La proposta della Commissione non faceva esplicito riferimento alle circostanze che la prassi ha identificato con i termini di “cookie banner”, “cookie barrier” e “cookie wall”. La versione del Parlamento approvata dalla commissione LIBE prevede la proibizione dei “cookie wall” sulla scia di quanto indicato dall’EDPB nelle linee guida 05/2020; mentre la versione del Consiglio del 10 febbraio 2021 affida al considerando (20aaaa) la disciplina dei “cookie wall”.

Tutti e tre questi termini rappresentano metodi utilizzati dai gestori dei siti web per rispondere alle prescrizioni della informativa e del consenso dell’utente, riferite all’uso di cookie o di analoghi tracciatori.

Regole per i cookie

Cookie banner

L’uso dei cookie deve essere portato a conoscenza dell’utente. Qualora tale uso richieda il consenso dell’utente questo deve essere preventivo e informato. Per soddisfare il requisito della preliminarietà, il consenso dell’utente deve essere raccolto prima dell’innesco di un cookie o dell’accesso alle informazioni contenute nello stesso. 

Per adempiere, poi, al requisito del consenso “informato”, occorre che l’informativa sull’uso dei cookie sia erogata prima della raccolta del consenso e, di conseguenza, anch’essa prima dell’uso del cookie.

Questa esigenza giuridica – confermata nel documento wp208 del WPArt29 e dalla decisione della CGUE sul caso Planet49 – ha comportato la necessità per i gestori di siti web di pubblicare un cartello digitale (banner) sulla pagina di atterraggio che contenesse alcune informazioni minime essenziali (finalità, categorie di destinatari), insieme al meccanismo per la raccolta del consenso libero e informato. Le ulteriori informazioni da rilasciare (ad esempio, nome dell’identificativo, periodo di conservazione, modalità di revoca del consenso) sono poi contenute in un documento ulteriore di dettaglio (cookie policy) collegato al banner con un collegamento ipertesto.

Funzione del cookie banner

Il cookie banner – che secondo il Garante è obbligatorio solo quando si utilizzano cookie per i quali è richiesto il consenso – è la soluzione di principio per rispondere alla prescrizione del consenso preventivo ed informato dell’utente. Affinché tale soluzione risulti adeguata, occorre che il banner sia correttamente configurato; cioè, nello specifico, esso deve contenere: 

  • il contenuto della breve informativa
  • il link all’informativa estesa (cookie policy)
  • la modalità tecnica per la raccolta del consenso e per il diniego.

Ciascuno di questi elementi, se non ben concepito, può invalidare il consenso eventualmente rilasciato o, comunque, rendere illegittimo l’uso dei cookie o degli altri tracciatori di riferimento. E’ da sottolineare che l’adeguatezza del banner non dipende da una mera conformità formale, presupponendo invece una corrispondenza effettiva tra il meccanismo prescelto e quanto esso realmente pone in essere. Questa discordanza tra quanto apparente rispetto alla reale funzionalità sottostante – come rilevato da molteplici studi e ricerche internazionali – è lungi dall’essere una remota eventualità.

Cookie barrier

Il termine “cookie barrier” viene talvolta adoperato come sinonimo di “cookie wall”, altre volte in modo autonomo e distintivo. L’opzione differenziale dipende dall’elemento di riferimento del termine “barrier”: cioè, se esso riguarda in via alternativa

  • la scelta dell’utente 
  • il consenso dello stesso 

nel senso che la barriera viene rimossa (a) se l’utente effettua la scelta oppure (b) solo se l’utente acconsente all’impianto dei cookie.

Solo nel secondo caso “cookie barrier” e “cookie wall” risultano sinonimi.

Di converso, per “cookie barrier” si intende quella modalità per la quale il cartello digitale costituisce una barriera insormontabile per la navigazione dell’utente che può essere rimossa solo a seguito della scelta operata dallo stesso: cioè, il banner-barrier obbliga l’utente a scegliere se accettare o rifiutare i cookie, altrimenti non gli è consentito proseguire nella navigazione.

Alcuni ne hanno decretato l’illegittimità in quanto nel novero della libertà del consenso sarebbe insito anche il diritto dell’utente di non esprimersi, da cui non sarebbe legittimo un metodo che lo costringesse a farlo. Il Considerando (32) del GDPR afferma che la richiesta del consenso non deve essere inutilmente di disturbo per (“interferire indebitamente con”) l’utilizzo del servizio per il quale viene fornito: il blocco dell’accesso al sito/app fino a quando l’utente non esprime la propria scelta in merito al consenso potrebbe costituire una indebita interferenza.

Secondo il CNIL, «(l)a situazione in cui l’utente non esprime alcuna scelta positiva va distinta dalla situazione di rifiuto. In assenza di qualsiasi manifestazione di scelta (né accettazione né rifiuto), non devono essere scritti tracker che richiedono il consenso» (proposta di Raccomandazione sui cookie, 2020, §38).

Per altri, invece, la legittimità del “cookie barrier” dipenderebbe esclusivamente dal meccanismo di raccolta del consenso: se trasparente, libero, bilanciato tra assenso e diniego, il “barrier” sarebbe legittimo.

Cookie wall

Il “cookie wall” (anche detto “tracking wall”) mette in atto una diversa forma di sbarramento, posta dalla seguente alternativa: o accetti l’uso dei cookie o non accedi al sito. 

La versione del regolamento ePrivacy approvata il 26/10/2017 dal Parlamento UE in prima lettura, recava un esplicito divieto per i cookie wall [art. 8(1)(1)(b)], accolto con favore dall’EDPB che si è pronunciato nello stesso senso (linee guida 05/2020, §39).

Il CNIL aveva fatto altrettanto ma il suo provvedimento è stato riformato sul punto dal Consiglio di Stato perchè il CNIL non avrebbe potuto dichiararne l’illegittimità in via generale in assenza di specifica prescrizione di legge.

Il cookie wall è considerato in violazione del requisito del consenso “libero” sancito nel GDPR [artt. 4(11) e 7(4)]; vizi che incidono sulla libertà del consenso sono:

  • situazioni di squilibrio
  • condizionalità
  • effetti pregiudizievoli.

Il Considerando (43) del GDPR chiarisce che il consenso non può essere visto come rilasciato liberamente «qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento (…) e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica». Il considerando riguarda le autorità pubbliche, ma sono ricomprese anche le società in una posizione di mercato dominante (ad esempio nell’area dei servizi di social networking rilevanti, come nel caso di Facebook).

Si ha condizionalità quando il rilascio del consenso è legato alla fornitura di un servizio o all’esecuzione di un contratto. Il citato Considerando (43) del GDPR evidenzia che il consenso non è libero «se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione».

Esempio di effetto pregiudizievole lo si ha proprio con il cookie wall in cui l’interessato non è in grado di rifiutare o revocare il consenso senza subire un pregiudizio [considerando (42) del GDPR).

Dopo precedenti versioni intermedie del Consiglio che avevano rimosso l’esplicitazione di questo divieto – con l’espresso rammarico dell’EDPB – la proposta finale approvata il 10 febbraio 2021 affronta nuovamente il tema cercando di muoversi entro gli stretti margini dei citati considerando (42) e (43) del GDPR.

Il considerando di nuovo conio presente nella versione approvata dal Consiglio così recita:

«Contrariamente all’accesso al contenuto del sito web fornito dietro pagamento in denaro, dove l’accesso è fornito senza pagamento monetario diretto ed è subordinato al consenso dell’utente finale alla memorizzazione e alla lettura dei cookie per scopi aggiuntivi, richiedere tale consenso normalmente non sarebbe considerato come privare l’utente finale di una scelta autentica se l’utente finale è in grado di scegliere tra servizi, sulla base di informazioni chiare, precise e di facile utilizzo circa le finalità dei cookie e tecniche simili, tra un’offerta che include il consenso all’utilizzo dei cookie per finalità ulteriori da un lato, e dall’altro un’offerta equivalente da parte dello stesso fornitore che non comporta il consenso al trattamento dei dati per finalità ulteriori. Al contrario, in alcuni casi, si può ritenere che l’accesso ai contenuti del sito web dipenda dal consenso all’uso di tali cookie, in presenza di un chiaro squilibrio tra l’utente finale e il fornitore del servizio, in quanto priverebbe l’utente finale di una scelta autentica. Questo sarebbe normalmente il caso dei siti web che forniscono determinati servizi, come quelli forniti dalle autorità pubbliche. Allo stesso modo, tale squilibrio potrebbe esistere quando l’utente finale ha solo poche o nessuna alternativa al servizio, e quindi non ha una scelta reale sull’uso dei cookie, ad esempio nel caso di fornitori di servizi in posizione dominante.» [considerando (20aaaa) della versione del Consiglio].