Con la decisione nel caso "Planet49", la Corte di Giustizia Europea, ha ribadito e stabilito che una casella preselezionata su un sito Web (che l'utente deve deselezionare attivamente per negare il consenso) non costituisce un consenso valido ai sensi del GDPR. 

Si potrebbe dire niente di nuovo: viene quindi rimarcato ancora una volta come non sia praticabile la raccolta dei consensi all’installazione dei cookie e di strumenti analoghi attraverso lo scrolling di una pagina web o l’interazione con link ed altri elementi del sito. Il gestore della pagina web ha il preciso dovere di offrire all’utente la possibilità di spuntare una singola casella per ogni consenso che viene richiesto. La conseguenza che abbiamo tutti davanti agli occhi è che almeno il novanta per cento dei siti su cui quotidianamente navighiamo raccoglie dati in maniera non conforme al GDPR. Per non parlare delle App.

Tutto ciò non fa che rimarcare i più che fondati dubbi sulle previsioni dell’art. 122 D. Lgs. 196/2003, che continua a prevedere una modalità semplificata nel fornire le informazioni per ottenere il consenso ai cookie, magari ricorrendo ad uno scroll della pagina. In questo senso, probabilmente, la risposta definitiva era già giunta quando, nella citata decisione riguardo Planet 49, nelle sue conclusioni depositate già nel Marzo 2018 (quindi prima della definitiva efficacia in tutta l’Unione del GDPR) era già chiaro l’orientamento secondo il quale il consenso all’utilizzo dei cookie può essere associato alla navigazione dell’utente solo quando necessario e indispensabile per la fruizione dei contenuti del sito web.

E, in tal senso, l’avvocatura generale aveva depositato conclusioni secondo le quali gli utenti devono essere informati in modo chiaro circa la finalità dei cookie che possono installare, la durata del trattamento che ne deriva e l’identità di eventuali terzi a cui sono comunicati i dati personali. Non solo quindi generiche “terze parti” o “società del nostro gruppo”. Inoltre chi naviga su un sito deve essere messo nella condizione di esprimere il proprio consenso, nel rispetto del GDPR, ad ogni singolo trattamento. Ergo, divieto di caselle preselezionate. 

Questo principio è stato fatto proprio anche dal Garante inglese che ha rilevato come “l’installazione di un cookie non essenziale senza che l’utente compia un’azione positiva precedente all’installazione sul device, non costituisce un consenso valido. In questo modo, si nega all’utente la possibilità di scegliere”.

Non costituiscono quindi assolutamente una sorpresa le linee guida del EDPB (European data Protection Board), che hanno ribadito come lo scrolling non possa costituire valida forma di consenso all’installazione dei cookie in quanto questo gesto non può essere considerato manifestazione inequivocabile di una volontà o la semplice intenzione di continuare la navigazione su un sito. Inoltre questo sistema renderebbe perlomeno difficoltosa una forma di revoca del consenso con la stessa facilità con cui viene fornito.

Definitiva la scelta di non considerare validi i consensi raccolti tramite sia caselle già spuntate da parte del gestore, sia mediante cookiewall, vale a dire banner che impediscono fruizione di funzionalità e contenuti del sito a meno che l’utente non accetti i cookie. Sono pertanto venute meno le basi delle indicazioni fornite a suo tempo dall’autorità garante italiana che consientivano informative semplificate per l’accettazione dei cookie.