Secondo l'autorità di controllo olandese i cookie wall non sono conformi alla normativa in materia di protezione dati personali, il GDPR.
Già qualche tempo fa ci siamo posti il problema della conformità del cosiddetto “cookie wall” rispetto alla normativa dettata dal nuovo regolamento europeo in materia di protezione dei dati personali (GDPR).
Nel caso specifico il riferimento era al social network Facebook, ma non è l’unico ad utilizzare un cookie wall. Per inciso il cookie wall è la conseguenza dell’introduzione del GDPR, col quale si subordinano alcuni trattamenti particolarmente invasivi a requisiti più stringenti, in particolare l’utilizzo di tecnologie di tracciamento e profilazione (cookie) al fine di inviare pubblicità personalizzata che, ovviamente, necessita dell’uso dei cookie o tecnologie similari. Poiché molte aziende ritengono che la pubblicità personalizzata sia più remunerativa di quella generica (che non implica profilazione), si sono moltiplicate le iniziative per stabilire una base giuridica lecita alla quale legare l’utilizzo di tecnologie di questo tipo. In tale prospettiva molti siti hanno introdotto i “cookie wall” (o “tracking wall”), cioè chiedono ai loro utenti il consenso al trattamento dei loro dati personali, specificando che in assenza del consenso gli utenti non potranno usufruire dei servizi del sito o piattaforma. Di fatto è una scelta obbligata, o si accettano i cookie (e quindi la profilazione, eventualmente effettuata da terze parti) oppure si deve lasciare il sito.
Di recente è intervenuta l’autorità di controllo (garante) dell’Olanda con una chiarimento del 7 marzo, in base al quale i siti web che consentono agli utenti di accedere al sito solo accettando i “cookie di tracciamenti” o tecnologie similari (compreso fingerprint), devono ritenersi non conformki al GDPR.
Il chiarimento è conseguenza di molti reclami di utenti che si sono visti bloccare l’accesso ad un sito per non aver accettato i cookie di tracciamento. Secondo l’autorità olandese è necessario che per tali trattamenti sia chiesto ed ottenuto il consenso, e quindi non è ammissibile che il trattamento possa basarsi sui legittimi interessi del titolare. E questo è perfettamente in linea con quanto asserito dal Consiglio di Stato francese. Ma se si subordina l’accesso al sito al consenso ai cookie, il consenso in questione smette di essere libero e quindi diventa illecito, come avevamo sostenuto in passato.
Ovviamente non c’è alcun problema ad utilizzare i cookie a fini di analisi statistica in termini generali (cookie di analytics) o a fini verifica del funzionamento del sito (performance cookie), il problema riguarda specificamente i cookie di profilazione.
In conclusione il cookie wall deve ritenersi non conforme al GDPR per il garante olandese (FAQ).
Alla luce di questa decisione molti siti web avrebbero problemi. Come precisa TechCrunch, anche il sito dell’IAB, che usa appunto un cookie wall, non sarebbe conforme. L’unica scelta, infatti, è di accettare i cookie di tracciamento (quelli di Google) oppure lasciare il sito.
Il portavoce di IAB ha sostenuto che non vi sarebbe nessuna illegittimità, in quanto in base alla direttiva ePrivacy il cookie wall sarebbe ammissibile. In realtà questo non sembra corretto, visto che la ePrivacy, per la quale è in corso il progetto di riforma, è più risalente nel tempo, e comunque la ePrivacy richiama il concetto di consenso del GDPR, appunto libero e non soggetto a condizioni. Sul punto non esiste conflitto, visto che solo il GDPR definisce il consenso, e quindi non si può ritenere che prevalga la legge speciale (ePrivacy) rispetto a quella generale (GDPR).
Si attendono gli ulteriori sviluppi.