Fonte immagine: ChatGPT
La Commissione europea sta valutando alcune possibili semplificazioni alla normativa sui cookie, con la doppia finalità di rendere più efficaci le regole esistenti ed al contempo sgravare le aziende che operano in ambito digitale da alcuni oneri. Nel contesto di una dilagante “cookie fatigue”, in cui banner e pop-up chiedono continuamente consensi agli utenti, si osserva come questi consensi rischiano di non essere informati e liberi, come invece previsto dal GDPR. Le continue richieste di consenso portano, infatti, al fenomeno della “consent fatigue”, che le semplificazioni oggetto di valutazione dovrebbero attenuare. L’approccio risk-based del GDPR viene individuato, a livello eurounitario, come rimedio al fine di selezionare i cookie realmente intrusivi della privacy e limitare a questi le richieste di consenso. In buona sostanza, la Commissione europea si pone l’obiettivo di raggiungere il – difficile – equilibrio tra competitività digitale e tutela della privacy degli utenti.
Una doverosa premessa: nel delicato equilibrio tra regolamentazione ed innovazione, si è osservato che le disposizioni legislative applicabili ai servizi digitali potrebbero minare la competitività a livello europeo. Anche per questa ragione, come evidenziato da un recente articolo in argomento (i.e. “Europe’s cookie law messed up the internet. Brussels wants to fix it.”), la Commissione Europea sta valutando, nell’ambito del pacchetto di riforme “Digital Omnibus”, una semplificazione della normativa sui cookie (i.e. direttiva ePrivacy 2002/58/CE, come successivamente modificata, e recepita nel d.lgs. n. 196/2003, “Codice Privacy”).
È noto a tutti come ogni navigazione online si caratterizzi per la continua comparsa di pop-up e banner che chiedono l’accettazione di cookie, portando alla c.d. “consent fatigue”, ossia l’affaticamento dell’utente a cui è richiesto continuamente ed in modo ripetitivo un consenso, che – in tal modo – si svuota di significato. Quante volte, del resto, capita di accettare un pop-up o un banner al solo scopo di vederlo scomparire, senza interrogarsi sulle implicazioni di questa accettazione? Ebbene, è chiaro che se il consenso non viene più utilizzato come base giuridica eccezionale, ma è la regola, l’utente finirà per non percepire più il valore di tale consenso e quindi non lo fornirà in modo informato. Ed invece, per definizione, il consenso deve essere un atto positivo inequivocabile con cui l’interessato manifesta l’intenzione informata, libera, specifica ed inequivocabile di accettare il trattamento di dati personali che lo riguardano.
Sul tema dei cookie sono note le linee guida del Garante Privacy del 2021 (per un approfondimento, cfr. G. Cavalcanti, Privacy vs Profilazione: il punto sulla disciplina relativa a cookie e altri strumenti di tracciamento, a partire dalle nuove linee guida del Garante della privacy e A. Mascolo, Cookie e strumenti di tracciamento: le nuove Linee guida del Garante per la privacy), che hanno chiarito alcune best practices per assicurare che il consenso reso dall’utente possa ritenersi valido (e.g. l’utente non può prestare il consenso semplicemente chiudendo il banner dei cookie, ma è necessaria un’azione positiva). Ciononostante, ancora diversi siti web risultano non in linea con queste indicazioni e mostrano banner che impediscono un’accettazione consapevole, spesso insidiati dai c.d. “dark patterns” che inducono, in via ingannevole, all’accettazione dei cookie (ad esempio mettendo in maggior rilievo visivo il tasto “Accetta tutti” rispetto a quello “Rifiuta tutti”, così portando un utente distratto a cliccare sul primo tasto ed acconsentire ad un trattamento inconsapevole dei propri dati personali).
Queste problematiche sono già state sotto la lente di ingrandimento della Commissione, che nel dicembre 2023 ha avviato la c.d. iniziativa di “cookie pledge”, ossia un’iniziativa volontaria, aperta alle imprese, proprio per contrastare la “cookie fatigue”. In questa iniziativa si vede già in nuce l’intento semplificatore nella gestione dei cookie, oggi al centro dell’analisi a livello europeo. Tra gli spunti forniti – peraltro attuali – ci sono, ad esempio, i seguenti: (i) la richiesta di consenso non deve contenere il riferimento a cookie essenziali tecnici o alla raccolta di dati basati sul legittimo interesse; in questi casi, difatti, il GDPR offre una base giuridica diversa dal consenso, di cui è comunque necessario verificare la l’effettiva applicabilità caso per caso; (ii) il consenso ai cookie per scopi pubblicitari non dovrebbe essere necessario per ogni singolo tracker; (iii) dovrebbe passare un anno dall’ultima richiesta all’utente di accettazione dei cookie.
Un altro tema oggetto di grande discussione, anche a livello europeo, e che ruota attorno alla libertà del consenso, è relativo ai modelli “pay or ok”, in cui l’accettazione dei cookie di profilazione è resa obbligatoria per fruire di un servizio in modo gratuito; sul punto è in corso di svolgimento una consultazione pubblica lanciata dal Garante Privacy a partire dal “consent paywall” utilizzato da diverse testate giornalistiche. Vi è tuttavia da tenere presente che l’EDPB (European Data Protection Board) si è già espresso negativamente su questo tipo di modelli utilizzati dalle piattaforme online di grandi dimensioni, ritenendo che, come regola generale e fatte salve le valutazioni del caso di specie, debba essere offerta all’utente una valida alternativa che non prevede alcuna forma di pagamento (cfr. EDPB, Parere 8/2024, consultabile qui). Come evidenziato dal Garante per la protezione dei dati personali, torna centrale il tema della consapevolezza dell’utente: “la maggior parte degli interessati, infatti, pur di accedere ‘gratuitamente’ ai contenuti o alle funzionalità e ai servizi offerti, acconsente al trattamento dei propri dati, spesso neppure comprendendo a pieno gli effetti delle proprie scelte”.
Altra forma di semplificazione al vaglio della Commissione europea è relativa all’impostazione delle preferenze sui cookie una sola volta, tramite le impostazioni del browser dell’utente; ciò al fine di evitare la ripetizione delle richieste di consenso all’accesso ad ogni sito web. Tale opzione, tuttavia, non sembra del tutto in linea con il requisito di granularità del consenso, per cui l’utente deve acconsentire in modo autonomo e separato a ciascun trattamento.
La Commissione europea sta poi valutando la possibilità di ricondurre la normativa sui cookie nell’alveo del GDPR con l’obiettivo di assoggettare anche i cookie al generale approccio risk-based che permea l’impianto la disciplina privacy. Tale approccio – che sembra già potersi adottare in ottica interpretativa – consentirebbe di modellare la disciplina dei cookie stabilendo regole più o meno intrusive in base al tipo di cookie preso in considerazione ed utilizzando basi giuridiche diverse dal consenso (come il legittimo interesse, a condizione che siano soddisfatti specifici requisiti ed in particolare la prevalenza dell’interesse legittimo sulla tutela dei diritti degli utenti). Seguendo questo approccio, la Danimarca ha proposto di eliminare i banner per i cookie tecnici e meramente statistici (per alcune considerazioni su un altro caso europeo, ossia il caso francese, si veda B.P. Amicarelli, Il watchdog francese dei dati personali verifica il rispetto delle linee guida in materia di cookies); attualmente, in base alla normativa italiana, queste categorie di cookie non richiedono un consenso, sebbene sia comunque necessario fornire un’adeguata informativa agli utenti. Affinché non si sacrifichi troppo la salvaguardia degli utenti, a parere di chi scrive, le esenzioni dalla normativa dovrebbero essere limitate e circoscritte solo ai cookie meno invasivi, come i cookie tecnici, evitando categorie di cookie la cui finalità non è chiara o comunque soggetta a diverse interpretazioni (e.g. i cookie per migliorare un servizio possono, a seconda dei casi, non essere meramente tecnici).
Altro principio cardine è quello di trasparenza ed è in quest’ottica che la Commissione europea si sofferma sulla standardizzazione delle informative privacy (sul tema, sia consentito il rinvio a G. Delle Cave, “Te c’hanno mai mannato a” leggere una privacy policy? Il paradosso giuridico della prolissa sinteticità), che devono comunque essere rese con modalità chiare al fine di ottenere un consenso libero e consapevole da parte dell’utente. La standardizzazione, tuttavia, porta con sé il rischio di informative non personalizzate rispetto ai cookie effettivamente utilizzati dal sito; è quindi importante che ogni informativa sia rivista in modo specifico, caso per caso. Resta fondamentale il principio di trasparenza: all’utente deve essere sempre rappresentato in modo chiaro il tipo di trattamento effettuato (quali dati, per quanto tempo sono trattati, con quale finalità) e gli strumenti utilizzati, evitando qualsiasi ostacolo al (legittimo) rifiuto da parte dell’utente per i cookie che si basano sul consenso.
In conclusione, le semplificazioni al vaglio della Commissione europea potrebbero costituire un buon compromesso tra tutela della competitività digitale e salvaguardia dei diritti dell’utente, tenendo conto che la regolazione rimane comunque un valido ausilio – e non un ostacolo – all’innovazione. Ciò a condizione che le regole stabilite non siano suscettibili di incertezze interpretative, che potrebbero portare, tra l’altro, ad una difficoltà di enforcement da parte degli Stati membri e ad una minore protezione della privacy degli utenti. Allo stato può osservarsi che i diritti degli utenti non sono ancora adeguatamente tutelati, essendosi cristallizzata una situazione di asimmetria informativa a danno dell’utente, che si trova a dover interpretare privacy policy illeggibili, non comprendendo gli interessi in gioco e quindi compromettendo, anche inconsapevolmente, i propri diritti. Da questo punto di vista, l’invito alle imprese deve essere quello di estrema chiarezza e trasparenza, anche eventualmente ricorrendo a tecniche di legal design per veicolare le informazioni in un formato maggiormente fruibile. Tuttavia, la vera risposta a queste problematiche non può che essere istituzionale. Pertanto resta da osservare quali misure saranno effettivamente implementate e se le stesse saranno conformi a un duplice obiettivo: dettare regole chiare ed efficaci, a misura di cittadino digitale, in materia di cookie e – al contempo – aumentare la disponibilità di dati per le aziende, pur sempre nel rispetto di una lettura rigorosa dei diritti protetti a livello europeo.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
