di Lorenzo Vittorio Labruna

Il prossimo 2 giugno saranno cinque anni dall’entrata in vigore della cosiddetta Cookies law. Tale provvedimento, conseguenza della Direttiva 2002/58/CE (c.d. Direttiva ePrivacy), impone ad ogni sito internet di ottenere il consenso dell’utente prima di scaricare nel device eventuali cookies in grado di memorizzare e trasmettere dati personali dell’utente.

L’applicazione in concreto di tale normativa, come noto, si è in molti casi determinata nell’apparizione di pop up che bloccano la fruizione dei contenuti della pagina web (il c.d. cookie wall), condizionandola alla prestazione del consenso al tracciamento dei dati personali, senza però distinguere fra le tipologie di cookies scaricati nel device (cookie tecnici, di profilazione o di terze parti) e senza determinare le finalità del trattamento di ogni singolo cookie. A ciò si aggiunga che in molti casi, tali informative ricollegano la prestazione del consenso allo “scroll” dell’informativa, sicché una volta che l’utente ha visualizzato l’intera informativa, il sistema carica automaticamente tutti gli elementi traccianti come se l’interessato avesse prestato consenso.

A tal proposito è recentemente intervenuto l’European Data Protection Board (EDPB) emanando nuove linee guida in materia di consenso (Guidelines 05/2020), concentrandosi sui problemi sopra menzionati. In particolare, il Garante europeo evidenzia come se pur vero che l’ingresso del GDPR non ha abrogato la Direttiva e-privacy, essa deve comunque essere interpretata alla luce della nozione di consenso espressa all’art. 4 del Regolamento stesso, ovverosia «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile».

Le nuove linee guida chiariscono che le tecniche del Cookie wall e del consenso mediante “scroll” non sono idonee ad acquisire un valido consenso, così come definito dal GDPR. Il subordinare l’accesso alle risorse web all’accettazione di un numero indeterminato di trattamenti – come accade appunto con il cookie wall – violerebbe il principio per cui il consenso è libero solo quando verte specificamente su ogni singola attività di trattamento svolta dal titolare e sulle le relative finalità. La libertà del consenso è ancor meno garantita quand’essa viene inferita al mero scorrimento dell’informativa. Il GDPR, infatti, quando parla di “manifestazione di volontà” evidenzia come esso debba comunque concretizzarsi in una “azione positiva inequivocabile” (art. 4 GDPR). Ne consegue che un valido consenso non possa mai ridursi a “tacito consenso”, né tanto meno ad un’azione che nulla dice sulla volontà del soggetto di consentire al trattamento dei propri dati personali come la mera visualizzazione dell’informativa tramite scorrimento del mouse.