Lo European Data Protection Board (Edpb) ha adottato lo scorso 4 maggio la versione 1.0 delle linee guida in materia di consenso ai sensi del Regolamento generale sulla protezione dei dati personali.
Si tratta, come chiarito nella prefazione, di un aggiornamento rispetto alla versione già adottata dal WP29 il 10 aprile 2018.
La nuova versione non contiene novità di rilievo rispetto alla precedente ma propone alcuni chiarimenti su un paio di questioni delle quali si è molto discusso nel corso degli ultimi due anni:
- la validità del consenso prestato attraverso il c.d. cookie walls (ovvero presta il consenso per proseguire);
- la validità dello scrolling come modalità di prestazione del consenso all’uso dei cookies.
Sono entrambi chiarimenti preziosi e attesi dal mercato ma, per ora, soffermiamoci sul secondo.
Il consenso all’installazione dei cookies non può essere raccolto semplicemente invitando l’utente a far scorrere la home page del sito (scrolling) secondo una dinamica ancora largamente diffusa online e questo neppure quando la valenza negoziale di tale gesto sia puntualmente indicata nell’informativa breve che va incontro all’utente quando questi atterra sulla pagina.
Al riguardo l’Edpb, nella nuova versione delle linee guida, chiarisce definitivamente ogni dubbio con il seguente esempio: “In base al considerando 32, azioni come lo scorrimento di una pagina Web o attività dell’utente simile non soddisfano in nessun caso il requisito di un’azione chiara e affermativa (ndr necessario ai fini della validità del consenso): tali azioni possono essere difficili da distinguere da altre attività o interazioni da parte di un utente e quindi non sarà inoltre possibile determinare un consenso inequivocabile. Inoltre, in tal caso, sarà difficile fornire all’utente la possibilità di revocare il consenso in modo semplice come concederlo.”.
Nessun contrasto in principio con il famoso provvedimento del Garante per la protezione dei dati personali italiano dell’8 maggio 2014 sull’Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie adottato ante GDPR.
In tale provvedimento, infatti, lo scrolling della pagina web come modalità valida ai fini dell’acquisizione del consenso non viene mai menzionata mentre si fa un più generico riferimento – perfettamente in linea con i principi oggi chiariti anche dall’Edpb – all’esigenza che il banner contenente l’informativa breve venga superato “solo mediante un intervento attivo dell´utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso)”.
Diverso, tuttavia, il discorso per i chiarimenti offerti dallo stesso Garante con il provvedimento del 5 giugno 2015, nei quali si è espressamente stabilito che “Al riguardo, si rappresenta che soluzioni per l´acquisizione del consenso basate su ‘scroll’, ovvero sulla prosecuzione della navigazione all´interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell´informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell´utente.”.
Lo “scroll” che, all’epoca – ante Gdpr – il Garante riconosceva, sebbene al ricorrere di determinati presupposti, come forma di prestazione di un valido consenso all’installazione dei cookies è, oggi, spedito in soffitta dall’Edpb.
Dovrà cambiare, quindi, anche se, per la verità, sta già accadendo perché la difficile compatibilità con il Gdpr appariva piuttosto evidente ai più, la prassi ancora diffusa che ha sin qui portato all’acquisizione dei consensi all’installazione dei cookies attraverso scrolling.
E, a ben vedere, stante la natura semplicemente interpretativa delle recenti linee guida dell’Edpb, probabilmente, sarebbe anche lecito chiedersi quale debba essere la sorte dei consensi all’uso dei cookies acquisiti attraverso scrolling della cui validità, oggi, appare lecito dubitare.
