Emanate le nuove linee guida europee sul consenso ai sensi del Regolamento europeo 679/2016

Emanate le nuove linee guida europee sul consenso ai sensi del Regolamento europeo 679/2016

di Luca Iadecola, Avv.

Versione PDF del documento

Lo scorso 4 maggio sono state pubblicate le nuove linee guida sul consenso che, rispetto alle precedenti adottate dal WP29 il 10 aprile 2018, presentano due novità di rilevo.

Premessa

L’European Data Protection BoardEdpb” (comitato europeo per la protezione dei dati) è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. È composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD). È l’organismo che ha sostituito il Gruppo di lavoro articolo 29  (Working Party article 29 o WP29, in quanto previsto dall’art. 29 della direttiva europea 95/46)  ed è il gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati.

Scopo delle linee guida in commento (presentate come versione 1.0) è quello di raccogliere ed aggiornare le linee guida adottate dal  WP29 il 10 aprile 2018 ed affrontare il problema dell’uso dei cookie in relazione al consenso.

L’art. 4 del Regolamento europeo n. 679/2016 “gdpr” al par. 11 definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Il concetto di base del consenso rimane invariato rispetto a quello previsto dalla direttiva 95/46 / CE

Quando un titolare del trattamento pone in essere attività che comportano il trattamento di dati personali, deve sempre valutare attentamente la base giuridica scegliendo quella appropriata per il trattamento previsto. Ai sensi dell’articolo 6 c. 1 lett a) del gdpr il consenso  è una delle basi giuridiche su cui può essere basato il trattamento dei dati personali.

In generale, il consenso può costituire una base lecita adeguata solo se all’interessato viene offerta una scelta autentica in merito all’accettazione o al rifiuto delle condizioni offerte. Quando richiede il consenso, il titolare del trattamento ha il dovere di valutare se soddisferà tutti i requisiti per ottenere un consenso valido. Se ottenuto nel pieno rispetto del GDPR, il consenso è uno strumento che consente agli interessati di controllare se i dati personali che li riguardano saranno trattati o meno. In caso contrario, il controllo dell’interessato diventa illusorio e il consenso non costituirà una base valida per il trattamento, rendendolo illegittimo.

Come il WP29 ha dichiarato nel parere n. 15/2011, la decisione di un individuo di accettare un’operazione di trattamento dei dati dovrebbe essere soggetta a rigorosi criteri, soprattutto se si tiene conto del fatto che, così facendo, un individuo potrebbe rinunciare a un suo diritto fondamentale. Il ruolo cruciale del consenso è sottolineato dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, ottenere il consenso non impedisce o in alcun modo riduce gli obblighi del titolare del trattamento di osservare i principi del trattamento sanciti dal GDPR, in particolare l’articolo 5 per quanto riguarda l’equità, la necessità e la proporzionalità, nonché la qualità dei dati.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Validità del consenso prestato mediante cookie walls

La prima novità introdotta dalle linee guida in commento consiste nei chiarimenti resi circa la la validità del consenso prestato attraverso il c.d. cookie walls (ovvero presta il consenso per proseguire).

L’EDPB ritiene che il consenso non possa essere considerato come dato liberamente se un titolare del trattamento sostiene che esiste una scelta  tra i suoi servizi e quelli equivalenti forniti da altro soggetto. In tal caso, la libertà di scelta sarebbe subordinata a ciò che fanno gli altri attori del mercato. In altre parole l’interessato potrebbe scegliere fra due siti che offrono gli stessi identici servizi e optare per quello dei due che non subordina l’accesso ai servizi all’accettazione di tutti i cookie.

Questo sarebbe ritenuto un comportamento scorretto. Affinché il consenso possa essere dato liberamente, infatti, l’accesso ai servizi e alle funzionalità non deve essere condizionato dal consenso di un utente alla memorizzazione di informazioni o all’accesso a informazioni già memorizzate, (le cosiddette cookie walls) poiché un fornitore di servizi non può impedire agli interessati di accedere a un servizio sulla base del fatto che loro non acconsentono.

L’esempio riportato ai paragrafi 40 e 41 delle linee guida chiarisce meglio il concetto: un fornitore di siti Web prevede uno script che permetterà la visibilità dei contenuti del sito solo nel caso in cui si accettino tutti i cookie impostati con il cookie wall. In questo caso non è possibile accedere al contenuto senza fare clic sul pulsante “Accetta i cookie”. Poiché l’interessato non ha una autentica possibilità di scelta, il suo consenso non deve intendersi fornito liberamente.

Consenso tramite azione positiva inequivocabile

La definizione di consenso sopra ricordata (art. 4 n. 11 gdpr) prevede una manifestazione di volontà positiva ed inequivocabile. Non rientrano in questa categoria le manifestazioni tacite di consenso.

In altre parole, il consenso deve sempre essere espresso attraverso una dichiarazione o in modo attivo. L’interessato deve aver intrapreso un’azione deliberata per acconsentire allo specifico trattamento. Non lo si può semplicemente presumere attraverso una qualsivoglia manifestazione tacita quale potrebbe essere l’inattività dell’utente o il richiedere uno scrolling del mouse,  neppure quando ciò è previsto nell’informativa breve che si presenta all’utente all’apertura della pagina. Secondo Il considerando 32 del gdpr: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso“.

Sulle modalità con le quali raccogliere il consenso viene concessa ampia libertà al titolare del trattamento di individuare il modo ritenuto congruo per raccogliere il consenso, purchè i meccanismi scelti operino in maniera chiara per gli interessati consentendo loro di esercitare una “azione positiva inequivocabile”.

L’esempio nr. 15 indicato nelle linee guida chiarisce il concetto evidenziando come scorrere una barra su uno schermo, muovere le mani dinanzi ad a una smart camera, ruotare uno smartphone in senso orario o formando un otto possono essere modi per raccogliere un consenso al trattamento, purché vengano fornite informazioni chiare, poiché i movimenti in questione indicano l’accettazione di una richiesta specifica. Il titolare del trattamento deve essere in grado di dimostrare che il consenso è stato ottenuto in questo modo e gli interessati devono essere in grado di revocare il consenso con la stessa facilità con cui è stato fornito.

L’esempio successivo, invece, chiarisce altrettanto chiaramente come azioni come lo scorrimento di una pagina Web non soddisfano in nessun caso il requisito di un’azione chiara ed inequivocabile: tali azioni possono essere difficili da distinguere da altre attività o interazioni da parte di un utente e quindi non consentono di determinare che è stato ottenuto un consenso inequivocabile. Inoltre, in tal caso, sarà difficile fornire all’utente la possibilità di revocare il consenso in maniera altrettanto semplice rispetto al modo col quale è stato concesso.

Conclusioni

I cookie sono strumento indispensabile per una navigazione fluida e veloce attraverso i siti internet. Possono, tuttavia, essere anche utilizzati come strumento di valutazione per verificare la compliance aziendale alle prescrizioni del gdpr e alla normativa di settore. Le linee guida in commento (per ora ancora solo in inglese) rappresentano uno strumento utile per i titolari del trattamento, i quali possono utilizzare gli esempi pratici per orientarsi nella scelta delle modalità con le quali richiedere il consenso dei cookies e rappresentano uno sforzo apprezzabile per rendere i cittadini europei maggiormente consapevoli dei propri diritti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luca-iadecola

Luca Iadecola

Avvocato del foro di Teramo, consulente privacy e Dpo. Si occupa prevalentemente di privacy e trattamento dei dati. Cura alcune rubriche a tema privacy e scrive sulle principali riviste giuridiche. luca.iadecola@gmail.com, l inkedin: https://www.linkedin.com/in/luca-iadecola-7293998a.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!