Il Commissario per la protezione dei dati personali del Canada, con una decisione del 16 aprile 2003, ha chiarito le modalità d’impiego dei cookies da parte dei siti Internet.
Oltre a ricordare ai gestori dei siti l’obbligo di rendere pubblica la propria politica relativa alla raccolta dei dati personali, il Garante ha precisato che l’internauta che rifiuta i cookies deve comunque poter accedere alla pagine del sito.
Nel caso specifico, il Commissario è stato chiamato a pronunciarsi, in seguito alla denuncia presentata da un cittadino contro una compagnia aerea, per due motivi:
perché gli era stato rifiutato l’accesso al sito, in quanto il suo browser era configurato in modo da disattivare i cookies e perché la compagnia raccoglieva informazioni personali sui visitatori del sito, a loro insaputa e senza averne ottenuto il preventivo consenso.
Quando un cliente visitava il sito della compagnia aerea per la prima volta, sul suo schermo appariva una pagina iniziale, nella quale gli veniva richiesto di indicare la propria preferenza linguistica e il paese in cui risiedeva.
Dopo aver effettuato la propria scelta, il visitatore accedeva al sito. Se però l’internauta decideva di disattivare il cookie, si trovava immediatamente nell’impossibilità di accedere alla homepage.
Il Commissario per la protezione dei dati personali ha applicato al caso sottoposto al suo esame il principio 4.3.3 della legge canadese sulla protezione dei dati personali e sui documenti elettronici, il quale stabilisce che “ogni cittadino deve essere informato della raccolta, dell’utilizzo o della comunicazione dei dati personali che lo riguardano e consentirli”.