a quello definito dall’art. 2, lett. h) della direttiva 95/46/CE, in quanto espressamente richiamata[10]. Questa disposizione normativa definisce quindi il consenso della persona interessata come «qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati che la riguardano siano oggetto di un trattamento». Il giudice di Lussemburgo interpreta quindi tale dato normativo facendo proprie le osservazioni formulate dall’Avvocato Generale nelle sue conclusioni. In particolare, secondo quest’ultimo: «l’articolo 2, lettera h), della direttiva 95/46 fa riferimento a una manifestazione della volontà della persona interessata, con cui evidentemente si indica un comportamento attivo, piuttosto che uno passivo»[11]. La Corte afferma quindi, sulla scorta di tale esegesi normativa, che il consenso espresso mediante una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito Internet. Invero, risulterebbe praticamente impossibile determinare in modo oggettivo se, non deselezionando una casella preselezionata, egli abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale manifestazione di volontà sia o meno informata. Non si potrebbe invero escludere aprioristicamente che l’utente non abbia letto l’informazione che accompagna la casella preselezionata o che questi non abbia comunque visto tale casella, prima di continuare la propria navigazione. Pertanto, alla luce delle norme europee richiamate e della loro interpretazione, la Corte risponde all’interrogativo sollevato dal giudice del rinvio tedesco ritenendo che il consenso non può ritenersi validamente espresso nell’ipotesi di cui al procedimento principale. Ovvero quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata (c.d. opt-out) che l’utente deve deselezionare al fine di negare il proprio consenso.
- Le altre questioni sollevate: cookie, dati personali e leale trattamento dei dati dell’utente. Cenni conclusivi
Il giudice del rinvio poneva inoltre alla Corte un ulteriore quesito interpretativo relativo alle norme già richiamate. Questo verte sulla possibilità di interpretarle diversamente a seconda che le informazioni archiviate o consultate nel terminale di un utente di un sito costituiscano o meno dati personali. Sul punto, il Giudice di Lussemburgo osserva che l’art. 5, par. 3, della direttiva 2002/58/CE, nel riferirsi alle suddette informazioni, non ne fornisce una qualificazione, né precisa se queste debbano o meno essere dati personali. Tuttavia, il considerando 24 di tale direttiva sembra chiarire meglio tale questione, in quanto afferma che qualsiasi informazione archiviata nell’apparecchiatura dell’utente fa parte della sua sfera privata e deve essere tutelata ai sensi della CEDU. Il riferimento è, in particolare, all’art. 8 in materia di diritto alla protezione dei dati di carattere personale[12]. Pertanto, sulla scorta di tale ricostruzione, la Corte aderisce alle conclusioni dell’Avvocato Generale, secondo cui l’art. 5, par. 3, della direttiva 2002/58/CE sarebbe volto a proteggere l’utente da qualsiasi interferenza con la sua sfera privata, indipendentemente dal fatto che tale interferenza coinvolga dati personali o di altro tipo[13]. Ne discende dunque che la normativa citata non deve essere interpretata diversamente a seconda che le informazioni archiviate o consultate nell’apparecchiatura terminale dell’utente di un sito Internet costituiscano o meno dati personali.
Da ultimo, la Corte federale di giustizia tedesca poneva al giudice europeo una seconda questione, su cui la pronuncia in commento si sofferma brevemente. Questa riguarda il fatto che l’art. 5, par. 3, della direttiva 2002/58 debba essere interpretato nel senso che tra le informazioni che il fornitore di servizi deve comunicare all’utente rientri il periodo di attività dei cookie, nonché la possibilità per i terzi di avere accesso a questi. Tale norma richiama l’art. 10 della direttiva 95/46/CE, in forza della quale vengono elencate una serie di informazioni non esaustive – ciò si deduce dalla presenza del nella norma del termine “almeno” – da fornire all’utente affinché si possa considerare effettuato, da parte del responsabile, un leale trattamento dei dati della persona interessata. Secondo la Corte, quindi, benché la durata del trattamento dei cookie non compia tra tali informazioni normativamente previste, questa deve comunque essere oggetto di comunicazione ai fini del leale trattamento dei dati. Invero, in una situazione come quella di cui trattasi nel procedimento principale, un prolungato periodo di attività – peraltro potenzialmente illimitato – implica la raccolta di numerose informazioni sulle abitudini di navigazione, nonché sulla frequenza delle eventuali visite dell’utente ai siti dei partner pubblicitari dell’organizzatore del gioco a premi. La suddetta interpretazione è altresì corroborata – rileva il giudice di Lussemburgo – anche dall’art. 13, par. 2, lett. a), del GDPR, secondo il quale il titolare del trattamento deve fornire all’interessato, al fine di garantire un trattamento corretto e trasparente, informazioni relative, in particolare, al periodo di conservazione dei dati personali oppure, se ciò non è possibile, ai criteri utilizzati per determinare tale periodo. Pertanto, alla luce di tale analisi normativa, la Corte afferma che il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a questi rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente di un sito Internet.
In conclusione, sembra quindi potersi affermare che le descritte conclusioni cui è giunto il giudice europeo non costituiscano un approdo giurisprudenziale imprevedibile[14]. La decisione in esame va infatti letta – ad avviso dello scrivente – alla luce soprattutto del tenore normativo del GDPR[15]. Tale regolamento riafferma peraltro, in chiave più rigorosa, principi già contenuti nella Direttiva sulla protezione dei dati e, peraltro, da lungo tempo sostenuti dalle Autorità nazionali[16]. Si pensi, ad esempio, al menzionato art. 4, n. 11, ai sensi del quale il consenso dell’interessato consiste in un’azione positiva inequivocabile. Orbene: in forza di un così chiaro dettato normativo pare difficilmente contestabile il principio enunciato della Corte in merito alla non validità della pratica, piuttosto diffusa, posta in essere dai gestori dei siti Internet, di richiedere il consenso degli utenti all’installazione dei cookie mediante caselle di spunta già preselezionate. Un comportamento di questo tipo da parte dell’utente non può infatti certamente essere ricondotto a una manifestazione di consenso attiva ed indiscutibilmente consapevole. Nondimeno, le affermazioni del Giudice di Lussemburgo sembrano comunque potersi apprezzare in quanto atte a sensibilizzare ulteriormente i gestori dei siti che intendono utilizzare i cookie sulla necessità di tutelare pienamente la riservatezza degli utenti interessati, onde non incorrere in sanzioni.
[1] Si noti che, in Italia, al pari di quanto avvenuto in altri Stati europei, al fine adeguare la normativa nazionale al regolamento, il legislatore è intervenuto. In data 4 settembre 2018 è stato infatti pubblicato in Gazzetta Ufficiale il d.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”. Tale decreto è entrato in vigore il 19 settembre 2018. Sul tema, si rimanda quindi a: G. Finocchiaro, La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d. lgs. 10 agosto 2018, n. 101, Bologna 2019.
[2] Cfr. S. El Sabi, La Corte di Giustizia vieta le caselle di spunta preselezionate per il consenso all’uso dei cookie, in giustiziacivile.com, 2, 2020, 5. Sul tema delle diverse tipologie di consenso necessarie al fine del trattamento dei dati personali dell’utente si rimanda altresì a: F. Caggia, Il consenso al trattamento dei dati personali nel diritto europeo, in Rivista del diritto commerciale e del diritto generale delle obbligazioni, 3, 2019, 405 ss. e a S. Thobani, La libertà di consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità, in Europa e Diritto Privato, 2, 2016, 513 ss. Secondo tale Autrice, in particolare: «talune modalità tecnologiche usate per richiedere il consenso, anche se non aggressive o pressanti, rischiano in ogni caso di impedire una scelta consapevole e prestata su un piano di parità rispetto al fornitore dei servizi». Da ultimo vedasi, al riguardo, lo storico contributo di S. Rodotà, Protezione dei dati e circolazione delle informazioni, in Rivista critica del diritto privato, 1984, 721 ss.
[3] In questo senso argomenta L. Tosoni, Cookie: l’impatto della sentenza della Corte UE che bandisce le caselle di spunta preselezionate, in agendadigitale.eu, 3 ottobre 2019.
[4] Dispone invero il considerando 6 del regolamento che: «la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali».
[5] Proprio alla luce di tale frammentarietà la Corte di giustizia ha affermato, con sentenza del 19 ottobre 2016, causa C-582/14, §§ 56-57 che: «ai sensi dell’articolo 7, lettera f), della Direttiva sulla tutela dei dati personali, il trattamento di dati personali è legittimo se “è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell’articolo 1, paragrafo 1” di tale direttiva. È importante ricordare che la Corte ha dichiarato che l’articolo 7 della suddetta direttiva prevede un elenco esaustivo e tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito, e che gli Stati membri non possono né aggiungere nuovi principi relativi alla legittimazione del trattamento dei dati personali del suddetto articolo né prevedere requisiti supplementari che vengano a modificare la portata di uno dei sei principi previsti da detto articolo».
[6] Dispone invero il considerando 9 del regolamento che: «sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE».
[7] Cfr. A. M. Gambino – C. Bomprezzi, Blockchain e protezione dei dati personali, in il Diritto dell’informazione e dell’informatica, 3, 2019, 619 ss.
[8] Si v. European Data Protection Supervisor (EDPS), Opinion 7/2015, Meeting the Challenges of Big Data: A Call for Transparency, User Control, Data Protection by Design and Accountability, in edps.europa.eu, secondo cui (p. 2) «in order to answer the challenges of big data we need to allow innovation and protect fundamental rights at the same time. It is now up to companies and other organisations that invest a lot of effort into finding innovative ways to make use of personal data to use the same innovative mind-set when implementing data protection law».
[9] In particolare, il considerando 32 del regolamento afferma che: «Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso».
[10] In particolare, secondo il considerando 17 della direttiva 2002/58/CE: «ai fini della presente direttiva il consenso dell’utente o dell’abbonato, senza considerare se quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva 95/46/CE. Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel caso di un sito internet».
[11] Conclusioni dell’Avvocato Generale Maciej Szpunar, 21 marzo 2019, C-673/17, § 60.
[12] Con riguardo ai principi, alle norme, al contesto e al quadro del diritto europeo in materia di protezione dei dati personali si rinvia al Manuale sul diritto europeo in materia di protezione dei dati, edizione 2018, redatto da Agenzia dell’Unione europea per i diritti fondamentali e Consiglio d’Europa, disponibile all’indirizzo web echr.coe.int.
[13] Conclusioni dell’Avvocato Generale Maciej Szpunar, 21 marzo 2019, cit., § 107.
[14] Argomentano in questo senso: C. Ritzer – N. Filkina – L. White, No surprises in the recent Planet49 European Court of Justice judgment, 9 ottobre 2019, disponibile all’indirizzo web dataprotectionreport.com.
[15] Si veda, al riguardo, secondo cui: M. Forti, Le piattaforme online alla prova del Regolamento (UE) 2016/679. Quali tutele per la condivisione dei dati nell’economia collaborativa?, in questa Rivista, 2, 2019, 174: «una tematica di vitale importanza è l’effettività del consenso prestato dall’interessato alla raccolta delle informazioni che lo riguardano; il Regolamento (UE) 2016/679 dovrà impedire la prassi che vedeva le piattaforme processare specifici dati senza che l’interessato ne avesse alcuna contezza».
[16] Da ultimo si veda il caso dell’Agencia Espanola de Proteccion de Datos, che con resolucion R/00499/2019 del 10 ottobre 2019 ha sanzionato la compagnia aerea Vueling Airlines S.L. con una multa di 30.000 euro per non aver ottenuto dagli utenti del proprio sito un consenso realmente informato sull’uso dei cookie e non aver fornito la possibilità di rifiutarli ed accettarli introducendo soluzioni innovative per il cookie setting dei siti Internet. In particolare, l’utente lamentava l’impossibilità sia di rifiutare l’utilizzo di cookie sia di selezionare attivamente il proprio consenso, ritenuto accordato con la semplice prosecuzione della navigazione sul sito. Al riguardo, il Garante della privacy spagnolo ha quindi effettivamente accertato che la modalità di acquisizione del consenso da parte della Vueling Airlines non fossero conformi a quanto prescritto dall’art. 22.2 della LSSI, la legge spagnola sui servizi della società dell’informazione e del commercio elettronico, e che il trasferimento dei dati a terzi, tramite i cookie, avveniva attraverso il consenso implicito dell’utente. In nessun momento veniva infatti offerto a questi la possibilità concreta di opporsi all’installazione di questi cookie o di altri cookie non strettamente necessari al funzionamento del sito (come quelli finalizzati alla profilazione dell’utente) sul proprio dispositivo. Cfr. C. Agostini, Il Garante privacy spagnolo ha sanzionato la compagnia aerea Vueling per non aver fornito agli utenti la possibilità di opporsi e di gestire l’utilizzo dei cookie presenti sul proprio sito web, 21 ottobre 2019, disponibile all’indirizzo web replegal.it.