E’ quasi un ossimoro, ma d’ora in poi per i c.d. cookie (letteralmente “biscotti”) il consenso al trattamento dei dati da parte dell’utente dovrà essere specifico ed espresso, caratteristiche che non ricorrono “quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso” (Corte di giustizia dell’Unione europea – Grande Sezione – Sentenza 1.10.2019 – Causa C-673-17).

La Corte usa la felice espressione di “consenso attivo”, che fa superare i dubbi applicativi che si pongono in tutti i casi in cui -pur essendo oggetto di caselle di spunta pre-selezionate- le informazioni ivi contenute siano comunque chiare. Ciò era accaduto nel caso di specie, dove -proprio per la chiarezza delle informazioni-  il giudice d’appello aveva respinto l’azione degli utenti, accolta invece dal giudice di primo grado.

E’ la piena attuazione di quanto previsto dall’art. 4 del GDPR, per il quale il “consenso dell’interessato” è  “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” e dal considerando n. 32, per il quale  “non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle”.

La sentenza contiene due ulteriori ed importanti istruzioni pratiche.

In primo luogo, il consenso attivo non riguarda solo i dati personali ma tutte le informazioni, di qualsiasi natura, contenute nel dispositivo dell’utente. Il computer o lo smartphone sono una sorta di domicilio privato: senza il “consenso attivo” dell’utente non può farsi accesso a nessuna informazione ivi contenuta, anche non costituente dato personale.

In secondo luogo, il fornitore del servizio deve informare l’utente di un sito internet della durata dei cookie, nonchè della possibilità o meno per i terzi di avere accesso a tali cookie. Al di là dell’espressa previsione normativa, ciò rientra nel più generale obbligo di trattamento “leale” dei dati.

“Spero – dice Jaron Lanier- che le persone inizieranno a pretendere tecnologie digitali non programmate per ingannarle”: forse siamo sulla buona strada.