Print Friendly, PDF & Email

3. Consenso inequivocabile

L’inequivocabilità della manifestazione di assenso prevista all’articolo 4 11) del GDPR comporta che il consenso deve essere manifestato mediante un’azione positiva da parte della persona precedentemente informata delle conseguenze della sua scelta.

Su tale base, la continuazione della navigazione in un sito web, l’utilizzo di un’applicazione mobile o lo scorrimento della pagina di un sito web o di un’applicazione mobile non costituiscono chiare azioni positive equivalenti a un valido consenso.

Provvedimento del 2014 del Garante

L’applicazione del GDPR, come ribadito nelle linee guida 5/2020 dell’EDPB, rende ineludibile questa prospettazione fornendo anche una più restrittiva chiave interpretativa al “principio di discontinuità” cui faceva riferimento il provvedimento del Garante dell’8 maggio 2014 (doc web n. 3118884). In tale documento si riconosceva un’azione positiva di assenso al comportamento dell’utente che, dopo la presentazione del banner informativo sui cookie di profilazione con la conseguente richiesta di consenso, avesse continuato a navigare nel sito di riferimento, con ciò manifestando “attivamente” di acconsentire all’installazione dei cookie stessi nel proprio dispositivo.

Per la validità di questa soluzione, l’autorità italiana poneva alcune condizioni in tema di informativa, suddivisa in una forma semplificata, contenuta in un banner visibile all’accesso al sito web, con link all’informativa in forma estesa. Nella parte semplificata veniva esplicitato l’uso di cookie di profilazione a fini pubblicitari anche di “terze parti” e «l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie».

Per superare anche lo scoglio che considera come valido consenso dell’interessato una manifestazione di volontà attiva, escludendo quindi ogni forma di reazione passiva, il Garante nel provvedimento citato richiedeva che il «banner, oltre a dover presentare dimensioni sufficienti a ospitare l’informativa, seppur breve, deve essere parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).» (enfasi aggiunte).

La soluzione individuata dal Garante italiano, eravamo nel 2014 cioè prima del GDPR, aveva il pregio di aver individuato una soluzione di compromesso in un panorama on line, caratterizzato da una diffusa e ampia disapplicazione della norma ePrivacy. Nel migliore dei casi, la prassi si limitava ad indicare nella cookie policy l’esistenza di cookie per finalità pubblicitarie, talvolta persino sottacendo il distinguo tra cookie installati in proprio e quelli di “terza parte”.

Di converso, la soluzione del provvedimento del 2014 aveva il limite della radicalità. Qualora l’utente non fosse stato d’accordo riguardo all’installazione dei cookie non avrebbe avuto altra scelta che abbandonare la navigazione del sito web di riferimento. Questa condizione di “aut-aut“ – come correttamente indicato nelle linee guida 5/2020 – sottopone il consenso a un forte condizionamento, tale da non potersi considerare libero. Se l’utente desidera visionare i contenuti del sito web di riferimento è “costretto” a proseguire nella navigazione in tal modo automaticamente acconsentendo all’installazione di cookie di profilazione nel proprio dispositivo, ancorchè non sia d’accordo. Di fatto, la soluzione del provvedimento del 2014 riproduce i medesimi effetti di altra pratica illecita, quella dei cookie walls di cui si è detto sopra.

Altro profilo di criticità della combinazione “banner più prosecuzione della navigazione” risiede nella sua categoricità applicativa: con tale operazione l’utente si trova dinanzi alla sola alternativa di accettare tutti i cookie o di rifiutarli in blocco, in questa seconda opzione con la conseguenza di dover abbandonare la navigazione del sito. Il requisito di validità della “specificità del consenso” presuppone che l’interessato abbia la facoltà di esprimere un consenso “granulare” rispetto a operazioni di trattamento con distinte finalità. Ad esempio, l’utente dovrebbe poter acconsentire all’installazione di cookie statistici di “terza parte” anziché ai cookie di profilazione a fini pubblicitari, oppure ancora acconsentire ai cookie di profilazione pubblicitaria di “prima parte” e non anche a quelli di “terza parte”. L’espediente di “accetto tutto o rifiuto tutto” non è conforme al requisito della specificità.

In mancanza del consenso espresso con un chiaro atto positivo, si deve considerare che l’utente abbia rifiutato l’accesso al proprio terminale o l’inserimento di informazioni in esso.

Linee guida del Garante del 2022

Nelle linee guida in vigore dal gennaio 2022, il Garante puntualizza alcuni aspetti conseguenti alla piena applicazione del GDPR:

  • il banner iniziale deve offrire agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra
  • il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso; lo scrolling può essere fatto valere come manifestazione del consenso inequivocabile solo se esso è inserito «in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento».
Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Not readable? Change text. captcha txt
0