L’EDPB (European Data Protection Board), il Garante Europeo per la protezione dei dati personali, ha emanato nuove linee guida rispondendo al dubbio sulla liceità dell’utilizzo del cosiddetto “scrolling” per il consenso cookie.
Nel documento n. 5/2020, adottato in data 04 maggio 2020, vengono definite ulteriori specifiche su una tematica di fondamentale importanza in data protection: il consenso validamente prestato dal soggetto interessato al trattamento dati.
Sin dalle premesse, sottolineando che le nuove linee guida integrano le già esistenti “WP29 Guidelines on consent (WP259 rev.01)” e le disposizioni normative contenute nel Regolamento UE/679/2016 (GDPR) in materia, l’organo istituzionale interviene chiarendo aspetti fondamentali nell’ambito della tecnologia cookie.
In particolare due sono le questioni sulle quali viene posto particolare accento:
- nell’interazione con la c.d. “cookie wall”, quando il consenso dell’Interessato può considerarsi lecitamente prestato?
- il consenso prestato dall’Interessato mediante “scrolling” può essere considerato lecito?
Per risolvere tali questioni l’EDPB ha effettuato un completo ed attento esame dei principi fondanti la liceità del consenso prestato dall’Interessato, giungendo ad una specifica maggiore circa le indicazioni da seguire nell’utilizzo della tecnologia del c.d. “biscotto magico” e a compiere un’autentica rivoluzione normativa: cookie wall, scrolling e swiping non sono considerabili metodologie idonee ad ottenere lecitamente il consenso dell’Interessato.
Nonostante l’emanazione del Regolamento E-Privacy sia già stata da tempo programmata, la continua evoluzione tecnologica e lo stato di iper-digitalizzazione legato all’emergenza Covid-19 hanno comportato un’accelerazione nella definizione di contorni più chiari sul tema, soprattutto con il proliferare di diversi e-commerce e market-place online.
Sinteticamente, nei paragrafi successivi abbiamo cercato di raccogliere i punti salienti del provvedimento: vediamoli insieme!
Gli elementi del consenso validamente prestato
L’attuale normativa comunitaria e nazionale in materia di data protection stabilisce che il consenso dell’Interessato può considerarsi lecito se è:
- liberamente prestato;
- specifico;
- informato;
- inequivocabile.
Il primo criterio implica che la scelta dell’Interessato mostri una sua reale intenzione di acconsentire a un determinato trattamento dei propri dati da parte del titolare.
Generalmente, pertanto, sono da evitare tutti quegli elementi di “disturbo” alla libera scelta dell’Interessato, i quali possano esercitare sullo stesso una sorta di pressione o influenza inappropriata del libero arbitrio: nella pratica, subordinare il consenso dell’Interessato all’utilizzabilità di un determinato servizio o all’accettazione congiunta di termini e condizioni di servizio, rendono il consenso non valido.
Più in particolare, il consenso è liberamente prestato quando la scelta dell’Interessato è effettuata in presenza di un equilibrio di poteri con il titolare del trattamento, non condizionalità rispetto al prodotto e/o servizio richiesto, granularità e assenza di pregiudizio.
Il consenso deve anche essere specifico e trasparente, ossia vi deve essere una chiara indicazione delle finalità del trattamento, granularità e separazione delle informazioni relative alla protezione dei dati da altre correlate a tematiche differenti (come sopra già accennato in relazione all’esempio dei termini e condizioni di servizio).
A ciò si collega il terzo criterio, ossia l’informativa all’Interessato sul trattamento che il titolare effettuerà con i suoi dati.
Abbiamo parlato degli elementi della cookie policy in un nostro articolo. Se vuoi approfondire clicca qui.
Infine, il consenso è liberamente prestato dall’Interessato quando la sua scelta è inequivocabile, ossia mediante un’azione attiva e positiva che dichiari espressamente la volontà del soggetto.
Per tali ragioni, già precedentemente al provvedimento analizzato, il silenzio-assenso e le metodologie di comportamento passivo dell’Interessato (quali il metodo “opt-out”) non sono considerate valide ai fini dell’ottenimento di un consenso validamente prestato.
Cookie wall, scrolling e swiping: perchè il consenso non è considerato validamente prestato?
Analizzati sinteticamente gli elementi a fondamento del lecito consenso dell’Interessato, torniamo ai quesiti di partenza:
- cookie wall e scrolling sono metodologie idonee a rispettare i criteri esposti?
- possono essere considerate valide ai fini dell’ottenimento del consenso?
La risposta è no! E le ragioni sono da rinvenire proprio nella loro implementazione tecnologica.
Nell’ipotesi di cookie wall, infatti, l’Interessato si trova davanti a un “muro” che vincola la possibilità di fruizione del prodotto e/o servizio alla scelta relativa al trattamento dei suoi dati da parte del titolare del trattamento.
In particolare, se l’Interessato non acconsente al trattamento dei suoi dati per gli scopi ulteriori rispetto a quelli necessari, non può accedere ed usufruire del prodotto e/o servizio.
In questo caso è proprio il primo criterio a venir meno, ossia la libertà di autodeterminazione dell’Interessato nel scegliere di prestare o meno il consenso e tale assenza comporta inevitabilmente l’ottenimento di una scelta inevitabilmente viziata e, pertanto, non validamente prestata.
Lo scrolling (e lo swiping), invece, riguardano quelle metodologie per l’ottenimento del consenso che si basano sullo scorrimento di una pagina web per “eliminare” il banner che si presenta all’ingresso utente, ossia attraverso un “minimo” comportamento dell’Interessato, il quale può comportare una parvenza di attività dello stesso, ma che di fatto non lo è.
La parola del Garante Europeo
I concetti esposti nel paragrafo precedente sono stati a più riprese sottolineati dall’EDPB all’interno delle nuove linee guida:
l’assenza di un’azione chiara ed inequivocabile dell’Interessato rende non valido l’ottenimento del consenso mediante l’utilizzo di tali metodologie, soprattutto perché è molto difficile distinguere tali interazioni da altre ed ulteriori attività dell’utente sul medesimo sito internet.
Pertanto, ciò che sino a pochi giorni fa, seppur “border line”, veniva considerato valido, oggi non lo è più.
Ribadendo quanto già espresso sulla tematica, noi di StartUp Legal siamo orgogliosi di essere stati un po’ i precursori di questa importante rivoluzione normativa.
La trasparenza ed un corretto trattamento dati stanno sempre più diventando fondamentali in ottica di attrattiva e fidelizzazione del cliente.
Sai come valorizzare i dati che raccogli? Dai un’occhiata al nostro Privacy Pack e contattaci!