Il 4 maggio l’EDPB ha emanato le nuove linee guida in materia di consenso che innovano, rispetto alle precedenti (adottate il 28 novembre 2017 e già modificate il 10 aprile 2018), due importanti punti in materia di cookie:
- La validità del consenso fornito dall’interessato quando interagisce con i cosiddetti cookie wall, cioè la pratica per la quale il sito richiede un consenso obbligatorio a tutti i cookie per poter accedere ad un servizio.
- La validità del consenso ai cookie mediante azione di scorrimento della pagina.
Cookie wall
Un orientamento minoritario in Europa ma validato in Italia dalla Cassazione ritiene valido il consenso obbligato sulla base dei concetti di libera iniziativa economica e di fungibilità del servizio: se l’imprenditore ritiene di poter mantenere in vita la propria impresa esclusivamente effettuando operazioni che richiedono il consenso dell’interessato e qualora il servizio in questione sia disponibile altrove, allora questo consenso obbligato potrebbe considerarsi valido, nella sostanza, sarebbe sufficiente inserire all’interno dei “termini e condizioni” il riferimento ai cookie rendendo inscindibile il legame tra questi e il contratto.
Questa posizione risulta però in tensione con il considerando 43 al GDPR
“si presume che il consenso non sia stato liberamente espresso se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”
Come hanno sottolineato il CNIL francese, l’ICO inglese e il Garante olandese e, con queste linee guida, anche l’EDPB, il consenso non può ritenersi libero, e quindi valido, per il solo fatto che esista la possibilità di reperire i servizi forniti da un titolare altrove.
Consenso tramite azione positiva inequivocabile
Ora, come noto, in molti tendono a confondere il concetto di consenso mediante manifestazione di volontà inequivocabile con quello di tacito consenso.
Si tratta di due concetti agli antipodi ma che spesso vengono confusi goffamente. Il consenso implicito presente nel GDPR prevede difatti una azione positiva. Il Regolamento afferma chiaramente che il consenso richiede una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato, il che significa che il consenso deve sempre essere espresso attraverso una dichiarazione o in modo attivo. Deve essere ovvio che l’interessato ha acconsentito al particolare trattamento.
Consenso mediante scroll della pagina
Lo scroll della pagina corrisponderebbe ad una “azione positiva inequivocabile” attraverso la quale l’utente avrebbe prestato il proprio libero consenso al trattamento dei dati personali.
Tuttavia il semplice procedere all’uso di un servizio o il semplice silenzio non possono essere considerate azioni positive inequivocabili sebbene venga riconosciuta al titolare una ampia libertà in relazione all’individuazione delle modalità attraverso le quali raccogliere il consenso degli utenti.
Le Linee Guida già dalla precedente versione evidenziavano come
“la semplice prosecuzione dell’uso normale di un sito web non è pertanto un comportamento dal quale si può dedurre una manifestazione di volontà dell’interessato a prestare il consenso a un trattamento proposto”
Proprio in quest’ottica sono stati inseriti due nuovi esempi al fine di chiarire definitivamente i dubbi sul tema:
- scorrere una barra su uno schermo, spegnere la camera, girare uno smartphone in un determinato modo possono essere opzioni per indicare un accordo, purché la circostanza venga spiegata in modo chiaro ed inequivocabile all’utente.
- azioni come lo scorrimento di una pagina Web non sono idonee a soddisfare il requisito richiesto per una positiva manifestazione del consenso.
