In un caso che sarà deciso in un non lontano futuro, la Corte di Giustizia Europea è stata chiamata a decidere sulle modalità di prestazione del consenso in ordine all’installazione di Cookie, contemperando i dettati delle due norme. In particolare la Corte dovrà decidere se sia legittima o meno la richiesta di accettazione di Cookie mediante caselle già spuntate oppure se la disciplina del GDPR debba trovare applicazione anche a questi.

In attesa della decisione si è espressa l’Avvocatura Generale (con un parere peraltro non vincolante per la Corte) secondo la quale, già in vigenza della ormai abrogata Direttiva 46/95 e più che mai oggi sulla base del Regolamento, la forma oggi in uso di semplice accettazione di un “si” già predisposto dal gestore del sito non sia sufficiente per potersi parlare di consenso valido ai sensi della nuova normativa. Nello stesso parere si sottolinea che, per poter parlare di consenso informato e liberamente prestato, è insufficiente che all’Interessato venga richiesto un comportamento attivo in caso di mancata prestazione, ma è necessario anche che il consenso sia “separato”. In altri termini l’attività che un utente – Interessato svolge sul web e la prestazione del consenso non dovrebbero essere contenuti in uno stesso contesto, pagina o atto, bensì essere contenuti in due formule diverse e presentate sotto l’aspetto visivo su un piano di parità.

Non ultimo aspetto da considerare: l'utente deve avere ben chiaro se l'attività su Internet sia subordinata o meno alla prestazione del consenso e deve essere comunque messo in grado di decidere da solo quali dati fornire al gestore della pagina: le richieste sul punto non dovranno essere ambigue.

Muovendo da queste basi, decisamente coerenti con il dettato e lo spirito che muovono il GDPR, si è concluso che la Corte non dovrebbe ritenere valido un consenso prestato a fronte di una casella preselezionata che l’utente dovrebbe spuntare per negare l’autorizzazione al trattamento dei propri dati. Ergo, anche sotto un importante aspetto giuridico, prestare il consenso al trattamento datti contemporaneamente alla conferma della partecipazione ad un gioco, non corrisponde a quanto richiesto dal GDPR.

L’interpretazione fornita dall’Avvocatura Generale è decisamente coerente e logica anche se si tratta semplicemente di un cookie da installare. Nel caso in questione, oltretutto, non vi è alcuna specifica o indicazione in ordine alla durata del cookie oltre che, è questo è decisamente rilevante, se terzi possano avervi accesso.

Stante le premesse è estremamente verosimile che la Corte aderisca al parere dell’Avvocatura e, in tale probabile ipotesi, automaticamente scatterebbe un divieto totale all'ottenimento del consenso ai cookie tramite caselle già preselezionate e, oltretutto, sotto un profilo tecnico, divverrà necessario per tutti gli sviluppatori software e creatori di siti impostare una pagina apposita per permettere ai naviganti della rete di prestare il consenso. Tale pagina, oltre a contenere tutti gli elementi obbligatori tipici dell'informatica, non dovrà più limitare l'utente a due sole opzioni, ovvero la possibilità di uscire dal sito o dall'app oppure semplicemente accettare i termini e le condizioni: vittima illustre sarà la dicitura, diffusissima e maggioritaria sul web “Dichiaro di avere ben letto, compreso, accettato, tutte le condizioni e i termini … ecc...".

Sicuramente è una decisione che andrà a toccare non poco il lavoro di programmatori, sviluppatori di software e responsabili della Privacy, ma che potrebbe ben ripercuotersi anche sul testo del Regolamento ePrivacy, ancora in elaborazione ma che vede, proprio sul problema dei cookie, una forte diversità di opinioni. Una nota conclusiva importante, pur dando atto del maggior carico di attività e costi che questa decisione potrebbe avere: riflettiamo sul numero di app e siti su cui navigano minori o soggetti deboli. Una policy di maggior rigore ad iniziare proprio day cookie, tutelerebbe maggiorente loro in primis.