Non sono conformi alla normativa i cookie wall. Inoltre, è sempre invalido il consenso espresso attraverso il mero scroll o swipe di una pagina. Queste sono, in sintesi estrema, le novità espresse dalle linee guida n. 5/2020 dell’EDPB. L’EDPB o Comitato, giova ricordare, è l’organismo che riunisce le Autorità di controllo europee per la protezione dei dati personali, tra le quali il nostro Garante.
Entrambi gli argomenti hanno un notevole impatto concreto e sollevano domande immediate come le seguenti: quali sono le implicazioni, come occorre strutturare la raccolta dei cookie alla luce della posizione espressa nelle linee guida, qual è il rischio sanzionatorio per chi non si conforma? Per affrontare questi punti occorre partire dalla radice, ossia dalla ricostruzione del ragionamento giuridico alla base delle conclusioni del Comitato.
Perché i cookie wall non sono conformi alla normativa
I cookie wall, ossia i banner che presentano all’utente che intende fruire dei contenuti di un sito la scelta secca tra l’installazione in blocco dei cookie o la rinuncia al sito, violano la normativa perché si pongono in contrasto con il principio di libertà del consenso “privacy” – diverso dal consenso cioè civilistico – dunque in contrasto con gli artt. 4.11) e 7 GDPR (di seguito anche “il Regolamento”), che tale principio consacrano.
Va ricordato che il consenso è infatti l’unica base utilizzabile per l’installazione di cookie non tecnici e/o per l’accesso a quelli installati, come previsto dall’art. 122 Cod. privacy, disposizione speciale e prevalente sulle basi dell’art. 6 GDPR. Il lettore qui non si meravigli, il rapporto di specialità infatti deriva dall’interazione tra la direttiva 2002/58 (cd. “direttiva ePrivacy”) e il Regolamento.
Più esattamente, nel caso dei cookie wall il consenso all’installazione viene forzato, poiché l’interessato non è libero di rifiutarlo senza subire una perdita, la possibilità cioè di fruire dei contenuti del sito. È dunque un consenso condizionato.
Va in proposito ricordato che l’art. 7.4 GDPR prevede: “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”. Non è questa la sede per indagare l’accezione del termine “contratto” applicabile alla materia de qua, il solo punto che qui ci interessa è che non si intende, per legge, come liberamente prestato il consenso che riguarda un trattamento non necessario rispetto a un determinato servizio della società dell’informazione, ma posto come condizione per ottenerlo.
Orbene, per definizione, non sono necessari alla fruizione di un servizio i cookie non tecnici, tali cioè da non essere richiesti né da strette ragioni di funzionamento del sito né dall’erogazione dei servizi voluti dall’utente (es. selezione di una lingua specifica), ma determinati da ragioni dichiaratamente estranee, quali di regola la profilazione, e ancor più estranee se la profilazione è posta in essere perfino da parti terze.
Il mito delle offerte equipollenti nel libero mercato
Il ragionamento potrebbe già chiudersi qui, tuttavia il Comitato sceglie di esaminare – ma solo per smentirla – l’obiezione non infrequente nella prassi secondo la quale nessuno costringe l’utente ad accedere proprio ai contenuti di un determinato sito. In altre parole, l’utente resta libero di approvvigionarsi altrove, ad esempio, se cerca notizie di cronaca, di reperirle da un diverso quotidiano online o da una diversa agenzia di stampa, in ipotesi non presidiati da cookie wall.
Per cui – prosegue l’obiezione – l’utente potrebbe ben accedere agli stessi contenuti informativi ma presso terzi fornitori. Se invece accetta l’installazione dei cookie non tecnici da un preciso fornitore che fa uso di cookie wall, vuol dire che intendeva proprio farlo. L’obiezione fa riferimento, è chiaro, all’offerta da parte di soggetti privati, perché rispetto a siti istituzionali non sono evidentemente possibili fruizioni alternative.
Il ragionamento è tuttavia viziato in partenza, osserva il Comitato, poiché collega la validità del consenso dell’interessato alla presenza di soluzioni di mercato non equipollenti, e che, anche se lo fossero, dipenderebbero non dal titolare del trattamento considerato ma da terzi titolari e, in ultima analisi, dalla volontà non controllabile e in ogni caso mutevole di costoro.
Si può aggiungere, secondo chi scrive, che l’obiezione appena commentata presenta una fallacia ancora più evidente, poiché confonde la libertà del consenso con la libertà del mercato, ossia situazioni giuridiche diverse in senso ontologico.
Piattaforme a scelta granulare e non condizionata
Se i cookie wall non sono permessi, qual è allora la soluzione alternativa consentita? L’adozione di sistemi evoluti di CMP (consent management platform), secondo una sigla che si è andata imponendo nel mercato, ma non è la terminologia che qui conta. Per praticità comunque atteniamoci all’acronimo. Le linee guida non citano espressamente questi sistemi, ma è immediato coglierli nello sviluppo del ragionamento giuridico. Occorrono infatti strumenti che permettano scelte granulari e non condizionanti sulle tipologie di cookie.
Attenzione però, sia permesso allo scrivente indicare, i CMP per essere conformi alla normativa devono:
- evitare di presentare preflaggate le tipologie di cookie;
- permettere di rifiutare in blocco tutti i cookie, anche dopo averli – eventualmente – accettati in blocco;
- non introdurre surrettiziamente basi giuridiche per l’installazione dei cookie diverse dal consenso, come l’interesse legittimo;
- ricordare (ad es. con un cookie, tecnico) le scelte operate dall’utente.
“L’elefante nella stanza”
Ora, la diffusione dei CMP è un fenomeno che da un lato si riscontra già da diverso tempo e che dall’altro trova certamente la sua spiegazione principale proprio nella necessità di osservare la normativa sulla protezione dei dati personali: non ci sarebbero decisive ragioni altrimenti per rinunciare ai ritorni economici di un cookie wall. La diffusione dei CMP è anzi proprio uno di quei casi, non rari, in cui ragioni di data protection by design orientano in una determinata direzione lo sviluppo di servizi della società dell’informazione.
Come spiegare allora la diffusione dei CMP ben prima del chiarimento dei Garanti europei nelle recentissime linee guida 5/2020?
Nulla di strano in realtà: l’amara verità è che i cookie wall confliggono da sempre con la normativa, nonostante una diffusa tolleranza (in passato) del fenomeno. Confliggevano, per essere precisi, anche con quella anteriore al 25 maggio 2018, data di applicazione del Regolamento.
Gli inglesi hanno un’espressione per questo: l’elefante nella stanza. Tutti lo vedono, è ingombrante, ma tutti fanno finta di non notarlo.
E tuttavia, proprio nella simbolica data del 25 maggio 2018, il Comitato aveva dovuto ammettere la sussistenza del problema, esprimendo, sia pure di sfuggita, una posizione contraria ai cookie wall. La leggiamo nel contesto di una dichiarazione relativa al nuovo regolamento ePrivacy, che avrebbe dovuto sostituire (e auspicabilmente sostituirà) la direttiva ePrivacy: “Va osservato che il consenso che dev’essere ottenuto nel quadro del regolamento ePrivacy ha lo stesso significato di quello del regolamento generale sulla protezione dei dati. In particolare, la necessità di ottenere un consenso espresso liberamente impedirà ai fornitori di servizi di imporre ai loro utenti cookie wall”. L’affermazione virgolettata, per quanto futuribile, e come tale ambigua rispetto alla sua riferibilità al presente, si adatta in realtà perfettamente, condividendone i presupposti giuridici, ai trattamenti fondati sull’art. 5.3 della direttiva ePrivacy.
Posizione analoga, sebbene mancasse il riferimento espresso ai cookie wall, era del resto rinvenibile qualche mese prima anche nelle considerazioni già svolte nelle linee guida sul consenso del 10 aprile 2018.
Sono poi ben note le posizioni assunte ben prima delle linee guida 5/2020 da diverse autorità di controllo degli Stati membri, come quella olandese, quella francese o quella britannica.
Le sanzioni
L’autorità spagnola, l’AEPD, nell’ottobre 2019 aveva sanzionato la compagnia aerea Vueling per non avere predisposto un sistema di gestione granulare dei cookie. La sanzione era stata allora modesta, 30mila euro, tuttavia le possibilità di applicazioni ben più severe sono evidenti, posto che i massimi edittali sono quelli della fascia sanzionatoria più elevata. Più esattamente, la violazione si colloca sia nell’alveo dell’art. 83.5.a) GDPR sia in quello delle disposizioni nazionali di recepimento della direttiva ePrivacy. Non è questa la sede per approfondire l’interazione sotto questo rispetto dei due atti normativi. Per l’Italia sarebbe applicabile, in tutti i casi, la sanzione che nel massimo edittale arriva fino a venti milioni di euro o per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
La strada è ormai tracciata. Curiosamente, nel momento in cui si scrive questo contributo, deve darsi atto, con molta tristezza, che, a fronte di un’ampia migrazione di titolari di trattamento soggetti privati verso dashboard di selezione granulare e non condizionata del consenso, permane un massiccio uso di cookie wall da parte di soggetti pubblici. Talora, addirittura, i cookie wall sono stati eliminati all’indomani delle linee guida 5/2020 senza essere stati rimpiazzati da soluzioni di gestione granulare: semplicemente molte landing page istituzionali installano cookie non tecnici non appena sono caricate dal terminale dell’utente. Sono situazioni che rivelano carenze incredibili nella scelta e nell’efficienza del DPO. Peraltro, esistono evidenti ragioni, non esplorabili in questo articolo, per le quali la stessa scelta (a prescindere quindi dai CMP) di utilizzare cookie non tecnici, e specialmente non tecnici di terza parte, si pone in violazione di legge per i soggetti pubblici.
Scroll o swipe non indica consenso
Venendo rapidamente alla seconda delle opportune precisazioni del Comitato, non integra valido consenso il mero scroll o swipe di una pagina. Dunque, asteniamoci da frasi del tipo: “Continuando la navigazione o scorrendo la pagina accetti i cookie” e similari. La ragione? Il consenso deve essere inequivocabile, ossia non ambiguo. Anche qui la principale disposizione di riferimento è l’art. 4.11) GDPR e, in collegamento ad essa, l’art. 7. Un mero scroll o uno swipe non soddisfano questo requisito per la semplice ragione che, banalmente, possono essere del tutto casuali oppure esprimere la volontà più immediata, quella di continuare appunto la navigazione e non anche necessariamente l’intenzione di accettarne i trattamenti sottesi.
Qui la violazione si colloca nella stessa fascia sanzionatoria di cui all’art. 83.5.a) GDPR sopra citato, e possono dunque ripetersi le medesime considerazioni svolte.
Come disegnare un sito che acquisisca allora un valido consenso “privacy”? Prevedendo soluzioni ampiamente praticate come bottoni e toggle (non preimpostati sull’accettazione) oppure seguendo le alternative presentate appunto dal Comitato, quali lo swipe, sì ma su una precisa barra dello schermo o il disegno con uno smartphone di un cerchio in senso antiorario o di un otto, per fare due esempi, sempre che il significato giuridico del gesto sia stato ben chiarito.
La prova dell’acquisizione di un valido consenso, va notato, è in capo al titolare del trattamento.
In chiusura occorre osservare che anche in questo caso non viene in considerazione una posizione giuridica realmente nuova da parte dei Garanti europei, piuttosto una più netta e decisa espressione di rilievi già presenti, sia pure in maniera meno scolpita e tranciante, nelle precedenti linee guida sul consenso del 10 aprile 2018. Non è allora oggi davvero più possibile ignorare una lettura così chiara e netta della disciplina europea. Sta agli sviluppatori di siti web curare l’implementazione di soluzioni conformi, e ai DPO vigilare, pena responsabilità significative in sede di rivalsa.