Cookie e consenso: le Linee Guida sul consenso del 4 maggio 2020 e il colpo allo “scroll” da parte dell’EDPB
Il 4 maggio 2020 il Comitato Europeo per la Protezione dei Dati (meglio noto come European Data Protection Board – EDPB), che riunisce i rappresentanti di tutte le autorità di controllo europee, ha pubblicato quella che il Comitato stesso ha definito una “versione leggermente revisionata” delle Linee Guida interpretative relative alla definizione di “consenso” secondo il Regolamento UE 679/2016 (GDPR)[1].
Il documento, forse anche per il periodo storico particolare e il focus al momento concentrato sull’ormai noto “tracciamento dei contagi”, è passato un po’ in sordina ma le implicazioni dei “chiarimenti ulteriori” integrati nelle nuove Linee Guida sono non da poco, specialmente con riferimento al mercato della pubblicità digitale e soprattutto al mondo dei cookie e del programmatic.
Difatti, le integrazioni intervenute rispetto al documento (rinvenibile qui nella sua versione integrale), riguardano, al di là della premessa che le introduce:
- la validità di un consenso rilasciato davanti ai cosiddetti “cookie walls” e, soprattutto,
- la validità di un consenso espresso tramite scroll.
In primo luogo, le “nuove” Linee Guida, con un incrocio di riferimenti[2], ribadiscono che le condizioni fissate dal GDPR per l’ottenimento di un valido consenso (che il Regolamento rinviene esclusivamente in una “manifestazione di volontà libera, specifica, informata […] dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile”[3]) sono applicabili anche alle fattispecie che ricadono nell’ambito della direttiva ePrivacy[4], comunemente – anche se in maniera imprecisa – nota come Cookie Law, diretta appunto a regolare il trattamento dei dati personali nel contesto delle comunicazioni elettroniche, la quale dovrebbe essere abrogata in futuro da un ulteriore regolamento europeo (ad oggi ancora in fase di definizione da parte delle autorità dell’Unione).
Nell’affermare quanto sopra, pertanto, l’EDPB integra la posizione espressa nella prima versione delle Linee Guida, precisando che un service provider non può impedire agli interessati l’accesso ad un servizio sulla sola base del fatto che questi non hanno prestato un consenso[5]. Di conseguenza, l’accesso a servizi e funzionalità non può essere reso condizionale al fatto che l’utente abbia acconsentito alla conservazione di informazioni (o all’accesso ad informazioni già conservate) nei propri device: in altre parole, l’installazione di cookie o altri identificatori all’interno dei device degli interessati non può costituire “controprestazione” rispetto alla fruizione di servizi o contenuti, pena il blocco degli stessi.
Questa precisazione identifica quindi i cosiddetti “cookie walls”, specificamente richiamati nelle Linee Guida e la cui definizione risponde esattamente al processo summenzionato, come in palese violazione della normativa privacy vigente.
Se già questa affermazione scuote buona parte del mercato digitale – in particolare quello dei servizi di informazione non a pagamento, che spesso traggono la maggioranza delle proprie revenues, fondamentali a garantire un’informazione “libera”, proprio dagli annunci pubblicitari in programmatic – la “novità” delle Linee Guida del 2020 che più di tutte potrebbe sconvolgere le pratiche in uso nel mercato italiano è quella relativa alle precisazioni introdotte in tema di consenso tramite scroll.
Infatti l’EDPB, richiamando il considerando 32 del Regolamento, che ricorda, oltre alle già menzionate caratteristiche del consenso, che questo deve consistere in un “comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto” che, se richiesto attraverso mezzi elettronici, deve avere luogo con una modalità “chiara, concisa [senza] interferire immotivatamente con il servizio per il quale il consenso è espresso”, precisa, in maniera molto decisa, che lo “scrollig” o “swiping” non può in nessuna circostanza soddisfare il summenzionato requisito di “atto positivo inequivocabile”.
Un’azione quale lo scroll, a detta dell’EDPB, risulta ardua da distinguere rispetto ad altre attività ed interazioni, rendendola di conseguenza difficilmente considerabile come “inequivocabile”. In aggiunta, sempre a detta del Comitato, risulterebbe difficile permettere la revoca di un consenso così espresso con una modalità semplice tanto quanto quella con cui questo è stato prestato (il GDPR, infatti, richiede che il consenso risulti revocabile “con la stessa facilità con cui è accordato”[6]).
Queste affermazioni, particolarmente puntuali e mirate ad una certa tipologia di business, poco forse significheranno per gli operatori del mondo della cd. lead generation, che per ora possono tirare un sospiro di sollievo, tornando a raccogliere consensi tramite gli ormai noti “check-box non pre-selezionati”, mentre rischiano di creare allarme tra coloro che operano con cookie e altre tipologie di identificatori online, soprattutto nel mercato italiano.
Questo perché, ad oggi, perlomeno in Italia, il consenso per il rilascio dei cookie di profilazione, anche di terze parti, si ritiene legittimo anche se rappresentato da uno scroll, come precisato esplicitamente nei “Chiarimenti in merito all´attuazione della normativa in materia di cookie” pubblicati dal Garante per la protezione dei dati personali nel 2015[7], volti a precisare le disposizioni di cui all’ormai noto “Provvedimento cookie” del 2014[8], che fa invece più blandamente riferimento alla “prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un´immagine o di un link)”.
Pertanto, una buona parte della raccolta dati italiana realizzata attraverso cookie e altri identificatori di profilazione (compresa, in alcuni casi, quella che ha luogo tramite Consent Management Platform o più semplicemente CMP) si svolge, ad oggi, fondandosi proprio su tale contestato scroll da parte dell’utenza, forte della posizione espressa dalla nostra Autorità, che, tra l’altro, anche dopo il caso Planet49, non ha definito nuove disposizioni sul tema o comunque indicazioni in contrasto con quanto emerso nel biennio 2014-2015.
Certa è la necessità, ancora di più in seguito alla pubblicazione delle Linee Guida aggiornate, di un presa di posizione definitiva su una questione che, sin dall’avvento del GDPR, ha costituito fonte di discussione, soprattutto rispetto a soggetti stranieri le cui autorità (vedasi soprattutto il CNIL francese) hanno da tempo definito le proprie interpretazioni sui temi e-privacy.
È bene precisare che la puntualità delle indicazioni dell’EDPB, concentrate su cookie walls e scroll, sembrerebbe non intaccare, per il momento, la “struttura” privacy di raccolta del consenso ideata dal nostro Garante nel Provvedimento Cookie (che trovate più approfonditamente descritta nel nostro precedente articolo relativo al tema del “consenso attivo”). Tale struttura, basata su “due livelli di approfondimento successivi”, e quindi la presentazione di un banner di informativa breve, che indica altresì le modalità di prestazione del consenso, seguita dalla possibilità di approfondire la lista dei cookie (e delle terze parti) che raccolgono dati a partire dal sito tramite una informativa estesa, non sembrerebbe trovare controindicazioni nelle Linee Guida che, anzi, senza aggiungere nulla alla versione del 2018, dichiarano che “quando il consenso deve essere prestato a fronte di una richiesta elettronica, quest’ultima non deve interferire inutilmente con l’utilizzo del servizio per il quale viene fornito il consenso”[9].
Attendiamo quindi che l’Autorità si esprima – anche solo sotto forma di Chiarimenti, come fatto nel 2015 – non soltanto per reiterare la validità della struttura predisposta con il Provvedimento Cookie (salvo che per l’ormai “sdoganato” riferimento allo scroll) ma soprattutto per precisare una volta per tutte lo status delle disposizioni italiane applicabili in materia e-privacy, cercando di supplire, nelle more dell’approvazione di nuove norme europee in materia, a quel distanziamento tra normativa ed evoluzione tecnologica del mercato che sembra, con il passare del tempo, sempre più invalicabile.
[1] “Guidelines on consent under Regulation 2016/679” (WP259.01)
[2] “Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.0 Adopted on 4 May 2020”; par. 6 e 7, letti congiuntamente alla nota no. 12; (pag.5)
[3] Regolamento Generale sulla Protezione dei Dati (RGPD o GDPR), Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016; Art. 4 no. 11
[4] Direttiva relativa alla vita privata e alle comunicazioni elettroniche, Direttiva 2002/58/EC del Parlamento europeo e del Consiglio del 12 Luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche
[5] “Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.0 Adopted on 4 May 2020”; par. 38-41, letti congiuntamente alla nota no. 25; (pagg.10-11)
[6] Regolamento Generale sulla Protezione dei Dati (RGPD o GDPR), Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016; Art. 7 co. 3
[7] “Chiarimenti in merito all’attuazione della normativa in materia di cookie”, URL https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878
[8] “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014”; Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014; Registro dei provvedimenti n. 229 dell´8 maggio 2014; doc. web n. 3118884
[9] Traduzione italiana delle “Guidelines on consent under Regulation 2016/679” (WP259.01), p. 18