Lo scorso 13 dicembre l’EDPB (European Data Protection Board) ha pubblicato una lettera in risposta ad un’iniziativa volontaria – cookie pledge – della Commissione europea, attraverso la quale è stato proposto un sistema che dà la possibilità all’imprese di intervenire e gestire in maniera diretta i cookies nell’ottica di alleggerire il meccanismo per richiedere il consenso al trattamento dei dati agli utenti.
Le modalità attuali sono appesantite da descrizioni lunghe e talvolta eccessivamente tecniche, che rischiano di frustrare la scelta dell’utente, fenomeno conosciuto anche come “affaticamento dei cookies” (in inglese, “cookie fatigue”).
Lo scopo del Cookie Pledge e la sua valutazione
L’obiettivo principale perseguito dalla Commissione è quello di garantire ai cittadini la protezione dei propri diritti e libertà fondamentali e di potere al tempo stesso effettuare scelte efficaci in relazione al consenso dei cookies.
Nel documento di valutazione dell’iniziativa, l’EDPB ha specificato che non è stata verificata la presenza di tutti i requisiti per l’ottenimento di un valido consenso ex art. 4, par. 11 e art. 7 GDPR, essendosi limitata ad evidenziarne i più rilevanti.
Il particolare si è evidenziato che:
- il consenso da parte degli interessati deve consistere in un’azione positiva. Non è sufficiente la semplice navigazione in un sito web o l’uso di impostazioni generali del browser che consentono l’uso dei cookies;
- laddove sia richiesto il consenso, non è permesso alcun accesso o memorizzazione di informazioni nelle apparecchiature terminali prima dell’ottenimento di un consenso valido;
- gli utenti devono essere informati della loro possibilità di poter revocare il proprio consenso agilmente e in qualsiasi momento.
I Principi del Cookie Pledge
All’interno della proposta cookie pledge, la Commissione ha elaborato alcuni principi fondamentali volti a tracciare le regole comuni all’utilizzo dei cookies e a evitare il fenomeno dell’affaticamento di cui dicevamo.
- Principio A: non è necessario il consenso per i c.d. cookies essenziali, ossia cookies strettamente necessari per il funzionamento del sito, e per i dati trattati sulla base del legittimo interesse.
- Principio B: l’utente deve essere informato nel caso in cui il titolare del sito o dell’app a cui accede riceve un compenso per la pubblicità esponendo l’utenza al tracciamento delle proprie abitudini.
- Principio C: l’utente deve essere informato in relazione ai modelli di business tra cui scegliere e alle conseguenze dell’accettazione o meno dei tracker.
- Principio D: deve essere sempre possibile per l’utenza la scelta di una forma di pubblicità meno invasiva della privacy.
- Principio E: il consenso ai cookies per scopi pubblicitari non dovrebbe essere richiesto in relazione a ogni singolo tracker. Inoltre, deve essere sempre possibile per l’utente avere maggiori informazioni in merito alle tipologie di cookies utilizzati per fini pubblicitari e avere la possibilità di effettuare una selezione mirata di quei cookies che l’utente desidera accettare.
- Principio F: deve essere richiesto un solo consenso se la finalità dei cookies in questione è la stessa.
- Principio G: all’utente che ha rifiutato il cookie può essere riproposta la possibilità di accettarlo solo dopo un anno dal rifiuto. Tale periodo è ritenuto astrattamente congruo al fine di tutelare la scelta di non essere soggetto a cookies. Inoltre, l’EDPB ha specificato che il dato raccolto relativo al mancato consenso non deve identificare univocamente il soggetto, ma deve contenere informazioni generiche comuni a tutti coloro che hanno rifiutato di dare il consenso.
- Principio H: gli utenti hanno la possibilità di avvalersi di applicazioni che registrano in anticipo le preferenze del singolo in relazione ai cookies. Qualora l’utente imposti il consenso predefinito, questo comunque non costituisce di per sé un consenso valido.
Conclusioni
Questi sono solo i principi più importanti. Come più volte specificato dall’EDPB nella lettera di risposta alla Commissione europea, il rispetto dei suddetti principi è necessario ma non sufficiente perché l’attività possa essere considerata come rispettosa del GDPR o della Direttiva ePrivacy.
Occorre sempre una costante analisi caso per caso dell’attività svolta.
Elena Bandinelli