Nella dichiarazione ePrivacy dell’EDPB del 2018 è stato sottolineato che il requisito del consenso “libero” preclude l’uso dei cosiddetti cookie walls, cioè quelle tecniche che inibiscono l’accesso al sito web o a determinati servizi da parte di quegli utenti che non danno il proprio consenso all’impianto dei cookie nel loro dispositivo.

In linea con tale impostazione, le linee guida 5/2020 dell’EDPB esplicitamente confermano che:

• «affinché il consenso possa essere dato liberamente, l’accesso a servizi e funzionalità non deve essere subordinato al consenso di un utente alla memorizzazione di informazioni o all’ottenimento dell’accesso a informazioni già memorizzate, nelle apparecchiature terminali di un utente (il cosiddetto cookie walls)» cioè cookie di sbarramento (enfasi aggiunte).

Analoga posizione ha assunto l’autorità di supervisione olandese ritenendo invalidi i cookie walls in quanto contrari al principio di libertà del consenso, senza subire detrimento alcuno ¹.

Posizione meno tassativa è stata assunta dal CNIL francese a seguito della pronuncia del Consiglio di Stato² che aveva ribaltato le linee guida emesse dall’autorità d’oltralpe nella parte che vietava in maniera generale ed assoluta la pratica dei “cookie wall”, sancendo che tale divieto non poteva essere inserito in un atto di soft law. Il CNIL prendendo atto di questa decisione – nelle linee guida aggiornate³ del 17/9/2020 – «ritiene che subordinare la fornitura di un servizio o l’accesso a un sito web all’accettazione di operazioni di scrittura o lettura sul terminale dell’utente (pratica nota come “Cookie wall”) rischia di violare, in alcuni casi, la libertà di consenso»; inoltre, «(s)e viene istituito un “cookie wall” e fatta salva la liceità di tale pratica che deve essere valutata caso per caso, le informazioni fornite all’utente devono indicare chiaramente le conseguenze delle sue scelte e in particolare l’impossibilità di accedere al contenuto o al servizio senza consenso.»⁴.

Nelle linee guida del 2022, il Garante chiarisce che «questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori».

Infine, il requisito della specificità del consenso – che accomuna entrambe le discipline sulla protezione dei dati personali ed ePrivacy – richiede che il consenso, se dovuto, si riferisca a ciascuna finalità del trattamento, in modo separato; si tratta di una diretta conseguenza del requisito della libertà del consenso in quanto l’autodeterminazione dell’interessato può estrinsecarsi nella sua pienezza, solo a patto che questi possa decidere in modo separato per ciascuno scopo. Ne consegue che il consenso per l’impianto di cookie o per l’accesso alle informazioni archiviate nel dispositivo dell’utente non può essere “accorpato” all’accettazione globale delle condizioni generali di utilizzo ⁵, al consenso per altre finalità, ad esempio formando parte dello stesso atto che prevede ulteriori trattamenti oppure utilizzando il medesimo pulsante o casella di spunta per manifestare consensi diversi.

Il consenso per i cookie dovrà essere richiesto in via specifica per quelli di una determinata finalità e non potrà essere accorpato per tutti i cookie in senso generale.  Il pulsante “accetto tutti” riguardo ai cookie può essere ritenuto valido solo a due condizioni:

1. che sia associato ad un analogo pulsante di senso opposto, “rifiuto tutti”
2. che si dia la possibilità all’utente, eventualmente ad un livello successivo, di specificare granularmente la propria manifestazione di volontà per ciascun tipo di cookie.

In tal senso il CNIL nelle linee guida emesse il 17/9/2020, facendo riferimento al Considerando (43) del GDPR,

«ritiene probabile anche il fatto che ottenere contemporaneamente un consenso unico per più trattamenti rispondenti a finalità distinte (accorpamento di finalità), senza la possibilità di accettare o rifiutare scopo per scopo, in determinati casi, pregiudichi la libertà di scelta dell’utente e quindi la validità del suo consenso.»⁶.