Da alcuni mesi, quando si accede per la prima volta su un sito internet, è possibile imbattersi in nuove modalità di prestazione del consenso grazie all’utilizzo dei cookie. Anche se la maggior parte dei siti si limita a far comparire un messaggio generico sul quale è possibile cliccare per accettare la policy, su alcune pagine è possibile trovare già per i cookie alcune caselle che permettono la scelta dei diversi consensi necessari.

Tutto ciò deriva non solo da un puntuale adeguamento alla disciplina del GDPR, ma anche dalla sanzione emessa lo scorso anno dall’authority spagnola per la protezione dati che ha sanzionato di 18.000 euro la compagnia aerea Vueling, proprio per la gestione dei “biscotti”. Il 10 settembre 2019, la Corte di Giustizia dell’Unione ha stabilito che non è più valido il consenso utilizzando una casella preselezionata, sistema in contrasto con quanto previsto dal Regolamento Europeo 679/2016 che richiede per ogni tipologia di trattamento un consenso specifico, consapevole e che si sia liberamente formato. Ergo, qualsiasi strumento organizzato si da portare a manifestazioni di consenso di fatto forzate, non è ammissibile.

La Corte Europea, nella sua decisione, più esattamente ha stabilito che i cookie possono essere usati solo se chi visita il sito manifesta un consenso attivo al loro utilizzo (“opt-in”). Ergo, i cookie non possono entrare automaticamente in funzione al momento dell’accesso, ma si attiveranno solo quando il visitatore esprimerà attivamente il proprio consenso. La decisione è giunta al termine di un procedimento avente come oggetto l’utilizzo del tasto “Mi piace” con immediato rinvio a una pagina Facebook, che si trova su moltissimi siti web. La domanda sostanzialmente rivolta alla Corte era relativa a chi è responsabile per i dati raccolti dal momento in cui si clicca su questo bottone: il proprietario del sito o Facebook?” 

La sentenza ha stabilito che sia Facebook sia chi gestisce il sito hanno questa responsabilità, stabilendo una sorta di contitolarità; da ciò ben se ne deduce che questa decisione troverà applicazione a tutti i tipi di cookie, quindi non solo a quello relativi al tasto like che rimanda direttamente a Facebook o altri social. Alla luce di questa interpretazione estensiva della sentenza, che peraltro appare coerente ed in linea con l’impianto del GDPR, i visitatori di un sito dovranno prestare consenso attivo all’uso di cookie, plug-in, strumenti di online marketing e tracciamento dati. Ecco pertanto che tutti i gestori del sito si trovano obbligati a mettere i visitatori nella condizione di accettare o rifiutare il consenso ai diversi tipi di trattamento che possono essere fatti mediante i cookie.

Con una decisione che appare immune da censure, la Corte ha ritenuto che l’uso di una casella preselezionata rende “praticamente impossibile chiarire in modo obiettivo se l’utente di un sito Web abbia effettivamente dato il proprio consenso al trattamento dei propri dati personali”, tanto che “non si può escludere che l’utente non abbia letto le informative".

Un provvedimento che, probabilmente, mette anche fine ad eventuali dubbi residui, che comunque già non avevano ragione di essere, sulle possibilità di invocare in talune ipotesi un tacito assenso a forme ancorchè minimali o non invasive di trattamento.

Conclusioni? I consulenti privacy dovranno avere cura che modalità minimali di prestazione del consenso per i cookie vengano rispettate; a titolo esemplificativo dovrà essere fornita la possibilità di rifiutare cookie che non siano quelli indispensabili per la navigazione; non si potrà chiedere quindi un unico consenso per l’accettazione di tutti i cookie e non si potranno utilizzare formule purtroppo ancora in uso quali “continuando a navigare in questo sito”. Non ultima considerazione è relativa alla possibilità per l’utente di sapere che un like o una condivisione potrebbe essere utilizzato dal social cui fa riferimento, con le inevitabili e note conseguenze del caso.

Prima vittima di questa modalità di prestazione del consenso per i cookie, come detto, è stata Vueling per non aver permesso agli utenti la possibilità di gestire le proprie preferenze sulle tipologie di cookie installati o di opporsi al relativo utilizzo. In particolare, il banner cookie nella pagina iniziale del sito Vueling, specificava che l’utente poteva acconsentire all’utilizzo dei cookie tecnici e di profilazione espressamente oppure continuando nella navigazione. Sul lato destro del banner, inoltre, era collocato un unico button con cui veniva fornita la sola opzione di accettare i cookie, mentre non vi era alcuna menzione circa la possibilità di opporsi.