Libertà, specificità ed inequivocabilità del consenso: le nuove linee guida 5/2020 tra lo “scrolling” e i “cookie wall”

Condividi

Il Regolamento Generale per la Protezione di Dati personali (GDPR) vincola il trattamento dei dati personali ad una base giuridica. Non a caso, la prima base giuridica delineata dall’art. 6 GDPR è proprio il consenso inteso come manifestazione di volontà attraverso la quale l’utente esprime il proprio assenso al trattamento dei dati personali che lo riguardano.

avvocato elio errichiello cerca un avvocato preventivo avvocato napoli diritto amministrativo tar ricorsi privacy

Il GDPR stabilisce che i responsabili del trattamento dei dati debbano, prima di poter procedere a qualsiasi trattamento dei dati degli utenti, ottenere il loro preventivo consenso che, ai sensi dell’art. 4 (GDPR), dovrà essere: libero, specifico, informato ed inequivocabile. L’utente potrà acconsentire al trattamento specifico solo mediante una azione che dovrà essere positiva, chiara ed affermativa, non essendo configurabile il silenzio o l’inattività dell’utente alla stregua del consenso attivamente e liberamente prestato.

Nonostante la chiarezza delle disposizioni normative europee ed i molteplici interventi della Corte di Giustizia, numerosi sono stati i tentativi dei responsabili del trattamento di limitare la potestà decisionale degli utenti. Per tale motivo, il 4 maggio l’European Data Protection Board è intervenuta con le guide linea 5/2020 regolamentando in particolare due strumenti elusivi utilizzati per tali fini, quello dello “scrolling” e quello dei “cookie wall”.

Cosa sono i cookie?

I cookie sono dei piccoli file contenenti informazioni relative al sito visitato e al device utilizzato per la navigazione. Sono, ad esempio, ciò che ci permette di capire se un determinato sito è stato già visitato in precedenza (mediante la colorazione dello stesso in viola) oppure, sono ciò che permette al sito che stiamo visitando di avere inserzioni pubblicitarie riguardanti articoli che ci interessano. Questi possono essere raggruppati in tre macrocategorie:

  • i cookie tecnici, che permettono di migliorare la navigazione;
  • i cookie analitici, che permettono al gestore del sito di raccogliere dati statistici sulle visite, sulle pagine più lette, etc.;
  • i cookie di profilazione, che consentono l’invio di messaggi pubblicitari forgiati su misura per l’utente in base ad i suoi gusti ed alle sue preferenze.

Per la loro natura commerciale ed intrusiva, solo i cookie di profilazione richiedono l’espresso, libero ed attivo consenso dell’utente mentre, per i cookie tecnici ed analitici il consenso così prestato diviene necessario solo se di terze parti e non anonimizzati.

Inequivocabilità del consenso e scrolling

L’EDPB nelle recenti linee guida ha ribadito come il semplice “scorrimento” della pagina web, successivo all’apparizione del banner, del pop up, della finestra informativa sui cookie o la semplice “prosecuzione della navigazione” sulla pagina non possa ritenersi implicitamente quale prestazione di consenso. All’interno degli esempi 15 e 16 (punti 85 ed 86 delle linee guida) l’EDPB ha precisato e differenziato le circostanze che accompagnano la prestazione del consenso quali lo “scorrere la barra sullo schermo”, “spegnere la telecamera”, “girare lo smartphone in un determinato modo” dalle attività di mero “scrolling”. Mentre le prime se spiegate all’utente in modo chiaro ed inequivocabile quali attività che si prestano ad elargire consenso possono essere considerate legittime ottemperando il requisito di azione affermativa ove il responsabile del trattamento sia successivamente in grado di dimostrare che il consenso sia stato ottenuto in tali modi e ove l’utente sia in grado di recedere dal consenso con “la stessa semplicità con la quale sia stato dato”, le attività di mero “scrolling” non possono in nessun caso soddisfare il requisito di azione chiara ed affermativa richiesta dal GDPR non essendo esse in grado di “rendere ovvio che lo stesso abbia acconsentito al particolare trattamento”.

 

Cookie wall: una minaccia alla libertà e specificità del consenso

I cookie wall sono l’altro strumento elusivo alla disciplina del consenso adottato dai siti web. Consistono in dei veri e propri “muri” predisposti dal gestore del sito che impediscono all’utente il libero accesso al contenuto dello stesso. “Muri” che possono essere “abbattuti” solo mediante prestazione del consenso a tutti i cookie utilizzati dalla pagina. Rappresentano una species del più ampio genus dei cookie banner con cui gli utenti interagiscono quotidianamente ma – a differenza di questi ultimi – non lasciano la possibilità di selezionare o deselezionare particolari categorie di cookie venendo meno non solo l’interattività che permette all’utente di esprimere un consenso specifico ma la stessa libertà dell’utente di prestare o meno il consenso al trattamento per determinate categorie di cookie.

L’utente sarà messo di fronte ad una scelta, ad un “take or leave”, in quanto o presta il consenso a tutti i cookie predisposti dal sito o non potrà avere accesso allo stesso. Questa impossibilità di avere accesso al contenuto del sito, secondo il Comitato vizierà il consenso in quanto anche se predisposto con un’azione affermativa, non sarà considerato come liberamente prestato essendo stata la volontà del soggetto influenzata da fattori esterni (quali ad esempio la percezione della necessità di usufruire di quel determinato servizio).

Per questo motivo, affinché sia rispettata la base giuridica del consenso non basta configurare lo stesso come azione positiva predisposta da parte dell’utente ma bisogna assicurare che l’utente assuma quella scelta in modo libero e consapevole potendo interagire con il responsabile del trattamento selezionando le caselle e decidendo di non acconsentire a determinate categorie di cookie senza essere pregiudicato dall’impossibilità di avere accesso al contenuto del sito.

 

Come abbattere l’elusione: il consenso specifico

A fronte dell’intervento dell’EDPB, confermativo della giurisprudenza e della normativa europea, si configura una nuova era del consenso: il consenso specifico. Non basta quindi la predisposizione di un’azione positiva per essere pienamente consapevoli del consenso prestato, solo tramite la specificità si riuscirà a tutelare indirettamente anche gli altri requisiti di inequivocabilità e libertà: i gestori dei siti web dovranno offrire agli utenti la possibilità di scegliere autonomamente i cookie cui intendono affidare i propri dati personali senza vincolare gli stessi mediante limitazioni all’accesso al sito. Solo garantendo l’interazione con l’utente i siti internet rispetteranno la base giuridica del consenso predisposta dal GDPR pertanto, i responsabili che ad oggi prevedono modalità di raccolta difformi rispetto alle indicazioni delle linee guida, dovranno provvedere al più presto al loro debito adeguamento.

Livia Smoraldi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *