Digital advertising e consenso ai cookie: regole operative

Definite le regole privacy per gestire i cookie in conformità con la normativa in materia di protezione dei dati personali, è utile ora approfondire il discorso sulla validità del consenso «implicito» all’istallazione dei cookie non tecnici.

Può dirsi conforme al GDPR un consenso prestato tramite la mera «prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link)» come previsto nel Provvedimento dell’8 maggio 2014 del nostro Garante? La chiusura del “popup” può considerarsi una scelta reale e genuina dell’utente?

Per rispondere a questa domanda, dobbiamo innanzitutto domandarci se tale Provvedimento può essere considerato compatibile con il GDPR. Difatti, ai sensi dell’art. 22 del decreto 101/2018, recante disposizioni per l’adeguamento della normativa nazionale al GDPR^[1], “a decorrere dal 25 maggio 2018 i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto”.

Il legislatore non ha quindi attribuito al Garante il compito di fare una ricognizione dei propri provvedimenti, precisando quali siano conformi al GDPR e quali invece abrogati, ma ha lasciato agli interpreti il non semplice e delicato compito di effettuare la valutazione di compatibilità degli stessi (o di parte degli stessi).

Proviamo quindi a fare questa valutazione:

1. la Direttiva e-privacy attualmente vigente prevede, all’art. 2, f), che il “consenso” dell’utente corrisponde al “consenso della persona interessata di cui alla direttiva 95/46/CE”;
2. ai sensi dell’art. 94.2 del GDPR, “I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento”;
3. ergo, il consenso dell’utente all’installazione dei cookie deve corrispondere al consenso dell’interessato di cui al GDPR e, quindi, averne gli stessi requisiti.

Se così è, deve essere non solo libero (come già il consenso ai sensi della direttiva 95/46/CE^[2]), ma deve essere anche, ai sensi dell’art. 4.11 del GDPR, manifestato attraverso una “dichiarazione o azione positiva inequivocabile” (come “la selezione di un’apposita casella in un sito web la scelta di impostazioni tecniche per servizi della società dell’informazione”) con la quale l’interessato manifesta chiaramente l’intenzione di accettare il trattamento dei dati personali che lo riguardano. “Non dovrebbe pertanto costituire consenso”, precisa il considerando 32, “il silenzio, l’inattività o la preselezione di caselle”.

Di conseguenza, come chiarito dall’European Data Protection Board (EDPB) nelle Linee Guida sul consenso ai sensi del GDPR adottate il 4 maggio 2020^[3], la semplice prosecuzione della navigazione, il click o lo scroll della pagina non possono essere condotte da cui dedurre una scelta chiara e consapevole dell’utente.

Analogamente, la Commissione EU, in risposta ad una richiesta di chiarimento, il 12 novembre 2019 ha confermato che il consenso all’istallazione dei cookie richiesto dalla Direttiva ePrivacy deve avere i requisiti di cui all’art. 4 e 7 del GDPR.

Di conseguenza, quello prestato tramite la mera «prosecuzione della navigazione» non sarebbe sufficiente: “continued browsing, clicking and scrolling the page does not suffice for consent: the user needs to actively accept the cookies before they can be placed”.

Sulla base di quanto sopra, è veramente arduo sostenere che il consenso implicito ai cookie di cui al Provvedimento del Garante dell’8 maggio 2014 sia conforme al GDPR.

Ciò nonostante, la nostra Autorità, nelle FAQsu “Informativa e consenso per l’uso dei cookie” aggiornate al 2 ottobre 2019 (quindi in epoca antecedente le precisazioni dell’EDPB, ma comunque dopo più di un anno dalla piena applicabilità del GDPR), pur senza entrare nel merito dei requisiti del consenso, ribadisce quanto previsto nel proprio provvedimento e che cioè il banner deve precisare che, se l´utente sceglie di proseguire “saltandolo”, acconsente all´uso dei cookie.

Altre autorità europee hanno invece emesso, dopo la piena applicabilità del GDPR, nuove linee guida sull’uso dei cookies^[4], sottolineando espressamente che, essendo necessario un consenso specifico, libero e inequivocabile prima che i cookie vengano istallati, la semplice prosecuzione nella navigazione non può essere considerata una modalità valida di prestazione del consenso^[5].

Come impostare e formulare un cookie banner per essere conforme

Dopo l’entrata in vigore del GDPR, diversi editori si sono dotati di CMP (Consent Management Platform), che consentono ai siti web di raccogliere e gestire i cookie e le scelte dell’utente.

Il punto è che un recente studio^[6] effettuato da ricercatori della Aarhus University in Danimarca, del Massachusetts Institute of Technology e della UCL – London’s Global University, su 680 siti web inglesi sui quali è presente una CMP ha dimostrato che la maggior parte degli stessi non appare conforme al GDPR. Non sarebbero infatti garantite agli utenti scelte genuine e libere. Vediamo perché.

Consenso ai cookie: no ad “Accetta tutto”

Tali “tool” solitamente prevedono un “doppio livello autorizzativo”:

1. se l’utente clicca su “accetto” tramite il primo livello autorizzativo (cioè nel “cookie banner”) sono installati tutti i cookie, con un consenso «omnibus»;
2. se l’utente vuole gestire separatamente le proprie preferenze può farlo attraverso un “cookie center”, cliccando su tasti quali “altre informazioni” (o “impostazione cookie“, “mostra dettagli” ecc.).

I siti web preferiscono avere, nel banner, solo il tasto “accetto”, rimandando l’utente ad una altra pagina in cui esprimere – eventualmente – le proprie preferenze sui cookie. L’assenza del pulsante “Rifiuta tutto” aumenta infatti di 22-23 punti percentuali le probabilità che gli utenti prestino il consenso. Invero, lo studio ha dimostrato che nella maggior parte dei siti web analizzati, gli utenti si limitano a cliccare sul tasto “accetto” (93,1%); solo nel 6,9% dei casi è stato cliccato il link “maggiori informazioni” in cui effettuare scelte granulari. Fornire la possibilità di una scelta granulare direttamente nel banner diminuirebbe, pertanto, la percentuale di consenso del 8–20%.

In realtà, un meccanismo di richiesta del consenso che non prevede un pulsante “rifiuto” o che comunque enfatizza il pulsante “accetto”, come precisato dall’ICO (Autorità garante inglese)^[7], non è conforme alla normativa, dal momento che l’utente, anche se può esprimere le proprie preferenze nella sezione “more information”, è comunque influenzato a prestare il consenso.

Analogamente, il CNIL (Autorità di controllo francese), che, nelle Linee Guida appena pubblicate contenute nella Délibération n° 2020-092^[8], sottolinea che deve essere consentito agli utenti di rifiutare i cookie con la stessa facilità con la quale è possibile accettarli.

Se è presente nel banner un tasto “Accetta tutto”, deve esserci anche un tasto “Rifiuta tutto” della stessa dimensione e allo stesso livello sull’interfaccia o, in alternativa, un link “Continua senza accettare”.

Consenso ai cookie: il pre-ticked boxes

Sempre secondo lo studio citato, un’altra modalità diffusa di impostazione del cookie banner è quella che prevede l’acquisizione del consenso tramite caselle “pre-spuntate”, come nell’esempio seguente.

In tal caso, l’utente cliccando sul tasto “accetto”, presta il consenso all’istallazione di tutti i cookie, mentre se non vuole accettare i cookie “opzionali”, deve disattivare le caselle preselezionate e poi proseguire.

Il punto è che un consenso acquisito tramite caselle pre-spuntate, come precisato dalla Corte di giustizia dell’Unione europea^[9], non è legittimo in quanto è “praticamente impossibile determinare in modo oggettivo se, non deselezionando una casella preselezionata, l’utente di un sito Internet abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale consenso sia stato manifestato in modo informato”. Per l’installazione di cookie è “necessario il consenso attivo degli utenti di Internet”.

Analogamente, l’EDBP, nelle Linee Guida sul consenso sopra citate, ha affermato che “The use of pre-ticked opt-in boxes is invalid under the GDPR… The GDPR does not allow controllers to offer pre-ticked boxes or opt-out constructions that require an intervention from the data subject to prevent agreement (for example ‘opt-out boxes’)”^[10].

Consenso ai cookie implicito

Lo studio ha dimostrato che nel 32,5% dei siti, viene considerato un valido consenso anche la semplice visita del sito, la navigazione all’interno dello stesso, il refresh della pagina, lo scroll o il clic sulla pagina o la chiusura del banner.

Consenso ai cookie: la reale situazione dei siti Internet

Solo l’11,8% dei siti analizzati avrebbe le caratteristiche richieste dalla normativa europea, ovvero non utilizza caselle pre-spuntate, posiziona il tasto “rifiuta i cookie” con analogo rilievo di quello “accetta i cookie” e non utilizza un consenso implicito^[11].

Nouwens M., Liccardi, I., Veale M., Karger D., Kagal L.. 2020, “Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence”.

La gestione dei cookie walls

In alcuni casi, poi, i siti web subordinano l’accesso ai relativi contenuti alla prestazione del consenso ai cookie, come nell’esempio sotto riportato.

Nemmeno tale scelta appare conforme in quanto, come precisato dall’EDPB, nelle Linee Guida sul consenso sopra citate, se l’utente non può altrimenti accedere al sito, il click su “accetta i cookie” non può considerarsi una “scelta genuina”^[12]. Il consenso sarebbe privo di uno dei requisiti di cui al GDPR, in quanto non potrebbe considerarsi “freely given”^[13].

Anche l’Autorità di controllo olandese aveva ritenuto i cd. cookie walls non conformi al GDPR in quanto, essendo gli utenti costretti a prestare il consenso per accedere al sito, non sarebbe rispettato il principio della libertà del consenso di cui all’art. 7.4 del GDPR^[14].

I visitatori devono invece poter scegliere liberamente se accettare i cookie di tracciamento, ad es. tramite un pop up con una chiara scelta tra SI e NO o un click su «ACCETTO», e, in caso in cui non vogliano essere tracciati, gli deve essere comunque permesso accedere al sito^[15].

No a diverse basi giuridiche per gli stessi cookie

Nemmeno appaiono conformi al GDPR quei cookie center che, nel secondo livello autorizzativo, prevedono una doppia base giuridica per gli stessi cookie (interesse legittimo oppure consenso).

In realtà non appare possibile prevedere due diverse basi giuridiche per lo stesso trattamento. Il Titolare deve stabilire prima del trattamento ed in relazione ad una specifica finalità – indicandola poi nell’informativa privacy – una delle sei basi giuridiche di cui all’art. 6 del GDPR, né può ricorrere all’interesse legittimo in caso di problemi di validità del consenso^[16].

Come impostare un banner per essere “compliant” al GDPR

Un banner conforme dovrebbe porre con uguale risalto i tasti “accetto” e “non accetto”.

Se nel primo livello autorizzativo viene inserito un tasto “Rifiuta tutto” (o analogo) con cui l’utente può evitare l’istallazione di cookie non tecnici, come nell’esempio seguente:

il banner può essere considerato conforme alla normativa in materia, così come interpretata dall’EDPB e da diverse autorità nazionali, e ciò anche se non si consente, nel primo livello di fare scelte granulari (e cioè differenziare fra analitici^[17], profilazione e comunicazione a terzi).

Inoltre, nel banner non devono essere presenti caselle preselezionate e l’utente deve poter navigare ed accedere al sito anche se non accetta l’istallazione dei cookie di profilazione e clicca su “Rifiuta tutto” (o, ancora meglio, “Usa solo i cookie tecnici” o tasti analoghi).

NOTE

1. Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. ↑
2. L’art. 2 della Direttiva previgente descriveva il consenso come una qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento. ↑
3. “Silence or inactivity on the part of the data subject, as well as merely proceeding with a service cannot be regarded as an active indication of choice” […] Therefore, merely continuing the ordinary use of a website is not conduct from which one can infer an indication of wishes by the data subject to signify his or her agreement to a proposed processing operation”. […] Based on recital 32 actions such as scrolling or swiping through a webpage or similar user activity will not under any circumstances satisfy the requirement of a clear and affirmative action such actions may be difficult to distinguish from other activity or interaction by a user and therefore determining that an unambiguous consent has been obtained will also not be possible.” ↑
4. Si veda il documento ICO, CNIL, German and Spanish DPA revised cookies guidelines: Convergence and divergence in cui è confrontato quanto previsto nelle diverse linee guida dei garanti europei sui cookie. ↑
5. L’azione con cui l’utente presta il consenso deve essere qualcosa di ulteriore rispetto alla semplice prosecuzione nell’utilizzo del sito web. ↑
6. Nouwens M., Liccardi, I., Veale M., Karger D., Kagal L., 2020, “Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence”. ↑
7. “Enabling a non essential cookie without the user taking a positive action before it is set on their device does not represent valid consent. By doing this, you are taking the choice away from the user”, così l’Autorità inglese, in “Guidance on the use of cookies and similar technologies” del 3 luglio 2019. ↑
8. Délibération no 2020-092 du 17 septembre 2020 portant adoption d’une recommendation proposant des modalités pratiques de mise en conformité en cas de recours aux «cookies et autres traceurs» ↑
9. Sentenza del 1° ottobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801. ↑
10. Da notare che il nostro Garante ha costantemente indicato che la previsione di un consenso “preselezionato” è illecita (v., ex multis, provvedimento del 15 giugno 2017 Trattamento di dati personali per finalità di marketing [doc. web n. 6629169]). ↑
11. Per tale motivo, a seguito dei risultati dello studio, i ricercatori della Aarhus University in Danimarca, con l’obiettivo di aiutare gli utenti a non essere “manipolati” dai siti web. hanno sviluppato un’estensioni per browser (Consent-o-Matic) che consente agli stessi di determinare a priori le scelte su quali cookie installare su tutti i siti web che visitano, evitando di dover esprimere le proprie preferenze per ciascun sito. ↑
12. “In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user (so called cookie walls)”. ↑
13. “A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button since the data subject is not presented with a genuine choice, its consent is not freely given. This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button It is not presented with a genuine choice.”. ↑
14. Al seguente link è accessibile il provvedimento in olandese del 7 marzo 2019. ↑
15. L’ICO invece non è chiarissimo sul punto. Se da un lato rileva come l’approccio ‘take it or leave it’ in molte circostanze è inappropriato in quanto i cookie walls estorcerebbero il consenso (“for example, where the user or subscriber has no genuine choice but to sign up. This is because the GDPR says that consent must be freely given”), dall’altro fa notare come il GDPR imponga una riflessione sul bilanciamento che deve avvenire tra i diritti dell’interessato ed altri diritti fondamentali, come la libertà d’espressione e la libertà d’impresa.L’orientamento del CNIL, del Garante Spagnole e delle autorità della Germania (federali) sul punto non è stato non univoco ed è mutato nel tempo, come indicato in https://iapp.org/media/pdf/resource_center/CNIL_ICO_chart.pdf. ↑
16. Così il Provvedimento correttivo e sanzionatorio del Garante nei confronti di TIM S.p.A. – 15 gennaio 2020 [9256486], che cita le Linee guida del Gruppo Art. 29 sul consenso, secondo cui “Sending out the message that data will be processed on the basis of consent, while actually some other lawful basis is relied on, would be fundamentally unfair to individuals. In other words, the controller cannot swap from consent to other lawful bases. For example, it is not allowed to retrospectively utilise the legitimate interest basis in order to justify processing, where problems have been encountered with the validity of consent. Because of the requirement to disclose the lawful basis which the controller is relying upon at the time of collection of personal data, controllers must have decided in advance of collection what the applicable lawful basis is”. ↑
17. Come indicato nel precedente articolo, secondo il nostro Garante, nel Provvedimento 229 dell’8 maggio 2014, i cookie analitici sono assimilati ai cookie tecnici e, pertanto, non richiedono il consenso degli utenti se, in estrema sintesi, si tratta di cookie prima parte o di terza parte (come, ad esempio, Google Analytics) ma vengano adottati strumenti idonei a ridurne il potere identificativo (ad esempio, il mascheramento di porzioni significative dell’indirizzo IP).Ciò significa, a parere di chi scrive che, anche se l’indirizzo IP è anonimizzato, se tramite cookie analitici viene effettuato marketing profilato tramite altre tecnologie che sono in grado di identificare l’utente, questi sono equiparati a cookie di profilazione e richiedono il consenso.L’ICO, invece, richiede il consenso anche per gli analitici di prima parte, pur se meno intrusivi di quelli di terza parte che possono tracciare gli utenti su più siti e dispositivi, in quanto comunque non “strettamente necessari” al funzionamento del sito (v. Guidance on the use of cookies and similar technologies” del 3 luglio 2019). ↑