Cookies and consent: relevant news from the EDPB.

On May 4, 2020, the European Data Protection Board adopted an updated version of the Guidelines on consent under Regulation 2016/679, originally drafted by Article 29 Working Party back in 2017 and already subject to a first revision on April 10, 2018, introducing some important new features regarding cookies.

IL FATTO:

Le Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 (di seguito le “Linee Guida”), emanate nell’ambito dei compiti assegnati al Comitato dall’art. 70 del Regolamento e al momento disponibili unicamente in lingua inglese, si occupano di analizzare la nozione di consenso fornendo orientamenti pratici per garantire il rispetto della normativa.

Il testo approvato dal Comitato rimane pressoché invariato rispetto alla precedente versione del documento, con due importanti eccezioni, entrambe strettamente inerenti alla validità del consenso espresso in ambiente on-line dagli utenti di siti web ed applicazioni smart in merito ai c.d. cookies, ovvero quelle “stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente”.

Il Comitato si è in particolare espresso su due differenti fenomeni, piuttosto diffusi nella pratica, soprattutto in siti di pertinenza di entità extra-europee: l’impiego di c.d. “cookie wall” e la raccolta del consenso degli utenti mediante semplice prosecuzione della navigazione (c.d. “scroll”). Ma vediamo tali pratiche nel dettaglio.

Con “cookie wall” si intende quel fenomeno per cui il titolare del sito subordina l’accesso a determinati contenuti o funzionalità all’accettazione da parte dell’utente dell’installazione di cookies (spesso e volentieri di profilazione). Si pensi a quei banner che, una volta comparsi, impediscono l’interazione dell’utente con il back-ground (che spesso viene oscurato) e possono essere rimossi unicamente cliccando sul pulsante “Accetta”. Ebbene, il Comitato chiarisce l’invalidità del consenso acquisito con tale espediente, in quanto produrrebbe un consenso privo del requisito della libertà: all’interessato non viene infatti garantita una scelta effettiva e il controllo sui propri dati.

Ma ancor più rilevante è la presa di posizione del Comitato nei confronti della possibilità di acquisire il consenso all’installazione dei cookie mediante prosecuzione della navigazione: ricordiamo infatti che prima dell’arrivo del Regolamento, la pratica dello scroll era stata considerata una lecita modalità semplificata di acquisizione del consenso, avvallata direttamente dalle autorità di controllo europee e nazionali sulla base del disposto della c.d. Direttiva e-Privacy (oggi ancora in vigore). Al contrario, le Linee guida escludono in maniera categorica che la mera prosecuzione della navigazione nella medesima pagina possa rappresentare un’azione positiva inequivocabile da parte dell’interessato, con la conseguenza che tale pratica risulta inidonea a garantire l’acquisizione di un valido consenso al trattamento. Sebbene agli osservatori attenti non sarà sfuggito che già la precedente versione delle Linee guida si esprimeva in termini negativi nei confronti di tale pratica, il nuovo intervento del Comitato contribuisce a dissipare qualsiasi possibile dubbio in merito, inclusi quelli legati all’inerzia delle autorità nazionali che spesso non si sono premurate di sottoporre a revisione i propri provvedimenti dedicati ai cookies adeguandoli alla nuova nozione di consenso di cui al GDPR.

Viene ad ogni modo fatta salva la possibilità di individuare meccanismi alternativi per l’acquisizione del consenso ai cookies, a condizione che questi comportino una manifestazione attiva della volontà dell’utente (ad es. lo scorrimento di una barra su uno schermo, il movimento della mano davanti a una telecamera intelligente, la rotazione dello smartphone in senso orario, ecc.).

PERCHÉ È IMPORTANTE:

L’intervento del Comitato appare apprezzabile per l’attenzione dimostrata alle implicazioni pratiche derivanti da una corretta applicazione del Regolamento. Per quanto limitate nell’estensione, infatti, le modifiche apportate alle Linee guida sul consenso presentano un impatto applicativo particolarmente rilevante, certificando l’illegittimità delle modalità di raccolta del consenso sopra descritte; impatto che si traduce da un lato nella necessità degli operatori di sottoporre ad attenta revisione il funzionamento dei propri siti web e dall’altro nell’invalidazione dei consensi raccolti tramite i meccanismi cassati.

Per non perderti le novità e gli approfondimenti di Tonucci & Partners, iscriviti alle nostre newsletter

    I have read the Privacy Policy
    and i authorized the treatment of my personal data

    No Comments
    Leave a Reply