GDPR: le nuove Linee Guida EDPB sul Consenso

Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board - EDPB) ha rilasciato in data 4 maggio 2020 le nuove Guidelines On Consent under Regulation 2016/679 n. 05/2020.

Premessa

Le Linee Guida dell’EDPB modificano in alcune parti ed integrano quelle già adottate il 28 novembre 2017 ed aggiornate il 10 Aprile 2018 dall’allora Gruppo Art. 29 (WP29) (WP259 rev.01). Pertanto, ogni riferimento aggiornato alle Linee Guida sul Consenso deve oggi intendersi fatto al documento rilasciato dall’EDPB e non più a quello del WP29.

In particolare, l’EDPB ha ritenuto necessari chiarimenti in merito soprattutto a due questioni:

• la validità del consenso fornito dall’interessato che interagisca con i cookie wall;

• l’esempio 16 sull’azione di scroll come atto di consenso online.

I paragrafi relativi a questi due temi sono stati rivisti ed aggiornati, mentre il resto delle linee guida WP259 rev.01 rimane sostanzialmente inalterato, se non per altre due questioni revisionate:

• la sezione sulla condizionalità del consenso (par. 38 - 41);

• la sezione sull’indicazione inequivocabile della volontà (par. 86).

Questo post costituisce una lettura ragionata e sintetica delle Nuove Linee Guida EDPB. Per ogni approfondimento e per una interpretazione autentica dei concetti esposti, si rinvia in ogni caso al documento ufficiale rinvenibile al link:

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

Introduzione

Il concetto di Consenso ai sensi del GDPR (Reg. UE 2016/679) si è evoluto rispetto alla passata concezione vigente sotto l’abrogata Direttiva 95/46/CE e sotto l’attuale Direttiva e-Privacy 2002/58/CE, aggiornata e modificata dalla Direttiva 2009/136/CE, in via di prossima sostituzione per mano della nuova disciplina europea e-Privacy.

Il Consenso rimane una delle sei basi giuridiche che costituiscono quella condizione di legittimità su cui il Titolare deve fondare, ai sensi dell’art. 6 del GDPR, la base del trattamento.

Generalmente il Consenso è considerato valido se l’interessato ha il controllo su di esso e questo fattore primario deve essere considerato dal Titolare nella sua valutazione preliminare e nella predisposizione delle sue forme di raccolta.

Le condizioni del valido Consenso ai sensi del GDPR sono applicabili non solo alle fattispecie che ricadono sotto questa disciplina (trattamento di dati personali, ossia di informazioni relative a persone fisiche identificate o identificabili), ma lo sono anche con riferimento alle fattispecie che ricadono nell’ambito della Direttiva e-Privacy, quali ad esempio le comunicazioni commerciali per il tramite di strumenti elettronici fatte anche a soggetti diversi dalle persone fisiche (B2B).

Il Consenso secondo il GDPR

Ai sensi dell’art. 4(11) del GDPR il Consenso deve essere inteso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Secondo le disposizioni dell’art. 7 del GDPR e dei Considerando 32, 33, 42 e 43, il Consenso deve essere una “decisione reversibile”, ossia deve essere soggetto revoca quale diritto dell’interessato nel più ampio ambito del suo potere di controllo sui dati.

Elementi di validità del Consenso

L’art. 4(11) del GDPR prevede che il Consenso sia:

• liberamente prestato,

• specifico,

• informato,

• inequivocabile, ossia costituisca una dichiarazione di volontà non ambigua al trattamento, svolta attraverso un’azione positiva.

Libera prestazione

Il requisito della libera prestazione implica una scelta effettiva ed un controllo sui dati.

Pertanto qualora il Consenso sia collegato e mischiato (bundle) ad una serie di condizioni contrattuali non negoziabili, esso non può considerarsi liberamente prestato. Ciò avviene anche nel caso in cui non sia possibile rifiutare o revocare il Consenso senza che vi siano conseguenze pregiudizievoli.

Il tema interessa anche lo squilibrio di potere che può determinarsi in taluni contesti, ad esempio quando il titolare sia un’autorità pubblica oppure quando il rapporto riguardi la sfera lavorativa: in questi ambiti dovrà essere ancor più tutelato il requisito della libera prestazione.

Un altro concetto rilevante è la condizionalità, che richiama sempre l’altro concetto del collegamento indiviso (bundle) tra il rilascio del Consenso e l’accettazione di altre condizioni, ad esempio di natura contrattuale. Anche in questo caso il Consenso deve essere scollegato dalle restanti manifestazioni di volontà e costituire un atto separato: il Consenso dovrà essere prestato su un piano diverso ed aggiuntivo rispetto alla finalità primaria ed essenziale per cui quel trattamento è perseguito.

Se il trattamento è necessario per la finalità primaria che il titolare persegue, il Consenso non potrà costituire la base giuridica appropriata e, laddove richiesto, dovrà riferirsi a finalità addizionali ed appunto essere prestato mediante azioni positive separate.

L’onera della prova spetta al titolare, nel rispetto del suo più ampio dovere di accountability.

Proprio a proposito del requisito della libertà del Consenso, l’EDPB ha analizzato la questione dei cosiddetti cookie-wall, ossia di quei sistemi di installazione dei cookie per cui un sito web condiziona l’accesso ai propri servizi o funzionalità all’accettazione di tutti cookie: “prendere o lasciare”.

L’EDPB chiarisce - ed ecco una delle prime novità integrative delle Nuove Linee Guida - che il consenso all’installazione di tutti i cookie (e quindi non solo di quelli necessari, tipicamente tecnici cui possono essere assimilati quelli analitici se anonimizzati e non forieri di incroci con altri servizi) non può rappresentare la condizione, ad esempio, per l’accesso alla conservazione di informazioni o all’accesso ad informazioni già conservate sulla piattaforma.

A chiarimento del concetto, l’EDP propone quindi l’esempio 6a:

Esempio 6a: Un sito web adotta uno script che blocca la visibilità del contenuto a meno che non vengano accettati i cookie e le informazioni per cui i cookie sono settati e le finalità per cui i dati sono trattati. Non vi è possibilità di accedere ai contenuti senza cliccare sul bottone "Accetta i cookie". Dal momento che all'interessato non è presentata una scelta effettiva, il suo consenso non è liberamente prestato. Questo non costituisce valido consenso, in quanto la fornitura del servizio dipende dal click dell'interessato sul bottone "Accetta i cookie". Non costituisce una scelta effettiva.

Un altro sotto-tema della libertà del consenso coinvolge la c.d. granularità, ossia il requisito per cui, nel caso di trattamenti multipli operati per il perseguimento di più finalità, il Consenso deve essere prestato singolarmente per ciascuna di queste finalità.

Il concetto si può dunque riassumere nel principio “un consenso per ogni finalità”, in aggiunta ovviamente alla base giuridica primaria ed essenziale che, se collegata al trattamento in un rapporto di necessità, dovrà essere diversa e distinta.

A tale proposito l’EDPB torna ancora sul concetto di “bundle", ossia di presentazione secondo un “pacchetto chiuso” del consenso per più finalità, ricordando che questa modalità di raccolta non è valida in quanto contraria anche al requisito della specificità del Consenso.

A chiarimento del concetto, l’EDP propone quindi l’esempio 7:

Esempio 7: Nella stessa richiesta di consenso un dettagliante richiede ai propri clienti il consenso ad utilizzare i propri dati per inviare loro email commerciali ed anche per condividere i loro dati con altre società del gruppo. Questo consenso non è granulare in quanto non ci sono separati consensi per queste due separate finalità, pertanto il il consenso non sarà valido. In questo caso, uno specifico consenso dovrebbe essere raccolto per inviare i dati ai partner commerciali. Questo specifico consenso si intenderà valido per ciascun partner la cui identità sia stata fornita all'interessato al momento della raccolta del consenso, in quanto inviato per le medesime finalità (in questo esempio: una finalità commerciale).

Specificità

Il Consenso deve essere espresso in relazione ad una o più specifiche finalità, che l’interessato deve poter scegliere separatamente.

Ciò mira a garantire un controllo analitico sui dati, in conformità sia al requisito della granularità che a quello della previa informazione.

Consenso informato

Il Consenso deve essere informato, in conformità ai principi di trasparenza, correttezza e liceità.

L’interessato deve poter comprendere per quale finalità stia prestando il proprio consenso e ciò implica una previa informazione, per cui devono necessariamente richiamarsi i contenuti degli articoli 13 e 14 del GDPR sulle informative.

Quanto alle modalità di resa delle informazioni, non sono prescritte forme o formati particolari, tuttavia esse dovranno:

• utilizzare sempre un linguaggio chiaro e semplice, cioè comprensibile facilmente dalla persona media;

• essere distinguibili dalle altre questioni e presentate in una forma intelligibile e facilmente accessibile, per cui non dovranno essere “annegate” all’interno di altre previsioni ad esempio contrattuali;

• se possibile, essere stratificate, cioè presentate “a livelli” granulari se ciò possa aiutare a coniugare la completezza dell’informazione con la semplicità di esposizione;

• essere appropriate per il pubblico specifico al quale si rivolgono, a maggior ragione se si tratta di minori, nel qual caso dovranno prevedere un linguaggio ulteriormente diretto, facile e comprensibile.

Inequivocabilità

Il Consenso deve consistere in una dichiarazione di volontà formulata mediante un’azione positiva, da cui risulti l’evidenza che l’interessato ha acconsentito a quel particolare trattamento.

L’EDPB sottolinea che i titolari dovrebbero quindi prevedere meccanismi di consenso con modalità che siano chiare agli interessati, evitando ambiguità ed assicurando che l'azione attraverso la quale è prestato il consenso sia distinta dalle altre azioni.

Ad esempio, l’accettazione globale delle condizioni generali di contratto non può essere considerata come un’azione positiva inequivocabile ai fini del consenso all’uso dei dati personali, per cui non è consentito adottare caselle preselezionate o procedure di rinuncia (“opt-out”) che richiedono un intervento dell’interessato per rifiutare il consenso (“caselle di rinuncia”).

Inoltre, l’EDPB chiarisce ulteriormente che la semplice prosecuzione dell'uso di un sito web non è una condotta da cui si possa inferire la volontà dell'interessato di esprimere il suo consenso ad una operazione di trattamento proposta.

A supporto l’EDPB riporta due esempi che interessano le modalità di raccolta del consenso online:

Esempio 15: Scorrere una barra su uno schermo, gesticolare davanti ad una smart camera, girare uno smartphone in senso orario o a forma di otto possono essere opzioni per indicare il consenso, se ed in quanto siano fornite chiare informazioni e sia chiaro che quel movimento significhi consenso ad una specifica richiesta (per es. “Se scorri la barra verso sinistra, acconsenti all'uso dell'informazione X per la finalità Y. Ripeti il movimento per confermare”). Il titolare deve poter dimostrare che il consenso è stato ottenuto in quel modo e che gli interessati hanno potuto revocare il consenso facilmente tanto quanto l'hanno dato.

Soprattutto l’esempio 16 è rilevante in quanto chiarisce il tema dell’azione di scroll, ossia di scorrimento sul video:

Esempio 16: In forza del Considerando 32 del GDPR, azioni come lo “scroll” o lo scorrimento di una pagina web o altra simile azione dell'utente non soddisfa in alcun modo il requisito dell'azione chiara e positiva: tali azioni possono essere difficili da distinguere da altre attività o interazioni dell'utente, per cui non sarebbe possibile ottenere un consenso inequivocabile. Per di più, in tali casi, sarà difficile fornire una modalità attraverso cui l'utente possa revocare il consenso in un modo tanto semplice quanto quello con cui lo ha dato.

Sempre a proposito delle modalità di raccolta del consenso, l’EDPB ricorda inoltre che troppe richiesto di consenso potrebbero determinare un “certo grado di stanchezza a cliccare” per cui l’avvertimento sui meccanismi di consenso potrebbe esserne pregiudicato.

Quanto infine all’ottenimento del consenso dell’utente di Internet tramite le impostazioni del browser, queste ultime dovrebbero essere sviluppate in linea con le condizioni per la validità del consenso, ossia ad esempio prevedere un meccanismo che permetta al consenso di essere granulare per ciascuna delle finalità previste e di individuare i relativi titolari.

Condizioni aggiuntive per la validità del consenso

Il GDPR prevede altre due condizioni aggiuntive per la validità del consenso:

• la sua dimostrazione

• la possibilità di revoca

Dimostrazione del consenso

Quanto alla prima, si ricorda in particolare che l’onere della prova della valida raccolta del consenso è a carico del titolare del trattamento, seppure egli abbia un grado di libertà nello sviluppo dei propri metodi per rispettare tale disposizione in maniera idonea ed adatta alle proprie attività.

Ad esempio, ciò potrebbe avvenire tenendo una registrazione delle dichiarazioni di consenso ricevute onde poter dimostrare come e quando sia stato ottenuto il consenso, oltre al contenuto dell’informazione previamente resa.

L’EDPB esemplifica ulteriormente il concetto nel contesto online, ricordando che il titolare del trattamento può conservare informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione della procedura di consenso al momento della sessione, oltre a una copia delle informazioni presentate all’interessato in quel momento, mentre non sarebbe sufficiente fare semplice riferimento ad una corretta configurazione del sito web.

Quanto alla durata, non sono previsti termini determinati, ma essi dipenderanno dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato.

Inoltre, se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non sarà più valido ed occorrerà un nuovo consenso.

Revoca del consenso

Quanto alla revoca del consenso, essa deve essere possibile in qualsiasi momento con la stessa facilità con cui il consenso è stato espresso.

Se ad esempio il consenso è stato espresso attraverso un’interfaccia utente specifica di servizio (ad esempio un sito web, un’applicazione, un account protetto, l’interfaccia di un dispositivo IoT oppure posta elettronica), l’interessato dovrà poterlo revocare tramite la medesima interfaccia elettronica, senza spese.

Rapporti tra le Linee Guida EDPB ed i Provvedimenti del Garante in tema di cookie

Le linee guida europee si pongono in posizione di netto rigore rispetto alle soluzioni più agili istruite in passato dai provvedimenti che il Garante per la Protezione dei Dati Personali italiano aveva emanato sul tema dei cookie sin dal 2014, ossia:

• il documento n. 3118884 Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie del 8 maggio 2014

• i successivi Chiarimenti del 5 giugno 2015

laddove l'Autorità di Piazza Venezia in Roma aveva esemplificato tra le modalità lecite di raccolta del consenso all'utilizzo dei cookie proprio lo scroll.

Sul punto, vista la presa di posizione dell'EDPB, è presumibile che il Garante italiano si pronunci con un intervento ulteriormente chiarificatore.

© Avv. Piergiovanni Cervato