Web Cookie Law: nuove regole Privacy

di Anna Fabi

18 Maggio 2020 08:31

Aggiornate le Linee Guida europee sul consenso al trattamento dei dati online: attenzione all'utilizzo dei cookies, l'accettazione passiva non basta più.

Il 4 maggio 2020 il Garante Europeo della protezione dei dati è tornato ad occuparsi di consenso a tutela della privacy, andando ad aggiornare le precedenti linee guida comunque adottate dal fu Gruppo Articolo 29 nell’aprile 2018. L’intervento riguarda l’utilizzo dei cookies nei siti web ed in particolare del c.d. cookie wall, cioè il banner che ci appare ogni volta che arriviamo su una pagina internet.

Il Garante Europeo esprime un concetto molto chiaro, quasi un avvertimento: un consenso che non risponda alle caratteristiche indicate dal GDPR e dalle Linee Guida, non potrà che essere meramente illusorio e quindi in violazione del Regolamento. D’altra parte, è lo stesso Garante Europeo che sottolinea come il concetto di consenso elaborato nel Regolamento costituirà il riferimento per quello della nuova direttiva ePrivacy, della quale si attende un aggiornamento da moltissimo tempo.

Consenso al trattamento dati

Prima di approfondire le precisazioni sull’utilizzo dei cookies credo sia opportuno chiarire, come fanno le Linee Guida, il concetto stesso di consenso che spesso viene confuso con quello di informativa, strumento principe per dialogare con l’interessato. Il consenso è una delle sei basi giuridiche (obbligo di legge, contratto, consenso, salvaguardia interessi vitali, interesse pubblico, interesse legittimo) che può giustificare un trattamento dei dati. Il Garante Europeo rammenta come il GDPR individui le caratteristiche del consenso; questo, quale manifestazione di volontà, deve essere:

  • libero;
  • specifico;
  • informato;
  • inequivocabile;
  • espresso mediante dichiarazione o azione positiva.

Soltanto in questo modo, infatti, all’interessato sarà garantito il controllo sui propri dati personali. E le Linee Guida esaminano punto per punto le caratteristiche sopra citate approfondendo ogni aspetto anche grazie al ricorso di numerosissimi esempi.

Affinché possa dirsi che vi sia un consenso valido, oltre ai requisiti sopra elencati è necessario che non vi siano squilibri di forza (come per esempio tra  dipendente e datore di lavoro). Inoltre, il consenso non deve essere condizionato dall’accettazione del servizio, la sua rinuncia non deve recare pregiudizio e, soprattutto, l’interessato deve essere messo in condizione di rinunciare con la stessa facilità con cui ha fornito il consenso.

Consenso e Web cookies: linee guida UE

È proprio sotto il profilo dell’accettazione condizionata, della facilità alla rinuncia e del principio della libertà che si è intervenuti con le precisazioni in materia di cookies: non è ammissibile condizionare l’accesso ad un sito ed ai servizi all’accettazione passiva dei cookies.

Ecco un esempio fornito dalle Linee Guida: un provider di siti web inserisce uno script che bloccherà la visualizzazione dei contenuti tranne per gli utenti che accetteranno i cookie con le informazioni e per le finalità su quali questi vengono impostati. Non è possibile accedere al contenuto senza fare clic sul pulsante “Accetta i cookie. Questo tipo di consenso non può considerarsi una scelta autentica e, pertanto non è dato liberamente.

Ed ancora. Lo scorrimento della pagina (anche mediante scroll, il passaggio con il dito sullo schermo) non potrà mai essere considerato come un’attività che soddisfi i criteri di azione libera e positiva. Ciò in quanto sono azioni che non è facile distinguere da altri tipi di interazioni e che quindi presentano un’intima ambiguità nella manifestazione della volontà al consenso. D’altra parte sarebbe al tempo stesso complicato fornire uno strumento di rinuncia al consenso con la medesima facilità.

Nel contesto digitale, in particolare quello mobile, molti servizi necessitano di dati personali per funzionare, quindi gli interessati ricevono più richieste di consenso, che richiedono risposte tramite click e passaggi giornalieri. Ciò può comportare, soprattutto quando le informazioni non vengono fornite in modo conciso e trasparente, un certo grado di affaticamento da click che potrebbe avere l’effetto di far scemare il ruolo degli avvisi dei meccanismi di consenso.

Moltissimi siti, più o meno importanti e conosciuti, ancora presentano numerose difformità sotto questi aspetti. Il segnale che il Garante Europeo ha voluto inviare credo che sia molto chiaro. Nel forte sviluppo del Web e del digitale tanto più il trattamento dei dati diverrà rilevante tanto l’attenzione delle Autorità sarà concentrata su questi aspetti al fine di garantire il rispetto dei diritti fondamentali degli interessati.

=> Cookie Law: istruzioni Privacy

Considerato questo principio, credo che l’aggiornamento avrebbe potuto essere anche l’occasione per chiarire e disciplinare meglio l’utilizzo dei cosiddetti web beacon o anche detti pixel tag: parliamo delle stringhe di codice invisibile (che permettono di creare un pixel 1×1) utilizzate per tracciare alcuni dati dell’utente nelle sessioni di navigazione o di apertura mail (e.: giorno e ora, posizione geografica, dispositivo di navigazione, ordine di acquisto). I pixel tag, o anche clear gif, inviano ad un server remoto le informazioni senza che sia necessario cliccare sull’immagine o eseguire alcuna operazione positiva, fornendo così alcune informazioni commercialmente preziose sulle abitudini di navigazione degli utenti.

____

Articolo dell’Avv. Emiliano Vitelli