Quante volte, per fretta, per noia, per non voler (di nuovo) gestire le scelte privacy dei banner che ci troviamo di fronte quando entriamo in un sito, poggiamo il dito sul display del nostro smartphone e diamo quella spinta all’insù che ci fa scorrere via quel fastidio che ci impedisce di leggere al volo quello che stavamo cercando?
Finora i gestori dei siti avevano sfruttato quel fastidio innato che la maggior parte di noi proviamo nel trovarci quel banner di fronte facendo sì che la nostra “NON” scelta, quella spintarella del display, significasse una nostra accettazione all’installazione di tutti i cookie che potevano essere funzionali al gestore del sito stesso.
Era un “Sì” implicito, per loro, quando per l’utente era solo un “Uffa che barba, uffa che noia, stare a spulciare le opzioni”, per parafrasare una grande comica italiana.
Dopo il 9 gennaio 2022 per il Garante non è più essere così, ribadendo che il consenso deve risultare da un’azione specifica, dimostrabile ed inequivocabile dell’utente. Infatti, come da nuove disposizioni:
“In base al considerando 32, azioni come lo scorrimento di una pagina Web o attività dell’utente simile non soddisfano in nessun caso il requisito di un’azione chiara e affermativa (necessario ai fini della validità del consenso): tali azioni possono essere difficili da distinguere da altre attività o interazioni da parte di un utente e quindi non sarà inoltre possibile determinare un consenso inequivocabile [disposizione di riferimento: l’art. 4.11) GDPR e, in collegamento ad essa, l’art. 7] ”.
Come già anticipato, lo scrolling non può più, quindi, essere considerato un’acquisizione di consenso, sia perché potrebbe avvenire per un errore (toccare inavvertitamente il display del dispositivo, muovere per sbaglio la rotella del mouse, ecc.), sia perché, almeno così è stato finora, non avendo controllato le impostazioni di default che il gestore del sito aveva settato, non sappiamo a cosa stiamo dando il consenso.
Solo ai cookie tecnici?
Al tracciamento per un’analisi del gestore sul sito?
A permettere che i dati che il gestore sta raccogliendo possano essere venduti a parti terze che li useranno per fare marketing nei nostri confronti dei prodotti e servizi più disparati di cui non ci interessa nulla?
Fino ad ora abbiamo quasi esclusivamente ignorato a cosa stavamo dicendo di sì, salvo poi trovarci subissati di maree di mail promozionali, telefonate alle ore più improbabili, Sms a raffica di offerte che “non puoi assolutamente perdere”.
Con le nuove disposizioni sui cookie, ogni scelta deve essere fatta ben consapevoli di cosa stiamo facendo, con un’azione
chiara (azione che non può essere confusa con un’altra fatta per errore) e affermativa (fatta specificatamente per ottenere quel risultato, sia che si stia dando un consenso, che lo si stia negando, o scegliendo di darlo solo per alcuni aspetti e non per altri), in modo da generare un consenso inequivocabile, che è l’unica base legale utilizzabile per l’installazione di cookie non tecnici e/o per l’accesso a quelli installati, come previsto dall’art. 122 Cod. privacy, disposizione speciale e prevalente sulle basi dell’art. 6 GDPR.
Ricordiamo inoltre che la prova dell’acquisizione di un valido consenso è in capo al titolare del trattamento, che è anche, quindi, l’unico sanzionabile in caso di trattamento non a norma con le nuove disposizioni.
Anche per questo, tra l’altro, il settaggio delle impostazioni cookie dovrà essere impostato di default al diniego: a parte i cookie tecnici, che sono necessari per il funzionamento del sito (per esempio, la scelta di una lingua piuttosto che un’altra), tutti gli altri dovranno essere dismessi, e sarà possibile installarli sul terminale dell’utente solo a seguito di precisa scelta dell’utente stesso alla loro installazione.
Per maggiori informazioni in merito puoi consultare le linee guida n. 5/2020 dell’EDPB e le FAQ del Garante per la protezione dei dati personali sui relativi siti istituzionali.
