Sull’improvvisa “moda” del popup per il consenso dei cookie ricomparso, questa volta più vistoso degli anni precedenti, da alcuni giorni su molti siti web italiani, abbiamo chiesto un’analisi a Carlo Blengino, avvocato ed esperto di diritto delle nuove tecnologie.
La regolamentazione dei cookies, ovvero l’inserimento di marcatori più o meno sofisticati nei nostri dispositivi nel corso della navigazione web per tracciare e monitorare il nostro comportamento (e non solo) è regolata di base dalla vecchia direttiva e-privacy del 2002, spiega Blengino.
È grazie a quella normativa, continua, se abbiamo imparato a cliccare OK su qualsiasi banner appaia fastidiosamente sulla homepage dei vari siti, poiché quella normativa relativa alle comunicazioni elettroniche vietava e vieta la memorizzazione di informazioni e software sui dispositivi terminali degli utenti senza il consenso degli stessi (è su quella direttiva che poggia ad esempio il fatto che una applicazione come Immuni debba esser volontaria e non possa esser imposta!).
Sui cookies il GDPR ha paradossalmente e involontariamente complicato un po’ le cose
L’entrata in vigore del GDPR nel 2018, che teoricamente si prefiggeva di semplificare molto la vuota burocrazia nata intorno al consenso che aveva dato pessima prova di sé, ha paradossalmente e involontariamente complicato un po’ le cose, almeno in relazione ai cookies, osserva l’avvocato.
Come noto, aggiunge, nel nuovo Regolamento il consenso è previsto ora come ipotesi residuale rispetto a finalità di trattamento che trovano base giuridica di legittimità in altri principi: un contratto, un obbligo di legge, un interesse pubblico o anche un legittimo interesse del titolare possono infatti giustificare un trattamento di dati personali anche senza il consenso.
A questo punto, ricoda Blengino, bisognava coordinare le due normative: per l’inserimento dei cookies è necessario il consenso (informato) in base alla vecchia direttiva 2002 ma per il GDPR il trattamento dei dati ricavati da quei marcatori potrebbe avvenire anche senza consenso, purchè si trovi (o ci si inventi) una diversa valida base giuridica del trattamento.
E qui sta l’inghippo.
Legittimo interesse, la fantasia delle società di marketing con interpretazioni fantasiose (e a mio parere illegittime)
Intorno al concetto di “legittimo interesse” del titolare del trattamento, spiega a Key4biz Carlo Blengino, come base giuridica per trattare senza consenso si è scatenata la fantasia delle società di marketing con interpretazioni fantasiose (“e a mio parere illegittime”, sottolinea l’avvocato) di tal chè società terze rispetto al titolare del sito e dei dati piazzano cookies assumendo di poter trattare i dati ricavati senza consenso sulla base di un imprecisato “legittimo interesse”.
È ovviamente una forzatura, mette in evidenza Blengino, poiché il legittimo interesse presuppone una stretta relazione tra titolare e soggetto interessato, cosa che coi marcatori di terze parti è totalmente assente, ma nel caos delle informative dei cookie tutto passa (o almeno così avranno pensato i genii dei banner, che tanto nessuno legge!).
In questa situazione l’unica cosa che debbono fare questi imprenditori della profilazione, secondo l’avvocato, (e con loro i titolari dei siti che incassano qualche euro dalla profilazione di terze parti) è avere il consenso a piazzare i cookies: ecco allora che sono iniziate a comparire fantasiose e bizzarre formule nei banner dei cookie. Quella che avrebbe dovuto esser una forma di chiarezza su chi tratta cosa e per quali fini, con chiare opzioni nel caso di consenso, si è trasformato in un labirinto di categorie di marcatori, alcuni necessari, altri basati sul consenso ed altri, forzatamente, inseriti come cookies basati su un discutibile concetto di legittimo interesse. Poi, giusto per aggravare le cose, già che c’erano, alcuni hanno anche pensato di offrire direttamente nel banner l’opzione di opposizione che deriva, nel caso di legittimo interesse, da una diversa specifica disposizione del GDPR.
Assistiamo così ad opzioni di scelta che scelte non sono, osserva l’avvocato: a consensi inutili o a consensi duplicati, ad opzioni di opt-out che non sono necessarie, il tutto contenuto in banner e formulari costituiti da lunghi elenchi di società di profilazione il cui unico pregio è quello di rivelare l’assoluto menefreghismo del titolare del sito per la sorte dei dati dei suoi utenti.
L’effetto finale? Un caos ingestibile per l’utente
L’effetto finale, sottolinea l’avvocato, è un caos ingestibile per l’utente che tradisce in radice l’intento del GDPR, che era quello, encomiabile, di semplificare e render effettiva e non meramente burocratica la protezione dei dati. Ipotizzo e mi auguro, conclude Carlo Blengino, che questa prassi insana cessi, magari con un salutare intervento del Garante che chiarisca come il legittimo interesse non è farsi i fatti propri con i dati degli altri.