La vicenda che ha interessato in questi mesi estivi del 2020 la CNIL e il Conseil d’État in Francia ha rinnovato l’interesse sul tema del consenso per l’installazione e la successiva lettura dei cookie nei terminali degli utenti da parte dei provider di servizi web.
Certamente è un tema connesso ai diritti della persona e dunque rientra a pieno titolo tra le questioni data protection, ma che è anche uno snodo per l’attrazione di investimenti in uno dei settori dell’economia digitale, quello della pubblicità online, che è tra i pochi in crescita da molti anni. La questione è di carattere generale e merita qualche riflessione.
CNIL e linee guida cookie: la sentenza del Consiglio di Stato
Nella sua decisione del 19 giugno 2020[1], il Conseil d’État ha sostanzialmente convalidato le linee guida sui cookie e sui dispositivi di tracciamento adottate dalla CNIL il 4 luglio 2019, ma ha eccepito un punto sostanziale, ossia la prescrizione del divieto generale ed assoluto di far ricorso alla pratica dei cookie wall. Il massimo organo amministrativo francese ha stabilito infatti che tale divieto andasse oltre le intenzioni del legislatore e pertanto non potesse essere contenuto in uno strumento di soft law quali le linee guida in questione.
Con il termine cookie wall, lo si ricorda, si indica quella pratica, in vero non molto diffusa in Italia ma evidentemente più frequente in altri paesi, che consiste in un artificioso blocco dell’accesso al sito realizzato dal provider, a meno che l’utente non acconsenta all’installazione dei cookies. Una interruzione della fruizione (da cui il riferimento al “muro”) che non lascia nessun tipo di scelta all’utente, salvo quella di rinunciare all’accesso ai contenuti.
La CNIL, nell’imporre questo divieto, aveva esteso la portata delle considerazioni già svolte dal Comitato europeo per la protezione dei dati (EDPB), e da ultimo ribadite nelle recenti linee guida sul consenso del 4 maggio scorso, secondo cui affinché il consenso possa ritenersi prestato liberamente (in questo avverbio è il cuore della contesa tra la CNIL e il Conseil d’État), l’accesso ai servizi della società dell’informazione non può essere subordinato al consenso di un utente alla memorizzazione di informazioni, o all’ottenimento dell’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un utente[2].
Il Garante Privacy italiano sui cookie
In Italia, la questione del consenso per l’installazione di cookies, come è noto, è stata affrontata dal Garante con il provvedimento del maggio 2014, il quale indica le modalità per l’applicazione della norma europea, la direttiva 2002/58/CE (direttiva e-privacy) tuttora vigente, in un quadro di assoluta garanzia per le libertà della persona[3]: l’utente di un servizio web deve infatti essere sempre messo nella condizione di accettare o rifiutare la memorizzazione di cookies sul proprio terminale, senza che l’eventuale rifiuto precluda l’accesso ai contenuti del sito. Tecnicamente, “il luogo” in cui questa scelta di libertà è manifestata è il famoso banner, la cui comparsa nella landing page del sito, nello spirito di semplificazione dell’epoca, era anche il momento in cui l’utente riceveva una prima informazione sulle finalità del trattamento, e il punto di accesso ad approfondimenti sul trattamento e sui rischi ad esso connessi in modo da poter assumere una determinazione consapevole sul tipo di navigazione successiva.
Per sintetizzare, l’approccio italiano al problema, che oggi, a distanza di molti anni, possiamo dire aver precorso i tempi in Europa, tanto da essere stato successivamente applicato tal quale in molte altre giurisdizioni (Francia inclusa), prevede per i provider l’obbligo di creare un “bivio” con due alternative: una navigazione “profilata” liberamente accettata dall’utente in cui, tramite l’impiego dei cookie, il provider può veicolare messaggi pubblicitari mirati sulle singole abitudini d’uso dei servizi della società dell’informazione, e una navigazione “non profilata”, che invece lascia maggiore spazio a messaggi pubblicitari non mirati e più contestuali, ossia basati sul contenuto del sito e non sull’osservazione dello storico dei comportamenti di un utente.
Naturalmente, in questo seconda ipotesi, non deve esservi alcun tipo di penalizzazione per gli utenti più inclini a scegliere una navigazione “non profilata”.
Business che vai, cookie che trovi: social vs editori
Non sfugge il fatto che per taluni tipi di siti, ad esempio i siti di informazione, il banner può essere un elemento non funzionale alla resa del servizio, una discontinuità all’immediatezza della fruizione di un contenuto, mentre esso può essere integrato più agevolmente in siti web, come i social, che per loro natura prevedono un punto di discontinuità nella fruizione servizio, ad esempio per la creazione dell’account, o per l’autenticazione, in cui possono essere allocate delle fasi di scelta dell’utente.
Questo, è lecito credere, rappresenta il fatto nuovo che la vicenda CNIL-Conseil d’État rende manifesto: la presenza di business model diversi, l’uno, quello degli editori online, non basato sulla creazione di account o su discontinuità nella user experience e l’altro, quello dei gestori di siti social, che è invece di tipo subscription-based e con discontinuità nella navigazione, che insistono su un unico mercato, quello della raccolta pubblicitaria, creando una situazione di concorrenza non ancora del tutto sviluppata all’epoca dei primi interventi di recepimento della direttiva e-privacy. La questione non è di poco conto, se consideriamo la presa di posizione di alcune importanti associazioni di editori europei, che il 13 luglio hanno indirizzato all’EDPB una lettera per dirimere la questione[4].
D’altro canto, il lavoro delle Autorità di protezione dei dati in questa ricerca di un eventuale nuovo bilanciamento tra interessi economici e diritti non è privo di insidie. Pur apparendo immediata la distinzione tra i modelli di business degli editori e dei social, non altrettanto immediato è comprendere se il meccanismo del banner sia così decisivo nel rendere un editore più o meno attraente per un investitore pubblicitario, o se altri fattori legati alla qualità o alla modalità di fruizione dei contenuti siano più determinanti nell’attrarre investimenti.
Né è ancora stata esplorata una vera e propria alternativa al meccanismo del banner per l’acquisizione del consenso.
In conclusione: siamo al bivio, serve una nuova norma
Al momento, la lettura che si può dare della vicenda francese è che siamo a metà del guado: da una parte, infatti, la CNIL prima dell’intervento del Conseil d’État sosteneva che non vi può essere “bivio” che abbia come una delle due possibili strade alternative il blocco del contenuto; dall’altra, lo stesso Conseil d’État sostiene che non può escludersi che una delle due strade possa persino essere il rifiuto da parte dell’editore di fornire il contenuto, senza però indicare quale sia la seconda strada alternativa che potrebbe rendere questa forte limitazione compatibile con il framework giuridico in materia di protezione dei dati personali.
Molto gioverebbe in questo dibattito la disponibilità di uno strumento normativo di rango primario, come il regolamento e-privacy, oggi in discussione presso il Consiglio dell’Unione Europea in una versione assai diversa rispetto alla prima proposta formulata dalla Commissione Europea nel 2017, proprio per incorporare anche questo tipo di dinamiche emergenti nel mercato dei servizi dell’economia digitale. Nelle versioni pubblicamente disponibili del testo, la questione cookies è già affrontata con uno spirito “aperturista” (si pensi al caso dei cookie analytics), ma manca ancora un impianto di riferimento, giuridicamente inoppugnabile, per ragionare su un meccanismo per l’acquisizione del consenso alternativo a quello basato su banner.
La questione, come il Conseil d’État afferma, non è da soft law e non riguarda le modalità attuative, ma la sussistenza stessa di una legge che chiarisca i termini del problema e trovi un punto di equilibrio nell’interesse di tutte le parti coinvolte, e che possa tradursi in una soluzione tecnologica replicabile. Individuare questo punto di equilibrio è, alla luce della vicenda francese, quantomai necessario per evitare asimmetrie di mercato in Europa e salvaguardare i diritti della persona, e l’auspicio che si può esprimere è che vi si giunga al più presto.
[1] https://www.conseil-etat.fr/actualites/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion
[2] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_it
[3] https://www.garanteprivacy.it/cookie
[4] https://www.eurocommerce.eu/media/193263/20200713%20-%20letter%20on%20cookie%20walls.pdf