Pubblicate dall’EDPB le nuove Linee Guida sul consenso al trattamento dei dati personali chiariscono la posizione sui cookie

Il 4 maggio 2020 l’European Data Protection Board (“EDPB”) ha pubblicato le “Guidelines 05/2020 on consent under Regulation 2016/679”. Tale contributo riprende quasi integralmente le Linee guida sul consenso ai sensi del regolamento 2016/679 (WP259 rev.01) adottate dal Gruppo di lavoro di cui all’Articolo 29 (“WP29”) e approvate dall’EDPB, optando per un approccio conservativo rispetto alle indicazioni fornite sul tema dal WP29. L’EDPB ripropone l’analisi effettuata dal proprio predecessore sul tema, ma introduce delle precisazioni importanti con riferimento al consenso all’utilizzo dei cookie.

In particolare, l’EDPB si è pronunciato rispetto alle c.d. cookie wall, ritenendo che subordinare l’accesso ai servizi e alle funzionalità di un sito web al consenso dell’utente alla memorizzazione di informazioni o all’accesso a informazioni già memorizzate sul device di quest’ultimo (cliccando su “Accetta i cookie”) non permette all’interessato di esprimere una vera e propria scelta e, pertanto, non può essere ritenuto valido il consenso eventualmente prestato. Inoltre, dopo aver confermato l’importanza di un consenso granulare, specifico e informato, nonché la necessità di garantire all’interessato la possibilità di negare o revocare il consenso senza che da ciò ne possano derivare conseguenze pregiudizievoli per lo stesso, l’EDPB chiarisce che il mero scrolling su una pagina web o azioni simili non potranno in alcun caso considerarsi una manifestazione chiara e positiva dell’interessato perché si tratterebbe di azioni difficilmente distinguibili da altre attività o interazioni da parte di un utente e, quindi, “non sar[ebbe] possibile determinare l’ottenimento di un consenso inequivocabile”.

Questa posizione è importante perché è in contrasto con quanto indicato dal Garante per il trattamento dei dati personali nel suo provvedimento dell’8 maggio 2014 relativo all’individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l’uso dei cookie. I provvedimenti del Garante emessi prima del 25 maggio 2018 rimangono applicabili nei limiti in cui siano compatibili con il GDPR. Tuttavia, alla luce di questa posizione dell’EDPB e della precedente sentenza della Corte di Giustizia europea sul caso Planet 49 che aveva raggiunto le stesse conclusioni dell’EDPB, ci sono argomentazioni per sostenere che il provvedimento sui cookie del Garante non sia compatibile con il GDPR.

Quindi ci sono migliaia di siti Internet italiani che dovranno cambiare le modalità in cui il consenso all’utilizzo dei cookie è prestato.