Consenso e GDPR: le nuove linee guida dell'EDPB

Le Linee Guida 5-2020 dell'European Board sul consenso (testo in calce) sono solo un aggiornamento di quelle già adottate e successivamente emendate dal Gruppo articolo 29 – Sotto la lente del Board sono finite, in particolare, le pratiche dei 'cookie walls' e dello 'scrolling', di cui si precisano in modo più esplicito gli elementi di contrasto con i requisiti del consenso.

Sommario Premessa 'Cookie walls' e consenso 'Scrolling' e consenso

Premessa

Le Linee Guida dell'EDPB (European Data Protection Board) n. 5-2020 sul consenso, adottate lo scorso 4 maggio, non sono altro che una versione leggermente aggiornata di quelle già adottate dal Gruppo di lavoro articolo 29 il 28 novembre 2017 e modificate il 10 aprile 2018: in ogni caso, d'ora in poi, qualsiasi riferimento alle Linee Guida sul consenso dovrà essere interpretato come rivolto alle odierne Linee Guida.

In particolare il Comitato europeo si è reso conto che era necessario fornire dei chiarimenti  su due argomenti specifici:

1. la validità del consenso prestato dall'interessato nell'interazione con i c.d. 'cookie walls';
2. la possibilità di associare al c.d. 'scrolling' (scorrimento) delle pagine di un sito web il consenso dell'utente/interessato.

Più che di inedite prese di posizione, si tratta di inserti necessari a inquadrare in modo più esplicito prassi che, alla luce delle disposizioni sul consenso, già erano e risultavano non corrette.

Dunque sono solo i paragrafi (che in queste nuove Linee Guida sono stati numerati, presumibilmente al fine dell'immediatezza e inequivocità dei riferimenti testuali) concernenti questi due argomenti ad essere stati revisionati, mentre la residua parte del documento è rimasta – salvo che per le modifiche editoriali - invariata. La revisione riguarda, quindi, in particolare:

• la Sezione sulle “Condizionalità” (3.1.2, ai periodi 38-41, con introduzione dei nn. 39, 40 e 41);
• la Sezione sulla “Manifestazione di volontà inequivocabile” (3.4, periodo 86).

'Cookie walls' e consenso

Sono chiamati 'cookie walls' quei cookie che permettono l'accesso e/o la fruizione di una pagina web a condizione che essi siano stati assentiti dall'utente. Sono appunto dei muri, vere e proprie barriere digitali: prestandovi il consenso, l'interessato apre la strada al tracciamento dei dati e alla quasi inevitabile profilazione solo per poter proseguire la navigazione e/o accedere alle funzionalità del sito. 

Evidentemente, questo genere di condizionalità non può essere conforme al Gdpr e, a fronte di possibili diversità di approccio allo stesso, il Comitato ha inteso – con la propria autorevolezza – esprimersi in modo netto.

Così, al paragrafo 39, le Linee Guida stabiliscono che “al fine di garantire la libertà del consenso, l'accesso ai servizi e alle funzionalità non deve essere condizionato al rilascio del consenso, da parte di un utente, alla memorizzazione delle informazioni o all'accesso ad informazioni già memorizzate nel suo terminale” . Questa affermazione è meglio còlta nel suo significato se calata nel contesto dell'intera sezione dedicata alle condizionalità, all'inizio della quale si legge che “per valutare se il consenso sia stato prestato liberamente è di rilievo l’articolo 7, paragrafo 4, del regolamento”, tale disposizione indicando, tra l’altro, “che è altamente inopportuno 'accorpare' il consenso all’accettazione delle condizioni generali di contratto/servizio o 'subordinare' la fornitura di un contratto o servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione del contratto o servizio”. In poche parole, “l’articolo 7, paragrafo 4, mira a garantire che la finalità del trattamento dei dati personali non sia mascherata né accorpata all’esecuzione di un contratto o alla prestazione di un servizio per il quale i dati personali non sono
necessari”.

Al paragrafo 40 è quindi proposto un nuovo esempio, il n. 6a: quello del provider di un sito web che colloca uno 'script' di blocco della visibilità di un contenuto a meno che sia prestato il consenso ai cookie e al trattamento dei dati per i quali i cookie vengono installati. Dunque, in tale eventualità, per accedere ai contenuti della pagina, è necessario che l'utente accetti questo tipo di cookie. Non può dunque dirsi prospettata all'interessato una reale, genuina possibilità di scelta. 

Le Linee Guida concludono, in sostanza, che trattasi di una prassi non corretta, non conforme al Gdpr - in essa essendo in gioco un consenso non valido, non rispondente ai requisiti canonici. 

'Scrolling' e consenso

Per l'esempio n. 16 riportato nelle Linee Guida del Gruppo di lavoro articolo 29, rev. 01 del 2018, “scorrere un sito verso il basso o sfogliarne le pagine non sono azioni chiare e positive, poiché l’avviso che continuare a scorrere il sito costituirà un’espressione di consenso può essere difficile da distinguere e/o può essere trascurato inavvertitamente quando l’interessato scorre rapidamente grandi quantità di testo; inoltre tali azioni non sono sufficientemente inequivocabili”. 

Anche qui l'intervento del Comitato è nel senso di meglio esplicitare l'inquadramento della prassi del c.d. 'scrolling' e precisarne l'inettitudine a presumersi/costituire valida manifestazione di  consenso. 

E così, di poco modificato, l'esempio 16 revisionato è più perentorio: “azioni come scorrere o sfogliare una pagina web o come altra attività analoga dell'utente, non potranno in qualsivoglia modo soddisfare il requisito della azione chiara e positiva: dette azioni si distinguono ben difficilmente da altre attività o interazioni dell'utente e perciò con esse non sarà possibile stabilire che sia stato ottenuto un consenso privo di ambiguità. Per di più, in un caso come questo, sarebbe difficile offrire all'utente la possibilità di revocare il consenso in un modo che fosse altrettanto semplice come averlo prestato”.

I due fattori della migliore esplicitazione paiono all'osservatore i seguenti: quell'”under any circumstances”, qui tradotto come “in qualsivoglia modo”, esclude che lo 'scrolling' possa mai essere accettato come “azione chiara e positiva”, possibilità che la precedente formulazione non chiudeva del tutto. Si aggiunge a ciò, del tutto appropriatamente, l'osservazione circa la difficoltà della revoca del consenso, come contrapposta alla 'leggerezza' del suo rilascio.

EUROPEAN BOARD, LINEE GUIDA 5/2020 >> SCARICA IL TESTO PDF

Sul Coronavirus leggi gli approfondimenti su Quotidianogiuridico.it: Gestione contratti internazionali, Avv. Balestra - Il coronavirus COVID-19 e le decisioni emergenziali delle autorità sanitarie di vari Paesi, tra cui la Cina e l’Italia, stanno incidendo sulla capacità delle imprese di adempiere regolarmente i contratti. Smart working, Avv. Bossotto (Studio legale Allen & Overy) - Nel corso di questi ultimi giorni, l’evoluzione dell’epidemia da COVID-19 (detto comunemente “Coronavirus”) ha richiesto vari interventi d’emergenza - anche in ambito giuslavoristico - al fine di contrastarne la diffusione o comunque di regolarne le conseguenze sotto diversi aspetti. Emergenza Coronavirus: conseguenze penali in caso di trasgressione alle regole dettate dal Governo, Cons. Scarcella - L'emergenza sanitaria che il nostro Paese sta vivendo in questi giorni, oltre alle indispensabili attività di prevenzione da parte dell’Autorità governativa, comporta anche la necessità di maggiore informazione sul piano giuridico. Compliance ex 231/2001: indicazioni operative per il datore dopo i provvedimenti sul Coronavirus, Avv.ti Sbisà e Manati, componente del Focus Team Corporate Compliance presso lo studio legale BonelliErede - L’emergenza legata alla diffusione del Coronavirus impatta inevitabilmente sulla vita delle persone e delle imprese.