Il 4 maggio 2020 l’EDPB ha pubblicato le Guidelines 5/2020 in materia di consenso (trovate il testo integrale nella sezione documenti utili del Blog al n. 48 della lista) per precisare alcuni principi in merito all’annosa questione dell’uso dei cookie walls.
In assenza dell’approvazione del Regolamento e-privacy – atteso ormai da così tanto tempo da essere entrato nel novero delle norme mitologiche – il tema dei cookies continua ad essere fonte di varie interpretazioni dei Garanti nazionali, i quali esprimono orientamenti non sempre tra loro omogenei ed ingenerando, quindi, prassi non uniformi da parte degli operatori all’interno della UE: potete leggere, ad esempio, i miei precedenti articoli sul tema (“cookies in Spagna” e “I cookies secondo l’ICO“) per rendervene conto.
Le Guidelines 5/2020 dell’EDPB rappresentano un aggiornamento delle precedenti linee guida del 2018 pubblicate dal WP29, di cui l’EDPB ha preso il posto, resosi necessario per offrire un chiarimento in merito alla validità del consenso:
- ottenuto dagli interessati tramite i cosiddetti “cookie walls“;
- acquisito utilizzando il meccanismo di “scrolling” della pagina web.
Com’è noto, i cookie walls impediscono l’accesso al contenuto del sito web o di un servizio on-line a quegli utenti che non prestano il proprio consenso a tutti indistintamente i cookie del sito (utilizzando, spesso, allo scopo, un unico “bottone” di accettazione); il meccanismo di scroll, invece, si basa sul presupposto che l’utente, per il semplice fatto di aver fatto scorrere la pagina web, abbia acconsentito all’uso dei cookie presenti sul sito.
l’EDPB, richiamando il principio sancito dal GDPR del consenso libero ed esplicito, ha precisato che l’accesso ai servizi e alle funzionalità di un sito non deve essere subordinato al consenso di un utente al c.d. cookie walls, chiarendo tale concetto con alcuni esempi pratici.
L’EDPB ha stigmatizzato l’uso dei cookie walls come esempio di consenso non valido tutte le volte che, all’utente, non viene offerta la possibilità di scegliere le tipologie di cookies che intende accettare con le correlative finalità: in questi casi, afferma l’EDPB, il consenso non è genuino né libero.
Tra gli esempi pratici riportati nelle Guidelines, è interessante l’esempio dell’utilizzo – illecito – dei dati dell’utente derivanti dall’accelerometro dello smartphone da parte di un app di lifestyle: l’EDPB chiarisce che l’accelerometro non è essenziale per l’utilizzo dell’app ma serve al titolare del trattamento unicamente per avere più informazioni sull’utente, che viene costretto in modo illegittimo a dare il suo consenso per utilizzare l’app nel suo complesso. Una tale pratica non è, quindi, conforme al GDPR.
Per quanto riguarda, poi, il meccanismo di scrolling, l’EDPB ha ribadito che:
– scorrere una barra su uno schermo,
– spegnere la fotocamera,
– girare uno smartphone in un determinato modo
possono essere opzioni per indicare un consenso specifico ed esplicito solo purché la circostanza sia spiegata all’utente in modo chiaro ed inequivocabile.
Così, anche il semplice scorrimento di una pagina web non è idoneo a soddisfare il requisito di una positiva manifestazione del consenso: il Titolare del trattamento può ottenere un consenso esplicito dagli utenti solo fornendo loro le cosiddette “YES and NO check-boxes“, dove il consenso dell’utente può assumere quella granularità prevista e richiesta dal GDPR.
In attesa del Regolamento e-privacy, la neverending story dei cookies prosegue.