ADEMPIMENTI PRIVACY

Cookie e altre tecnologie traccianti: linee di indirizzo e implicazioni operative per la data protection

L’utilizzo dei cookie e di altre tecnologie traccianti (pixel, browser fingerprinting, Software Development Kit) è stato posto, nell’ultimo periodo, sotto la lente d’ingrandimento di molte Autorità di controllo europee per la protezione dei dati personali. Ecco alcuni spunti di riflessione e risvolti pratici che possiamo trarre da una lettura congiunta delle ultime linee guida emesse a livello europeo

20 Gen 2020
C
Giulia Casacci

Data Protection Specialist at Technology Advisory Team - VEM Sistemi

S
Luca Spongano

Data Protection Specialist at Technology Advisory Team - VEM Sistemi


Nell’anno che ci lasciamo alle spalle si è assistito ad un moltiplicarsi di pubblicazioni di linee guida da parte delle Autorità di controllo europee finalizzate a regolare conformemente al Regolamento (UE) 2016/679 (GDPR) l’utilizzo di cookie e di altre tecnologie traccianti simili.

In particolare, l’ICO inglese, la CNIL francese, l’AEPD spagnola, l’autorità del Baden-Wurttemberg tedesco (così come, sempre in Germania, la Conference of Data Protection Authorities – Datenschutzkonferenz – DSK), l’olandese Autoriteit Persoonsgegevens (AP), nonché la Corte di Giustizia dell’Unione Europea – CGUE (negli ultimi sviluppi delle cause C-40/17-Fashion ID GmbH & Co.KGe e C-673/17-Planet49 GmbH) si sono espressi nel merito.

Le riflessioni che seguono si pongono l’obiettivo di fare emergere, dalla lettura delle ultime disposizioni europee, alcuni orientamenti predominati nella regolamentazione dell’utilizzo dei cookie con specifico riferimento alla granularità e inequivocabilità del consenso per una loro installazione, all’utilizzo dei c.d. cookie wall e al requisito della libertà del consenso.

Cookie e tecnologie traccianti: contesto tecnico e normativo

Va preliminarmente chiarito che tutto quello che nasce con l’intento di regolarizzare l’utilizzo dei cookie deve essere applicato estensivamente ad ogni tecnologia similare che sia in grado di memorizzare o accedere ad informazioni sul dispositivo di un utente (si tratta, questo, di un aspetto ben delineato dall’ICO nelle sue ultime Linee Guida che vanno in piena continuità con il parere 04/2012 relativo all’esenzione dal consenso per l’uso di cookie pubblicato dal WP29 ora European Data Protection Board o “EDPB”).

Tra queste tecnologie vi rientra, ad esempio, il cosiddetto fingerprinting del dispositivo ossia il riconoscimento dell’impronta digitale fornita da un insieme di parametri tecnici esclusivi e specifici di un dispositivo che consiste nel combinare una serie di informazioni in grado di individuare, correlare o dedurre un utente o un determinato dispositivo nel tempo.

Tra le informazioni che il sistema di fingerprinting è in grado di individuare e dedurre rientrano, tra gli altri, i dati derivanti dalla configurazione del dispositivo, i dati esposti mediante l’uso di particolari protocolli di rete, i plugin installati all’interno del browser, l’utilizzo di interfacce per programmi applicativi (Application Programming Interfaces – API), l’utilizzo di API esterne dei servizi web con cui sta comunicando il programma utente/dispositivo, etc. (al riguardo si veda il parere 9/2014 dell’ex WP29 sull’applicazione della Direttiva e-Privacy 2002/58/CE al device fingerprinting).

Quando si parla di tecnologie traccianti deve farsi riferimento, altresì, all’utilizzo di scripts, pixel di tracciamento (si pensi, ad esempio all’utilizzo sui siti web di strumenti che permettono di gestire e “dispacciare” dei marketing tags/script da attivarsi solo in base a determinate regole/trigger individuabili, di norma, nella base giuridica rappresentata dal consenso dell’utente) o, ancora, all’utilizzo (sempre più massivo) di Software Development Kit – SDK nell’ambito delle mobile application.

Appare quindi chiaro che le funzioni solitamente assolte dai cookie possano essere parimenti eseguite avvalendosi di ulteriori, ma sempre affini, tecnologie.

Che cosa sta succedendo a livello europeo nella regolamentazione di questo tema dal punto di vista privacy? Nonostante la mancanza di progressi concreti nell’ambito dell’e-Privacy Regulation (regolamento che andrà a sostituire quanto oggi fissato dalla Direttiva e-privacy e che continuerà a configurarsi come lex specialis – rif. art. 95 e considerando 173 del GDPR – adibita cioè a precisare ed integrare il contenuto del GDPR relativamente al settore delle comunicazioni elettroniche) l’anno che ci lasciamo alle spalle è stato piuttosto fruttuoso per quanto riguarda la regolamentazione del tema cookie/tecnologie affini:

  1. nel marzo del 2019, la DSK tedesca ha emesso un guidance paper che fornisce, in particolare, indicazioni utili per svolgere bilanciamenti di interessi (Legitimate Interest Assessment o “LIA”) per l’utilizzo di talune tipologie di cookie e che indica come l’utilizzo di servizi di terze parti per finalità di tracciamento dei visitatori dei siti sia possibile sempre e solo basandosi sul consenso (ai sensi dell’art.6, comma 1, lett. a del GDPR);
  2. sempre nel marzo del 2019, l’AP olandese ha pubblicato alcune interessanti linee guida che si concentrano in particolare sui cookie wall che subordinano l’accesso ai siti web;
  3. nell’aprile del 2019 l’Autorità del Baden Wurttemberg ha pubblicato alcune interessanti FAQ relative all’uso di cookie ed altri taccianti, che si rivelano un buon strumento utilizzabile dai gestori dei siti e degli sviluppatori di mobile applications;
  4. nel luglio 2019 l’ICO inglese ha pubblicato la già citata nuova guida sull’uso dei cookie e di altre tecnologie traccianti;
  5. nel luglio 2019, la francese CNIL, ha aggiornato le sue precedenti Linee Guida del 2013 sui cookie, con una nuova versione che rientra nel piano d’azione del biennio 2019-2020 e che porterà alla pubblicazione di ulteriori raccomandazioni ad inizio di quest’anno con lo specifico obiettivo di fornire una guida sulle modalità pratiche per ottenere il consenso dell’utente;
  6. nell’ottobre del 2019, la CGUE ha emesso la sentenza sulla questione Planet 49, che qui rileva in particolare laddove afferma che gli operatori di siti Web che desiderano memorizzare cookie sul dispositivo di un utente devono ottenere il consenso attivo, fornito liberamente, specifico, informato e inequivocabile, come richiesto dal GDPR all’art.4(11). La CGUE ha espressamente stabilito che non è da considerarsi validamente prestato il consenso all’utilizzo di cookie mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso;
  7. nel novembre del 2019, l’AEPD spagnola ha pubblicato la propria Guida sull’uso dei cookies, di cui si dirà più avanti.

Granularità e inequivocabilità del consenso

Va preliminarmente chiarito che non tutti i cookie/tecnologie affini necessitano di un consenso preventivo degli utenti per poter essere installati sui loro terminali.

Ad esempio, il consenso non è di norma richiesto per quei cookie necessari ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica (c.d. cookie tecnici di navigazione o di sessione).

Di fatto la condizione di liceità per l’utilizzo dei cookie che si ritiene ricadano sotto l’articolo 6, comma 1, lett. b del GDPR, trova fondamento nella base giuridica rappresentata dalla prestazione di un servizio richiesto esplicitamente dall’utente interessato; si tratta di una posizione ben affermata, in ultimo, anche dall’EDPB nella Versione 2.0 dell’Opinion 2/2019 (in ogni caso, all’interno della presente disamina, non si tratterà del tema – seppur molto interessante – su quali tipologie/categorie cookie necessitino giuridicamente di un previo consenso per una loro installazione sul terminale degli utenti).

Dalla lettura congiunta delle linee guida della Autorità di Controllo europee citate in premessa (con l’unica eccezione di quella pubblicata dell’AEPD spagnola del novembre scorso, di cui si darà conto più avanti), si segnala un cambio di orientamento rispetto al passato in merito alla validità di formulazioni, ormai a tutti note, come “continuando a navigare in questo sito accetti l’utilizzo di cookie di profilazione” o di disclaimer posti nei cookie-banner dei siti in cui venga enunciato agli utenti che il continuare a scorrere il sito web (ovvero fare lo “scrolling” dello stesso) valga come azione positiva inequivocabile e accettazione all’utilizzo di talune tipologie di cookie (ad es. quelli profilativi a fini di display/programmatic adv).

La DSK tedesca rileva inoltre che banner contenenti informazioni sui cookie e un generale pulsante “OK” funzionale alla loro accettazione non sarebbe considerata condizione sufficiente per la raccolta di un valido consenso.

Da ciò ne consegue che il banner dovrebbe elencare in modo specifico tutte le attività di trattamento che richiedono il consenso e che gli utenti dovrebbero essere messi nella condizione di poter rifiutare di prestare un proprio consenso.

Le autorità tedesche ritengono inoltre sia necessario prevedere meccanismi di manifestazione granulare delle preferenze, senza tuttavia spingersi a specificare se queste possano essere effettuate a più “stadi” (in cui ad esempio un semplice click-button accetta tutti i cookie” posto al primo livello del cookie-banner o informativa breve, debba essere poi accompagnato dalla possibilità di esprimere opzioni “granulari” sui singoli cookie nel contesto del secondo e più esteso strato informativo costituito dalla cookie policy).

In generale, tali orientamenti stanno indirizzando i gestori dei siti verso un’implementazione di piattaforme di amministrazione dei cookie che consentano agli utenti di poterli accettare in modo selettivo (ad esempio, per gruppi omogenei in base alla finalità) incorporando tale possibilità, in taluni casi, fin dal momento della presentazione del cookie-banner al primo accesso al sito.

A tal fine, troviamo alcuni spunti interessanti in due recenti decisioni adottate dall’AEPD spagnola:

  1. in quella verso Ikea Iberica, che è stata sanzionata nelle settimane scorse per non avere, tra gli altri, informato gli utenti sulla possibilità di impostare le preferenze di utilizzo di cookie e per non aver fornito, nella propria politica sui cookie, un collegamento ad un pannello o ad un sistema di configurazione dei cookie abilitato a selezionarli in forma granulare e selettiva;
  2. in quella verso Vueling Airlines (anch’essa sanzionata), in cui emerge l’importanza di implementare sui siti un sistema di gestione o un pannello di configurazione dei cookie che premetta agli utenti di selezionarli/eliminarli in modo granulare. Per facilitare questa selezione il pannello dovrebbe abilitare un meccanismo o un pulsante per rifiutare tutti i cookie ed un altro per abilitarli. L’AEPD, in questa risoluzione, aggiunge anche che le tipiche informazioni presenti nelle Privacy Policy relative alle modalità che gli utenti possono adottare per configurare/rifiutare i cookie tramite le funzionalità del proprio browser, sono (in mancanza di un contestuale modalità di espressione delle preferenze/consensi degli utenti implementata direttamente dal gestore del sito) ritenute insufficienti all’effettivo scopo di consentire all’utente di configurare le preferenze in forma granulare o selettiva.

Insieme alla DSK, anche l’ICO e la CNIL ritengono che l’azione degli utenti consistente nel continuare la navigazione di un dato sito non possa essere considerata espressione inequivocabile del consenso per l‘inizializzazione dei cookie che necessitino proprio del consenso come loro base giuridica.

Diversamente dalle citate Autorità, l’AEPD spagnola ritiene invece che azioni quali quella di continuare la navigazione del sito, fare un click su una parte dello stesso o su un collegamento in esso contenuto, eseguire lo “scrolling”, chiudere l’avviso costituto dal cookie-banner, costituiscano invece rilascio del consenso all’uso dei cookie, in quanto rappresentative di un’azione chiara e affermativa.

Tutto questo, però, solo in caso della contestuale adozione di un’altra serie di previsioni, quali la presenza di un’Informativa breve (inserita in una posizione ben visibile, in modo che la sua forma, colore, dimensione garantisca che l’utente sia a conoscenza di tale avviso) che:

  1. espliciti chiaramente che le azioni precedentemente indicate (ad. esempio il citato scrolling) valgano come rilascio del consenso;
  2. contenga specifico link ad un pannello di configurazione dei cookie che permetta all’utente di rifiutare o impostarne la configurazione preferita.

E in Italia cosa ha previsto il Garante Privacy in merito a cosa possa essere ritenuto valido consenso? Per farlo dobbiamo richiamare il Provvedimento dell’8 maggio del 2014 (tuttora applicabile) il quale, pur rammentando la necessità di prevedere un banner di idonee dimensioni (cioè un cookie-banner tale da permettere una percettibile discontinuità a livello di fruizione dei contenuti), indica che la prosecuzione della navigazione mediante accesso ad altra area del sito o la selezione di un elemento dello stesso (ad esempio, di un´immagine o di un link) comporti la prestazione del consenso all´uso dei cookie.

Di tenore simili appaiono i chiarimenti pubblicati dal Garante Privacy successivamente all’uscita del citato Provvedimento, nei quali viene testualmente indicato che modalità di acquisizione del consenso basate su uno “scroll“, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, siano considerate in linea con i requisiti di legge (qualora queste azioni siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito, che possa essere qualificato come azione positiva dell’utente).

A parere di chi scrive, si ritiene che questa impostazione sia, oggi, in contrasto con gli ultimi orientamenti avanzati delle altre Autorità di controllo europee di cui si è dato precedentemente conto.

Quindi, come comportarsi al riguardo? Proviamo a fare un po’ di chiarezza sul tema. Per farlo si ritiene imprescindibile prendere a riferimento le Linee Guide su consenso (rev.01) elaborate dall’EDPB in cui in maniera chiara e netta, viene affermato che il Titolare del trattamento (gestore di un sito) dovrebbe progettare meccanismi di consenso che operino in maniera chiara per gli interessati: deve essere evitata l’ambiguità e deve essere garantito che l’azione con cui l’utente esprime il consenso possa essere distinta da altre azioni.

WEBINAR
Machine Learning, Analytics e hybrid cloud a supporto della Cybersecurity. Ecco come in un webinar
Big Data
Intelligenza Artificiale

La semplice prosecuzione dell’uso normale di un sito web non è ritenuta dall’EDPB un comportamento dal quale si possa dedurre una manifestazione di volontà dell’interessato a prestare il consenso a un trattamento proposto.

L’EDPB va anche oltre, fornendo un chiaro esempio al riguardo, dal quale risulta che “scorrere un sito verso il basso o sfogliarne le pagine non sono azioni chiare e positive, poiché l’avviso che continuare a scorrere il sito costituirà un’espressione di consenso può essere difficile da distinguere e/o può essere trascurato inavvertitamente quando l’interessato scorre rapidamente grandi quantità di testo; inoltre tali azioni non sono sufficientemente inequivocabili”.

Tali comportamenti non costituirebbero, infatti, azioni positive inequivocabili tramite le quali l’utente possa manifestare chiaramente e consapevolmente la volontà di autorizzare l’esecuzione di un trattamento di dati personali che lo riguardano (al massimo, si potrebbe parlare in questi casi di azioni che determinino un consenso desunto o “inferito”).

Come si accennava in premessa, su questi temi si è espressa anche la CGUE rinnovando (si veda la C-673/17-Planet49 GmbH) a sua volta il concetto che il consenso sui cookie deve essere specifico, stabilendo che per l’installazione dei cookie è sempre necessario il consenso attivo degli utenti e indicando che non è considerato legittimo un consenso acquisto tramite caselle pre-spuntate in quanto non risulterebbe possibile determinare a livello oggettivo se la scelta di non deselezionare tali caselle pre-spuntate possa rappresentare effettiva manifestazione di un consenso.

Il Garante Privacy italiano in concomitanza con l’uscita di tale sentenza ha provveduto ad aggiornare l’area dedicata al tema dei cookie sul proprio sito, richiamando proprio la citata decisione della CGUE. Inoltre, tra le sintetiche FAQ pubblicate (in particolare la n.10 e la n.11 che trattano proprio il tema dell’acquisizione di un consenso documentabile) non viene richiamata l’ipotesi dello scrolling.

Ciò potrebbe lasciare presagire l’approssimarsi di una modifica della posizione del 2014, che apparirebbe perfettamente in linea con quanto fatto dalla CNIL. Quest’ultima, infatti, nel 2019 ha provveduto ad aggiornare e modificare la propria posizione del 2013 che prevedeva anch’essa, alla stregua di quella attuale del nostro Garante, che lo scrolling down/il navigare o scorrere un sito Web o un’applicazione, costituissero manifestazione di un valido consenso.

Vedremo quindi se nelle prossime settimane verrà assunta, a livello nazionale, una nuova e diversa posizione in merito a quali tipologie di azioni da parte degli utenti possano rappresentare azione inequivocabile per la raccolta di un valido consenso.

È probabile che si stia aspettando, anche, la definitiva approvazione del Regolamento e-Privacy in cui il tema cookie sembrerebbe essere uno di quelli più discussi, con il terreno di scontro rappresentato, in particolare, dagli art.8.1, 9, 10 e dal Considerando 22 della bozza, relativi proprio alle modalità di acquisizione del consenso.

Infatti, nella proposta originaria della Commissione Europea emerge la volontà di dotarsi di norme razionalizzate e semplificate per i cookie, sancendo così la volontà di evitare agli utenti la banner fatigue e previlegiando soluzioni che permettano di agire direttamente nella configurazione del browser per settare “a monte” le impostazioni di accettazione o rifiuto di tali marcatori ed altri identificatori (si vedano al riguardo le sezioni 3.1 – 3.4 contenute nella Relazione accompagnatoria della proposta del gennaio 2017); mentre, le ultime bozze, nonché le contestuali relazioni sullo stato di avanzamento dei lavori a livello di Consiglio UE (in sede di Gruppo “Telecomunicazioni e società dell’informazione”), lascerebbero presagire una posizione meno netta di quella inziale.

Anche in assenza di nuove indicazioni e in pieno rispetto del principio di “responsabilizzazione” sancito dal GDPR, si ritiene pertanto che oggi la soluzione ottimale e miglior prassi da seguire (con riferimento a modalità di raccolta del consenso) sia proprio quella rappresentata dall’EDPB sopra citata (ancorché disapplicativa, come detto sopra, di quanto indicato dal nostro Garante Privacy nel 2014).

Tale soluzione dovrebbe essere sempre accompagnata, al contempo, da un meccanismo di scelta (con appositi click-button non solo di ‘Accettazione’ ma anche di ‘Rifiuto’) da collocarsi già all’interno del cookie-banner con contestuale link ad apposito cookie preference center (qualora questo non sia già collocato nel primo layer costituito dal banner) in cui l’utente possa interagire esprimendo e modificando granularmente le proprie preferenze sulle categorie di cookie da autorizzare.

Cookie wall e libertà del consenso

L’approccio consigliabile, che emerge dai più recenti orientamenti interpretativi e applicativi in materia di cookie e tecnologie traccianti, si fonda, come visto, sulla possibilità per l’utente di esprimere e modificare in maniera granulare e specifica le proprie scelte sulle categorie di cookie da autorizzare, evitando pertanto di acquisire un consenso basato sul semplice scrolling della pagina web o raccolto attraverso caselle pre-spuntate.

Tale impostazione garantisce all’utente una maggiore consapevolezza e un più saldo dominio sulle finalità di trattamento dei propri dati personali, in ossequio ai principi fondamentali in materia privacy, ma, al contempo, determina negli operatori del mercato il timore di una maggiore difficoltà nell’acquisizione del consenso per le categorie di cookie profilativi anche di terza parte, quali quelli consistenti nella raccolta di dati comportamentali al fine di inviare pubblicità personalizzata agli utenti (c.d. behavioural targeting).

Restano quindi esclusi dalla presente disamina i cookie c.d. tecnici, che non richiedono il consenso dell’utente per la loro attivazione.

Interessante è il commento sul punto di Aleid Wolfsen, Presidente dell’Autorità Garante Olandese (Autoriteit Persoonsgegevens, AP): “Il tracciamento e la registrazione digitale del comportamento di navigazione su Internet tramite software di monitoraggio o altri metodi digitali è uno dei maggiori trattamenti di dati personali, poiché quasi tutti tali metodi sono attivi su Internet. Per proteggere la privacy, è quindi importante che le parti richiedano l’autorizzazione ai visitatori del sito Web in modo corretto”.

In materia di strumenti traccianti, l’approccio normativo e l’orientamento applicativo tendenzialmente uniforme delle Autorità, come descritto nei paragrafi precedenti, si fondano sulla consapevole scelta dell’utente sulla tipologia di dati personali trattati e sulle finalità di detto trattamento.

La creazione di cookie preference center volti a rendere il consenso prestato granulare e specifico, oltre che informato, è dunque perfettamente in linea rispetto agli obiettivi di protezione dei dati personali e ai principi fondamentali in materia.

Si assiste, a ben vedere, a un vero e proprio cambio di direzione: se in passato, come abbiamo visto, continuare la navigazione si riteneva potesse costituire accettazione all’attivazione di cookie profilativi (orientamento condiviso anche dal Garante Privacy italiano nel Provvedimento dell’8 maggio 2014), l’interpretazione oggi predominante prevede invece che continuare la navigazione senza aver prestato all’uopo un esplicito e specifico consenso, determini, all’opposto, il blocco o la mancata attivazione delle tecnologie profilanti.

Appare dunque chiaro che in materia di cookie profilativi e altri strumenti traccianti o di monitoraggio analoghi, ai fini della legittimità e liceità del trattamento, il punto focale sia costituito dalle modalità per acquisire un consenso idoneo.

Proprio al fine di “semplificare” l’acquisizione del consenso degli utenti per l’attivazione delle categorie di cookie profilativi, idonei a raccogliere dati ritenuti particolarmente preziosi per le più efficaci strategie di marketing, gli operatori del settore hanno spesso adottato “soluzioni alternative”.

Tra queste, vi sono i cookie wall. Per comprendere se tale modalità sia o meno legittima, dobbiamo preliminarmente comprendere in cosa consista. Per semplicità, faremo riferimento ai cookie wall presenti su un sito web, ma tale impostazione può certamente essere attivata anche su applicazioni o altri servizi.

Cosa sono i cookie wall

Secondo la definizione fornita dall’Autorità Garante Olandese, Autoriteit Persoonsgegevens (AP), “un cookie wall indica che le persone che desiderano visitare un sito Web o utilizzare un’applicazione devono accettare i cookie prima di poter accedere al sito Web. Se non viene fornita l’autorizzazione, gli utenti non avranno accesso”.

Dunque, i cookie wall, di fatto, impediscono l’accesso al sito web (o a un servizio) agli utenti che non acconsentono a tutti i cookie e analoghe tecnologie traccianti presenti sul dominio.

Si configura uno scenario “prendere o lasciare” presentato mediante un banner impostato al fine di attivare tutte le tecnologie traccianti nei confronti dell’utente che, trovandosi a tutti gli effetti davanti a una scelta obbligata tra accettare tutti i cookie o vedersi negato l’accesso al sito, intenda proseguire la navigazione.

Tipicamente, in presenza di cookie wall, viene individuato un secondo livello di informativa contenente la descrizione dei cookie presenti, ma senza che di solito tali informazioni siano accompagnate dalla possibilità, per l’utente, di manifestare in modo granulare e specifico le proprie preferenze.

La base giuridica di tale trattamento è costituita dunque dal consenso dell’utente, unico e generale per tutti i cookie presenti sul dominio, da esprimersi tipicamente mediante un banner contenente un unico pulsante di accettazione.

L’utente che non intenda prestare il proprio consenso, non può accedere al sito Web o al servizio.

Se è vero che, in questo caso, il consenso prestato dall’utente si sostanzia in un’azione positiva quale il click sul pulsante web di accettazione (e non, dunque, mediante semplice prosecuzione della navigazione), appare già chiaro che tale modalità non soddisfi invece il requisito di specificità.

Ma c’è di più. La valutazione circa la legittimità dei cookie wall non può che passare dall’approfondimento dell’ulteriore requisito del consenso validamente prestato: la libertà.

Libertà del consenso

Le caratteristiche essenziali del consenso sono contenute nella definizione di cui all’art. 4 n. 11 del GDPR. Tale nozione allude, come in parte già approfondito, alla manifestazione di volontà che sia “libera, specifica, informata e inequivocabile”.

In particolare, la libertà del consenso è intesa quale assenza di condizionamenti tanto nella formazione della volontà, quanto nella sua effettiva espressione.

Il Considerando 42 offre ulteriori spunti, utili a riempire di significato il requisito della libertà: “il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”.

L’utente deve quindi poter godere di una scelta reale, effettiva, senza subire limitazioni o pregiudizi nel caso in cui non intenda manifestare positivamente la propria volontà.

Da tale interpretazione, ribadita anche dal WP29 (Guidelines on Consent under Regulation 2016/679, wp259rev.01), non può che discendere l’affermazione per cui se l’utente è posto nella condizione di non poter accedere al servizio o al sito Web senza prima aver prestato consenso all’attivazione di tutte le tipologie di cookie presenti sul dominio, comprese quelle traccianti e profilative, tale consenso, anche qualora prestato mediante azione inequivocabile, non può che difettare del requisito di libertà e sarà, pertanto, invalido.

Nel caso specifico dei cookie wall, l’utente viene di fatto posto nell’impossibilità di usufruire di un servizio se non acconsente alla profilazione o, comunque, all’attivazione di cookie diversi da quelli c.d. tecnici.

Viene meno il carattere di libertà nella manifestazione della volontà, poiché viene meno la scelta effettiva dell’utente sul controllo dei propri dati, costretto ad accettare il trattamento per evitare di subire conseguenze negative quali il mancato accesso ai servizi o al sito Web.

Così, sul punto, anche l’EDPB, che menziona i cookie wall proprio per escluderne l’utilizzo stante l’incompatibilità degli stessi con la necessità di ottenere un consenso libero da parte degli utenti.

Alcune correnti interpretative, che chi scrive non ritiene condivisibili, hanno tuttavia sostenuto che l’attivazione di cookie profilativi e analoghe tecnologie traccianti sia da considerarsi parte integrante dei termini e delle condizioni accettate dall’utente per usufruire del servizio o per avere accesso alla pagina Web.

Secondo tale impostazione, venivano inserite all’interno dei ToS (terms of service o condizioni del servizio) clausole con le quali tali attività di trattamento venivano espressamente menzionate come fossero parte dell’esecuzione del contratto.

A ulteriore conferma dell’invalidità del consenso così raccolto, si richiama il contenuto del Considerando 43 del GDPR, per cui “si presume che il consenso non sia stato liberamente espresso (…) se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Insomma: se il consenso costituisce parte non negoziabile delle condizioni di contratto, questo non può dirsi liberamente prestato. L’art. 7, paragrafo 4 del GDPR è chiaro sul punto: “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Non può quindi ritenersi libero il consenso al quale sia subordinata l’esecuzione di un contratto per la quale il trattamento dei dati richiesti non sia necessario, in ossequio al principio di necessità.

D’altro canto, qualora il trattamento sia indispensabile per l’esecuzione di un contratto, non potrà basarsi sul consenso, quanto piuttosto sulla base giuridica costituita dall’esecuzione di un contratto ai sensi dell’art. 6, paragrafo 1, lettera b) del GDPR.

Tale base giuridica, relativa all’esecuzione di un rapporto contrattuale o precontrattuale, non può costituire un fondamento adeguato al trattamento consistente nella creazione di profili comportamentali o di proferenze dell’utente, a meno che, si ritiene, tale trattamento non risulti effettivamente necessario tenuto conto dell’oggetto dell’accordo tra le parti e dei servizi offerti.

Il WP29 nel Parere 6/2014 sul concetto di interesse legittimo, già introduceva tale interpretazione, affermando che il fondamento giuridico che può essere invocato nei casi in cui il trattamento è necessario all’esecuzione di un contratto o di misure precontrattuali “non è un fondamento giuridico adeguato per creare un profilo dei gusti e delle scelte di stile di vita dell’utente sulla base della sequenza di clic che ha effettuato su un sito web e degli articoli che ha acquistato. Questo perché il titolare del trattamento dei dati non ha firmato un contratto per elaborare profili, bensì per fornire beni e servizi particolari, per esempio.

Tanto premesso, deve ritenersi che la profilazione non sia, quindi, necessaria alla fornitura dei beni o servizi, anche se il trattamento risulta espressamente menzionato nelle condizioni contrattuali.

L’utilizzo dei cookie wall non appare dunque lecito in riferimento alla vigente normativa in materia di trattamento dei dati personali. Tale conclusione è inoltre confermata anche in alcuni Provvedimenti delle Autorità Garanti europee. In particolare:

  1. L’AP olandese, il 7 marzo 2019, ha dedicato alcune puntuali riflessioni proprio ai cookie wall. L’utente, rileva l’Autorità, non ha alcuna scelta reale o libera: se è vero che può rifiutare tali cookie, vero è anche che non può farlo senza subire conseguenze negative quali il mancato accesso al sito Web. I cookie wall sono quindi in contrasto con le disposizioni del GDPR, in quanto non consentirebbero di acquisire un valido consenso da parte degli utenti. L’Autorità ha inoltre precisato che tale interpretazione si intende applicabile non solo ai cookie, ma anche alle tecnologie similari per le quali sia necessario acquisire un consenso.
  2. L’ICO inglese, in un articolo del 3 luglio 2019, seppur con un approccio meno rigido che non esclude in maniera categorica l’utilizzazione dei cookie wall a patto di un bilanciamento corretto dei diritti coinvolti, ha ritenuto che tale modalità possa presentare dubbi di coerenza.
  3. La CNIL francese, nelle Linee guida del luglio 2019 ha parimenti ritenuto che i cookie wall non siano conformi al GDPR. Il consenso prestato dall’utente con tale modalità risulterebbe infatti invalido, poiché non liberamente concesso.

L’approccio consigliato, tenuto conto dell’orientamento pressoché unanime in materia dell’anno appena trascorso, è dunque quello di considerare i cookie wall e altre modalità analoghe non conformi ai principi e alle disposizioni in materia di protezione dei dati personali, evitandone pertanto l’adozione.

Ciò, a ben vedere, anche in prospettiva futura.

Richiamando infatti il contenuto dell’opinion 6/2017 “Opinion on the Proposal for a Regulation on Privacy and Electronic Communications (ePrivacy Regulation)”, l’EDPS (European Data Protection Supervisor) assume una chiara posizione in materia di tracking wall o di cookie wall, raccomandando che il Regolamento E-Privacy contempli un divieto completo ed esplicito di utilizzo dei cookie wall e delle tecnologie affini.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3