COOKIE – “Consenso” dell’interessato al “legittimo interesse” del Titolare?

In questi ultimi mesi, nell’accesso ai siti web, sempre più di frequente si assiste ad un nuovo modo di presentare i cookie.

Accanto al noto banner con il pulsante: “accetta i cookie” vi è un link o un bottone contenente un’espressione del tipo: “per saperne di più”, oppure “maggiori opzioni”. Cliccando su una di queste espressioni si apre un cookie wall, che, come si dirà in seguito, il Comitato Europeo per la protezione dei dati (EDPB) non considera valido, e una serie di scelte, relative a cookie di profilazione, anche di terze parti, per i quali di default risulta spuntato sul no il consenso, ma che immediatamente sotto ogni singola scelta, trova spuntato sul sì l’interesse legittimo.

L’interesse legittimo è una delle sei basi giuridiche che il Regolamento Europeo 2016/679 (GDPR) ammette affinché il trattamento dei dati sia lecito. Consenso dell’interessato e interesse legittimo del titolare del trattamento (o di terzi) sono due basi giuridiche differenti tra loro.

Il GDPR tratta delle basi giuridiche all’art. 6; l’art. 6, lett. f) fa riferimento ai Considerando 50 e 47. Quest’ultimo così recita: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”. Laddove si tratti di cookie di profilazione, anche di terze parti, non appare corretto considerare come base giuridica l’interesse legittimo, alla luce di tale considerando e ancor di più alla luce dell’art. 22 GDPR.  

L’EDPB ha pubblicato nel maggio 2020 le Linee guida 05/2020 sul consenso,che tra l’altro trattano anche dei cookie. L’EDPB ritiene che l’opzione di “continuare a navigare” non costituisca un valido modo di prestare il consenso, nella misura in cui tale azione possa essere difficile da distinguere da altre attività o interazioni dell’utente; allo stesso modo lo scrolling all’interno del sito web: in nessun caso tale azione può essere interpretata come un’accettazione dei termini per l’utilizzo dei cookie; i cookie wall che non offrono un’alternativa al consenso non possono essere utilizzati, in quanto limitano l’accesso a determinati servizi o contenuti solo agli utenti che accettano l’uso dei cookie.

Il consenso, libero, specifico, informato, inequivocabile e revocabile in qualunque momento, viene prestato dall’interessato a una richiesta del titolare per uno specifico trattamento.

L’interesse legittimo è una base giuridica che viene individuata e utilizzata dal Titolare del trattamento solo dopo aver effettuato un bilanciamento tra i diritti del Titolare e quelli degli interessati.

Il Titolare, prima di iniziare qualsiasi trattamento dei dati sulla base dell’interesse legittimo, deve valutare se ha correttamente considerato tutti i rischi in gioco, e quindi tutte le possibili conseguenze sugli interessati (eventualmente svolgendo una DPIA), ma anche raccogliere e documentare elementi sufficienti per essere in grado di dimostrare che gli interessi relativi sono stati ben bilanciati tra loro.

La possibilità di acconsentire o negare l’interesse legittimo da parte dell’interessato sembra un nonsenso: innanzitutto tale pratica non è legittima, in quanto un utente che abbia una conoscenza media non trascorrerà del tempo a selezionare da quali aziende o per quali scopi potrà essere profilato, pertanto tale pratica si pone in palese contrasto con i principi del GDPR e le indicazioni dell’EDPB in ordine al consenso; secondariamente se la base giuridica è l’interesse legittimo, per il quale il titolare ha ragionevolmente operato un bilanciamento degli interessi, come può l’interessato apporre ovvero negare il suo consenso rispetto all’interesse legittimo dichiarato dal titolare del trattamento? Seguendo tale ragionamento è come se si sovrapponessero (!) le basi giuridiche per il medesimo trattamento e la medesima finalità, avvalorando con il consenso il legittimo interesse del titolare.

Si assiste a qualcosa di nuovo dal punto di vista operativo che si sta diffondendo, per il quale si auspica un intervento dell’Autorità Garante, al fine di dichiarare illegittima tale pratica.

Scritto da:

dr.ssa Maria Grazia Romano e avv. Floriana Tagliaferro

Posted in Protezione Dati, RGPDTags:
Write a comment