Consenso e cookie, nuove linee guida europee EDPB: cosa cambia

Il 4 maggio l’EDPB ha emanato delle nuove linee guida in materia di consenso le cui principali novità riguardano i cookie.

Le due principali novità con le linee guida sul consenso in Europa: cookie

In generale le linee guida differiscono rispetto alle precedenti (adottate il 28 novembre 2017 e già modificate il 10 aprile 2018) più che altro per aspetti formali.

Fanno eccezione due importanti modifiche, resesi necessarie per fare fronte a due ordine di problemi sollevati da più parti:

• La validità del consenso fornito dall’interessato quando interagisce con i cosiddetti cookie wall;
• La validità del consenso ai cookie mediante azione di scorrimento della pagina.

Come noto, quando si parla di cookie wall si fa riferimento a quelle schermate che appaiono dinnanzi ai visitatori di un determinato sito con le quali si comunica l’obbligo di accettare tutti i cookie prima di poter accedere al servizio web desiderato.

Obbligo, non facoltà appunto, ed è qui il problema.

Un orientamento minoritario portato avanti da alcune corti e da alcuni giuristi (tra questi anche la nostra Corte di Cassazione, come spiegato qui) suggerirebbe di ritenere valido il consenso ottenuto obbligando l’utente di un sito ad accettare un servizio supplementare (cookie, newsletter e simili) per poter accedere alle funzionalità del sito stesso. A questo risultato solitamente si giunge facendo perno sul concetto di libera iniziativa economica e di fungibilità del servizio.

In tal senso, se l’imprenditore ha previsto che la sua impresa on line possa sopravvivere solo con l’utilizzo di cookie, banner o newsletter (come nel citato caso deciso dalla Cassazione) e se tale impresa on line fornisce servizi fungibili (rinvenibili anche su altri siti), allora il consenso risulta libero, essendo l’utente nella condizione di rifiutarsi e di utilizzare servizi analoghi rinvenibili altrove.

Secondo tale impostazione, inserendo all’interno dei terms and condictions delle clausole con cui ricomprendere le funzioni dei cookie nell’oggetto del contratto, si crea un legame inscindibile che permetterebbe di fatto all’imprenditore di obbligare l’utente a fornire il consenso.

Questa impostazione è però stata criticata da diverse Autorità, in primis dal garante olandese, dall’ ICO inglese e dal CNIL francese le quali hanno avanzato numerose critiche evidenziando, tra l’altro come proprio il Considerando 43 del GDPR, preveda che “si presume che il consenso non sia stato liberamente espresso (…) se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

E’ quindi da ritenere che, proprio con l’intento di dissipare ogni eventuale ulteriore dubbio, l’EDPB abbia deciso di prendere posizione sul punto, modificando le linee guida.

Quando il consenso non è libero: cookie wall

L’EDPB, ribadisce come il consenso non possa essere considerato libero per il solo fatto che esiste una scelta tra i servizi forniti da un determinato titolare e quelli equivalenti forniti da altro soggetto. In un caso simile difatti la libertà (oltre ad essere quantomeno fittizia) verrebbe fatta dipendere da scelte di mercato altrui, circostanza questa inammissibile.

Sarebbe difatti come dire che se un competitor del sito Alpha non avesse un cookie wall allora Alpha potrebbe subordinare l’accesso al sito al consenso ai trattamenti cookie.

Per questa ragione, il Board dei Garanti ha ribadito come, affinché il consenso possa essere considerato libero, l’accesso ai servizi e alle funzionalità del sito non deve essere subordinato al consenso di un utente al c.d. cookie wall.

Non solo, nelle nuove linee guida vengono previsti esempi del tutto inediti, in modo da non lasciare spazio alcuno a fraintendimenti.

Così, il documento ci propone il caso di un fornitore di siti Web il quale prevede uno script che, non appena arrivati sulla home page, blocchi la visibilità del sito salvo accettazione di tutti i cookie imposti con il c.d. cookie wall. In questo caso, precisa l’EDPB: “Poiché per l’interessato non si prospetta una scelta autentica, il suo consenso non deve intendersi fornito liberamente”.

Tolta ogni ombra di dubbio sulla legittimità dei cookie wall, le modifiche alle linee guida proseguono concentrandosi su un altro fenomeno molto discusso: il consenso mediante azione positiva.

Consenso tramite azione positiva inequivocabile, non basta scrolling

Ora, come noto, in molti tendono a confondere il concetto di consenso mediante manifestazione di volontà inequivocabile con quello di tacito consenso.

Si tratta di due concetti agli antipodi ma che spesso vengono confusi goffamente. Il consenso implicito presente nel GDPR prevede difatti una azione positiva. Il Regolamento afferma chiaramente che il consenso richiede una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato, il che significa che il consenso deve sempre essere espresso attraverso una dichiarazione o in modo attivo. Deve essere ovvio che l’interessato ha acconsentito al particolare trattamento.

Con “azione positiva inequivocabile” si intende che l’interessato deve aver intrapreso un’azione deliberata per acconsentire al trattamento specifico.

Il silenzio o l’inattività dell’utente, così come il semplice procedere all’uso di un servizio, non possono quindi valere come una manifestazione attiva della volontà.

Per il resto viene da sempre riconosciuta ampia libertà per consentire al Titolare di individuare il modo migliore per raccogliere il consenso, purché i meccanismi scelti operino in maniera chiara per gli interessati.

In tal senso, le Linee Guida (fin dalla precedente versione) evidenziavano come “la semplice prosecuzione dell’uso normale di un sito web non è pertanto un comportamento dal quale si può dedurre una manifestazione di volontà dell’interessato a prestare il consenso a un trattamento proposto”

Proprio in quest’ottica sono stati inseriti due nuovi esempi (esempio 15 e 16) al fine di dissipare i dubbi più ricorrenti sul tema.

• Leggiamo quindi che scorrere una barra su uno schermo (scrolling), spegnere la camera, girare uno smartphone in un determinato modo possono essere opzioni per indicare un accordo, purché la circostanza venga spiegata in modo chiaro ed inequivocabile all’utente. Non ci devono insomma essere dubbi sul fatto che l’interessato abbia capito che compiendo quella azione acconsentirà al trattamento.
• Ma non solo, l’esempio 16 precisa come, in base al considerando 32, azioni come lo scorrimento di una pagina Web non sono idonee a soddisfare il requisito richiesto per una positiva manifestazione del consenso. Tali azioni possono difatti essere difficili da distinguere da altre attività o interazioni da parte di un utente e quindi determinare confusione sull’effettivo conferimento del consenso, circostanza questa che impedisce altresì l’esercizio del diritto di revoca del consenso. Del resto, come faccio a revocare un consenso che non so nemmeno di aver fornito?

In conclusione

In conclusione, risulta molto apprezzabile questa dinamicità nell’operato dell’EDPB in quanto permette ai titolari di orientarsi nella maniera più opportuna. Già di per sé l’esistenza di Linee Guida è cosa non scontata ma molto utile. Il fatto poi che vengano aggiornate per far fronte a dubbi sorti nella prassi è indubbiamente un surplus che non può che far bene all’applicazione del GDPR.