Cookies

Siti web e Cookie wall: la posizione dell’European Data Protecton Board

Articolo pubblicato su https://www.assideo.net

Forse non si è dato il giusto risalto ad un documento pubblicato i primi di maggio dall’European Data Protection Board in tema di consenso al trattamento dato, le Linee Guida 5/2020 ai sensi del regolamento 2016/679, che aggiorna l’Opinion 15/2011 on the definition of consent.

Queste linee guida chiariscono alcuni punti importanti relativi alla condizionalità del consenso nei siti web e la validità dei cookie wall.

Per prima cosa, l’EDPB ha affermato che “consent cannot be considered as freely given if a controller argues that a choice exists between its service that includes consenting to the use of personal data for additional purposes on the one hand, and an equivalent service offered by a different controller on the other hand.” Le Linee Guida inoltra si sottolinea che “a service provider cannot prevent data subjects from accessing a service on the basis that they do not consent.” In altri termini: l’accesso a un servizio non può essere subordinato al consenso dell’utente al trattamento dei suoi dati personali.

L’EDPB, ha inoltre affermato “access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user”. Il riferimento è ovviamente diretto ai cookie wall che impediscono agli utenti di accedere a un sito Web a meno che non acconsentano appunto all’utilizzo dei cookie. Secondo l’EDPB, tali cookie wall non sono conformi al GDPR dato che non forniscono una scelta autentica per l’utente del sito.

In altre parole, i banner sui cookie che indicano che un’ulteriore navigazione sarà considerata come accettazione dell’uso dei cookie non sono conformi al GDPR, a condizione che non soddisfino il requisito di indicazione inequivocabile dei desideri.

Le linee guida riportano molteplici esempi, tra cui il caso di un fornitore di siti Web il quale prevede uno script che, non appena arrivati sulla home page, blocchi la visibilità del sito salvo accettazione di tutti i cookie imposti con il c.d. cookie wall. In questo caso, precisa l’EDPB: “Poiché per l’interessato non si prospetta una scelta autentica, il suo consenso non deve intendersi fornito liberamente”.

Le linee guida poi proseguono concentrandosi su un altro fenomeno molto discusso: il consenso mediante azione positiva. Il consenso tacito non va confuso con il consenso mediante manifestazione di volontà inequivocabile.

Il consenso tacito o implicito presente nel GDPR prevede difatti comunque una azione positiva. Il Regolamento afferma chiaramente che il consenso richiede una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato, il che significa che il consenso deve sempre essere espresso attraverso una dichiarazione o in modo attivo. Con “azione positiva inequivocabile” si intende che l’interessato deve aver intrapreso un’azione deliberata per acconsentire al trattamento specifico.

Il silenzio o l’inattività dell’utente, così come il semplice procedere all’uso di un servizio, non può valere come una manifestazione attiva della volontà.

Questa impostazione, in linea con la posizione della Corte di Giustizia (caso Planet 49) è però stata criticata da diverse Autorità (tra cui il Garante Olandese, il Garante inglese e quello francese CNIL) e non si escludono delle azioni da parte loro avverso questa posizione dell’EDPB.

Nei fatti cosa significa per le aziende la posizione dell’EDPB?

Le aziende devono assicurarsi che:

● l’accesso ai servizi sul web non sia subordinato al consenso dell’utente al trattamento dei suoi dati personali;

● agli utenti venga fornita una scelta autentica di accettare o rifiutare l’uso dei cookie;

● agli utenti non venga impedito di accedere al sito Web se rifiutano l’uso dei cookie;

● i cookie non vengono installati fino a quando gli utenti non abbiano effettivamente fornito il proprio consenso accettando l’uso dei cookie stessi.

Archivio
Iscriviti

Inserisci il tuo indirizzo e-mail per iscriverti alla nostra newsletter e tenerti informato sulle nostre novità.

Copyright © 2019 Thecma.net | Privacy & Cookie Policy
P. IVA 02188521203 - C.F. DLLLSN74H48A944X
Cod. destinatario 5RUO82D