Il 4 maggio 2020 il Garante Europeo della protezione dei dati è tornato ad occuparsi di consenso a tutela della privacy, andando ad aggiornare le precedenti linee guida comunque adottate dal fu Gruppo Articolo 29 nell’aprile 2018. L’intervento riguarda l’utilizzo dei cookies nei siti web.

Cosa sono i cookie?

In breve sintesi, i cookie sono informazioni immesse sul tuo browser quando visiti un sito web o utilizzi un social network con il tuo pc, smartphone o tablet.

Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc..

I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico.

Cookie e le nuove regole Privacy

Il 4 maggio 2020 il Garante Europeo della protezione dei dati è tornato ad occuparsi di consenso a tutela della privacy, andando ad aggiornare le precedenti linee guida comunque adottate dal fu Gruppo Articolo 29 nell’aprile 2018.

L’intervento riguarda l’utilizzo dei cookies nei siti web ed in particolare del c.d. cookie wall, cioè il banner che ci appare ogni volta che arriviamo su una pagina internet.

Il Garante Europeo esprime un concetto molto chiaro, quasi un avvertimento: un consenso che non risponda alle caratteristiche indicate dal GDPR e dalle Linee Guida, non potrà che essere meramente illusorio e quindi in violazione del Regolamento.

D’altra parte, è lo stesso Garante Europeo che sottolinea come il concetto di consenso elaborato nel Regolamento costituirà il riferimento per quello della nuova direttiva ePrivacy, della quale si attende un aggiornamento da moltissimo tempo.

Consenso al trattamento dati

Prima di approfondire le precisazioni sull’utilizzo dei cookies credo sia opportuno chiarire, come fanno le Linee Guida, il concetto stesso di consenso che spesso viene confuso con quello di informativa, strumento principe per dialogare con l’interessato.

Il consenso è una delle sei basi giuridiche (obbligo di legge, contratto, consenso, salvaguardia interessi vitali, interesse pubblico, interesse legittimo) che può giustificare un trattamento dei dati.

Il Garante Europeo rammenta come il GDPR individui le caratteristiche del consenso; questo, quale manifestazione di volontà, deve essere:

• libero;
• specifico;
• informato;
• inequivocabile;
• espresso mediante dichiarazione o azione positiva.
  
  

Deve trattarsi di un comportamento attivo, come chiarito dalla sentenza della Corte di Giustizia europea (caso C-673/17). Il comportamento posto in essere dall'utente, quindi, non può consistere in un mero scorrere la pagina o cliccare su un link che porti ad altra pagina, ma deve essere inequivocabilmente rivolto all'accettazione dei cookie.

Occorre che l'utente clicchi su un pulsante Accetta o Rifiuta. Inoltre, delle caselle di consenso preselezionate non configurano un reale consenso.

Soltanto in questo modo, infatti, all’interessato sarà garantito il controllo sui propri dati personali. E le Linee Guida esaminano punto per punto le caratteristiche sopra citate approfondendo ogni aspetto anche grazie al ricorso di numerosissimi esempi.

Affinché possa dirsi che vi sia un consenso valido, oltre ai requisiti sopra elencati è necessario che non vi siano squilibri di forza (come per esempio tra dipendente e datore di lavoro - approfondisci qui).

Inoltre, il consenso non deve essere condizionato dall’accettazione del servizio, la sua rinuncia non deve recare pregiudizio e, soprattutto, l’interessato deve essere messo in condizione di rinunciare con la stessa facilità con cui ha fornito il consenso.

Consenso e Web cookies: linee guida UE

È proprio sotto il profilo dell’accettazione condizionata, della facilità alla rinuncia e del principio della libertà che si è intervenuti con le precisazioni in materia di cookies: non è ammissibile condizionare l’accesso ad un sito ed ai servizi all’accettazione passiva dei cookies.

Ecco un esempio fornito dalle Linee Guida: un provider di siti web inserisce uno script che bloccherà la visualizzazione dei contenuti tranne per gli utenti che accetteranno i cookie con le informazioni e per le finalità su quali questi vengono impostati.

Non è possibile accedere al contenuto senza fare clic sul pulsante “Accetta i cookie“. Questo tipo di consenso non può considerarsi una scelta autentica e, pertanto non è dato liberamente.

In questo senso dispongono le linee guida 05/2020:

Ed ancora. Lo scorrimento della pagina (anche mediante scroll, il passaggio con il dito sullo schermo) non potrà mai essere considerato come un’attività che soddisfi i criteri di azione libera e positiva.

Ciò in quanto sono azioni che non è facile distinguere da altri tipi di interazioni e che quindi presentano un’intima ambiguità nella manifestazione della volontà al consenso. D’altra parte sarebbe al tempo stesso complicato fornire uno strumento di rinuncia al consenso con la medesima facilità.

Nel contesto digitale, in particolare quello mobile, molti servizi necessitano di dati personali per funzionare, quindi gli interessati ricevono più richieste di consenso, che richiedono risposte tramite click e passaggi giornalieri.

Ciò può comportare, soprattutto quando le informazioni non vengono fornite in modo conciso e trasparente, un certo grado di affaticamento da click che potrebbe avere l’effetto di far scemare il ruolo degli avvisi dei meccanismi di consenso.

Per concludere, importante sottolineare che moltissimi siti, più o meno importanti e conosciuti, ancora presentano numerose difformità sotto questi aspetti. Il segnale che il Garante Europeo ha voluto inviare credo che sia molto chiaro.

Nel forte sviluppo del Web e del digitale tanto più il trattamento dei dati diverrà rilevante tanto l’attenzione delle Autorità sarà concentrata su questi aspetti al fine di garantire il rispetto dei diritti fondamentali degli interessati.

Aggiorna la tua documentazione privacy e adotta una corretta Policy Cookie per evitare le sanzioni fino a 120 mila euro.