Quante volte, per fretta, noia o semplicemente perché non vogliamo (di nuovo) gestire le scelte privacy dei banner, ci capita di scorrere via quel fastidioso avviso semplicemente facendo swipe sullo smartphone o scrollando la pagina?
Fino ad oggi, molti gestori di siti hanno sfruttato questa naturale insofferenza degli utenti nel trovarsi davanti a un cookie banner, interpretando la nostra “NON scelta” – quella spintarella o lo scroll che manda via il banner – come un vero e proprio consenso all’installazione di tutti i cookie: tecnici, analitici, di profilazione.
In realtà, per chi naviga era solo un modo rapido per accedere al contenuto desiderato, non certo un consenso consapevole.
Dopo il 9 gennaio 2022, però, il Garante ha chiarito che il consenso deve essere frutto di un’azione specifica, dimostrabile e inequivocabile da parte dell’utente. Come stabilito dalle nuove linee guida:
“In base al considerando 32, azioni come lo scorrimento di una pagina Web o attività simili non soddisfano in nessun caso il requisito di un’azione chiara e affermativa (necessario ai fini della validità del consenso): tali azioni possono essere difficili da distinguere da altre attività, e quindi non sarà possibile determinare un consenso inequivocabile [art. 4.11) GDPR e art. 7]”
In sintesi, lo scroll non può più essere considerato valido per l’acquisizione del consenso, sia perché può avvenire per errore (un touch involontario, un movimento accidentale del mouse), sia perché spesso l’utente non sa nemmeno quali impostazioni predefinite il sito abbia configurato.
Stiamo davvero dicendo sì solo ai cookie tecnici? O anche al tracciamento e alla profilazione per marketing di terze parti di cui non ci importa nulla? Per molto tempo non abbiamo neanche letto a cosa stavamo acconsentendo, salvo poi ritrovarci subissati di email, telefonate e messaggi promozionali.
Con le nuove disposizioni, ogni scelta deve essere chiara e consapevole:
- Chiara: ossia un’azione che non può essere confusa o fatta per sbaglio.
- Affermativa: compiuta di proposito per esprimere o negare il consenso (anche solo su alcune tipologie di cookie).
Solo un consenso così espresso è valido per l’installazione di cookie non tecnici e/o per l’accesso a quelli già installati, come indicato dall’art. 122 Codice Privacy e dall’art. 6 GDPR.
Ricordiamo che la responsabilità di dimostrare il valido consenso è sempre a carico del titolare del trattamento, che sarà anche l’unico sanzionabile in caso di irregolarità.
Per adeguarsi, la configurazione dei cookie deve essere impostata di default su “rifiuta” (tranne i tecnici): gli altri dovranno essere attivati solo dopo la raccolta di un consenso esplicito da parte dell’utente.
Per approfondire puoi consultare le linee guida n. 5/2020 dell’EDPB e le FAQ del Garante.
