Lo scorso 4 maggio 2020 l’EDPB, il Comitato europeo per la protezione dei dati personali – ne abbiamo parlato qui – ha adottato le linee guida n. 5/2020 sul consenso al fine di revisionarne, aggiornarne e sostituirne l’ultima versione del 10 aprile 2018 del WP29.
In questa occasione il Comitato ha provveduto a chiarire due temi piuttosto caldi in materia di consenso prestato dall’interessato nel contesto digitale:
- la validità del consenso per il tracciamento tramite cookie quale condizione necessaria per proseguire nella navigazione in un sito internet; e
- la validità del consenso rilasciato tramite scrolling della pagina web.
Prima di addentrarci nel cuore della questione vale la pena esaminare quando il consenso possa ritenersi valido secondo la normativa in materia di protezione dei dati personali.
Il Consenso al Trattamento dei dati personali
Il consenso è una delle basi giuridiche che legittima il trattamento dei dati personali individuate all’art. 6 del Regolamento Ue 2016/679.
In particolare, ai sensi dell’art. 4 GDPR, per consenso si intende: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Dalla definizione, e da quanto specificato anche nel considerando 32 del Regolamento Ue, emerge che perché il consenso possa considerarsi valido deve essere:
- liberamente prestato, e quindi non sottoposto a condizioni o vincoli contrattuali non negoziabili;
- specifico, ovvero mirato ad una determinata finalità di trattamento;
- informato: l’interessato deve sapere e comprendere chiaramente per quali finalità sta prestando il proprio benestare, in che modo verranno trattati i suoi dati e che fine faranno (artt. 13-14 GDPR);
- inequivocabile, ossia frutto di una dichiarazione di volontà espressa mediante un atto positivo senza equivoci (per intenderci il consenso tacito non è contemplato).
Inoltre il consenso deve essere sempre revocabile, come specificato all’art. 7 del Reg. Ue, in qualsiasi momento da parte dell’interessato, con la stessa facilità con la quale viene accordato.
Infatti, se l’interessato non è posto nelle condizioni di non prestarlo (o eventualmente di revocarlo) senza subire alcun tipo di pregiudizio, il consenso non sarà considerato effettivamente libero.
Cookie Wall & Consenso
Ciò premesso, il Comitato, nella sezione denominata “Condizionalità” (p.to 3.1.2, ai paragrafi 38-41) ha affrontato la questione dei “Cookie Wall”.
I Cookie wall non sono altro che banner che condizionano la fruizione di un sito web all’accettazione dei cookie da parte di un utente.
Questi “muri digitali” consentono all’interessato di accedere ad un contenuto digitale online a patto che presti il proprio assenso all’implementazione sul proprio dispositivo di piccoli file di testo in grado di immagazzinare diverse informazioni a seconda del tipo di cookie che decide di far memorizzare.
I cookie infatti possono essere:
- tecnici: per rendere la navigazione più veloce;
- analitici: per raccogliere informazioni aggregate sui visitatori dei siti, per elaborare statistiche sulle modalità di fruizione dei servizi offerti dai provider;
- di profilazione: per raccogliere informazioni sulle abitudini e sulle preferenze degli utenti, in genere al fine di inviare messaggi pubblicitari mirati.
Si precisa che, fatta salva la prima categoria, per l’installazione di cookie non tecnici è necessario un consenso liberamente prestato dall’utente.
Ciò detto, qualora la pagina web impiegasse questa tipologia di cookie deve informare il visitatore ed ottenere la sua approvazione.
Vi sono alcune realtà nel web che subordinano questa manifestazione di volontà alla possibilità di proseguire nella navigazione.
In buona sostanza, chi accetta tutti i cookie potrà accedere alle risorse disponibili sul sito, chi non li accetta sarà tagliato fuori.
Il Comitato europeo ha voluto fare luce sulla questione e si è espresso in maniera categorica: la pratica dei cookie wall è incompatibile con il GDPR!
A tal fine, al par. 40 l’EDPB fornisce l’esempio del fornitore di siti web che imposta uno script per bloccare la visibilità dei contenuti, fatta eccezione della richiesta di accettare i cookie e le informazioni su quali cookie vengono impostati e per quali scopi verranno elaborati. In tale circostanza non è possibile accedere al contenuto senza fare clic sul pulsante “Accetta i cookie“.
Il comitato ritiene che tale pratica non implichi una scelta autentica da parte dell’interessato, il suo consenso non sarà quindi valido poiché non è concesso liberamente.
Pertanto: “Affinché il consenso sia concesso liberamente, l’accesso a servizi e funzionalità non deve essere condizionato dal consenso di un utente alla memorizzazione di informazioni o all’accesso a informazioni già memorizzate, nelle apparecchiature terminali di un utente (i cd. cookie wall)” ed in ogni caso “… un fornitore di servizi non può impedire agli interessati di accedere a un servizio sulla base del fatto che non acconsentono”.
Secondo l’EDPB l’azione di accettare i cookie solo per poter accedere a dei contenuti online non è genuina e libera ma condizionata, e si pone in contrasto con le norme sulla privacy.
L’utente deve essere messo nelle condizioni di poter scegliere se e quali cookie accettare, e tale scelta non può discriminarlo né impedirgli la visibilità di un contenuto della pagina o la fruizione di determinate funzionalità.
In pratica, perché si possa parlare di valido consenso, questo non può essere soggetto ad alcuna condizione.
Scrolling & consenso
L’EDPB si è altresì soffermato sul consenso espresso tramite scrolling o swiping.
In via generale, lo scrolling come lo swiping ti consentono di scorrere una pagina web in orizzontale od in verticale.
Tuttavia tale attività viene erroneamente associata anche alla prestazione del consenso. Per intenderci, quando durante la navigazione in rete lo user accede ad una pagina web gli appare una schermata (finestra, banner, etc.) nella quale lo si informa in che modo il titolare del sito utilizzerà i suoi dati personali, rimandando ad una informativa sulla privacy più dettagliata, e gli si chiede di acconsentire al loro trattamento.
Affinché il visitatore prosegua nella navigazione dovrà necessariamente prestare il proprio consenso. Ciononostante, talvolta, alcune pagine permettono all’utente di accedere ai contenuti digitali semplicemente scorrendo la pagina.
In pratica scrollando, l’utente accetta la privacy policy (in alcuni casi anche la cookie policy), senza effettivamente essere edotto di ciò che verrà fatto con i suoi dati personali.
Nella sezione “Manifestazione di volontà inequivocabile” (p.to 3.4, paragrafo 86) l’EDPB, per chiarire una volta per tutte la questione, ha sottolineato come “… In base al considerando 32, azioni come lo scrolling o lo swiping di una pagina Web o una simile attività non potranno in alcun caso soddisfare il requisito di un’azione chiara e affermativa. Inoltre, in tali casi, sarà difficile fornire all’utente la possibilità di revocare il consenso in un modo facile come concederlo.”
Per tale ragione, la prosecuzione nella navigazione da parte dell’utente non potrà configurare una condotta indicativa della sua volontà di accettare il trattamento dei propri dati personali.
Conclusione
Il comitato europeo ha voluto chiarire in maniera puntuale e definitiva le questioni giuridiche legate al consenso nei contesti digitali che spesso sono state oggetto di interpretazioni errate e procedure illecite.
Formulando degli esempi concreti, l’EDPB ha ritenuto opportuno fornire una guida pratica che consenta ed agevoli il pieno rispetto del GDPR e che escluda qualsiasi dubbio applicativo dello stesso.
In conclusione, alla stregua delle nuove Linee guida:
- l’interessato manifesta un consenso libero solo quando può scegliere e tale scelta non può essere mai vincolata, per esempio dall’accettazione obbligatoria dei cookie per accedere ad una risorsa online;
- la manifestazione di volontà dell’utente deve corrispondere ad un suo comportamento attivo, pertanto la fruizione di una pagina web per mero scorrimento non rappresenta una modalità per esprimere il consenso al trattamento dei dati personali.
Va da sé che tutte le pagine web che sino ad oggi hanno raccolto il consenso al trattamento dei dati personali dei propri utenti tramite scrolling o swiping o che abbiamo adottato cookie wall dovranno prontamente adeguarsi alle indicazioni fornite dal Comitato europeo.
VP
