art. 7 GDPR Condizioni per il consenso

Consenso online al trattamento dati espresso nella modalità “sign-in wrap”

La piattaforma di pagamenti Stripe chiede il consenso al trattamento dati con modalità “sign-in wrap”.

La corte del nord califormia ne esamina (brevemente) la validità ed è per la positiva (US Dis. C. NORTHERN DISTRICT OF CALIFORNIA 28.07.2021, Case No.4:20–cv–08196–YGR, Silver e altri c. Stripe inc.).

Premessa: << Internet users can form online contract, and therefore consent, in a variety of ways. See Colgate v. JUUL Labs, Inc., 402 F. Supp. 3d 728, 763 (N.D. Cal. 2019) (discussing different forms of online contracts). The Ninth Circuit recognizes three main types of contracts formed on the internet: “clickwrap”, “browsewrap”, and “sign-in wrap” agreements. “Clickwrap” agreements require website users to click on an “I agree” box after they are presented with a list of terms and conditions. Id. “Browsewrap” agreements do not require the express consent, but instead operate by placing a hyperlink with the governing terms and conditions at the bottom of the website. Id. In “browsewrap” agreements, a user gives consent just by using the website. Id. “Sign-in-wrap” agreements are those that present a screen that states that acceptance of a separate agreement is
required before a user can access an internet product or service. Id.

The Ninth Circuit requires that online contracts put a website user on actual or inquiry notice of its terms. Nguyen v. Barnes & Noble Inc., 763 F.3d 1171, 1177 (9th Cir. 2014). In doing so, the notice must be conspicuous, that is it must put “a reasonably prudent user on inquiry notice of the contracts.” Id. Whether a user has such inquiry notice “depends on the design and content of the website and the agreement’s webpage.” Id >>.

Il contratto allora è valido <<if a plaintiff is provided with an opportunity to review the terms of service in the form of a hyperlink,” and it is “sufficient to
require a user to affirmatively accept the terms, even if the terms are not presented on the same page as the acceptance button as long as the user has access to the terms of service.” Moretti v. Hertz Corp., No. C 13–02972 JSW, 2014 WL 1410432, at *2 (N.D. Cal. Apr. 11, 2014); In re Facebook Biometric Info. Priv. Litig., 185 F. Supp. 3d 1155, 1166 (N.D. Cal. 2016) (user agreement enforceable where user had to “take some action— a click of a dual-purpose box— from which assent might be inferred”). >>

Nel caso specifico <<no dispute exists that Instacart utilized a “sign-in wrap” agreement. Instacart’s purchase checkout page required plaintiffs to agree to Instacart’s terms of service and privacy policy whenever they placed an order. Plaintiffs admit that they were presented with the checkout screen as they completed their Instacart orders. (FAC ¶¶ 59, 72, 84, 97, 110.)>>

Segue riproduzione di uno screenshot della schermata da cui appare chiaramente che l’intermediario è Stripe (Instacart) : l’acquirente non può allora in buona fede sostenere di aver pensato che l’unico contraente fosse il venditore (anzichè pure Stripe/Instacart).

La cui policy sul punto è allora approvata: << The Court finds Instacart’s privacy policy conspicuous and obvious for several reasons. First, the hyperlink to the privacy policy is displayed in a bright green font against a white background, which stands out from most of the surrounding text. Further, the hyperlink to the
privacy policy is located close to the “place order” button, thus it is hard for a user placing an order to miss it. The bold font alerting consumers to the amount of the charge hold placed on their card calls additional attention to the area where Instacart’s privacy policy is located. There is nothing about the text that makes it inconspicuous or nonobvious.
The Court finds that a reasonably prudent user would have been aware of Instacart’s privacy policy when placing an order. This finding comports with other courts that have found similar “sign-in wrap” agreements to be valid Meyer v. Uber Techs., Inc., 868 F.3d 66, 75-76 (2d. Cir. 2017) (“the existence of the terms was reasonably communicated to the user”) (collecting cases); see also Peter v. DoorDash, Inc., 445 F. Supp. 3d 580, 587 (N.D. Cal. 2020). Based thereon, the Court finds that during checkout, plaintiffs were “provided with an opportunity to review the terms” of the privacy policy. Crawford v. Beachbody, LLC, No. 14cv1583– GPC(KSC), 2014 WL 6606563, at *3 (S.D. Cal. Nov. 5, 2014). They were required to take an affirmative step—clicking the “Place Order” button—to acknowledge that they were agreeing to the terms of the privacy policy. They were told the consequences that would follow from clicking the button, including their acceptance of the privacy policy. Plaintiffs decided to place an order after being made aware of the privacy policy. Accordingly, the Court finds that plaintiffs consented to Instacart’s privacy policy each time they placed an order. In re Facebook Biometric Info. Priv. Litig., 185 F. Supp. 3d at 1166 >>

Consenso al trattamento e oscurità algoritmica

La Cassazione chiarisce il concetto di <consenso> nella disciplina privacy, inr elazione al caso <Mevaluate> (Cass. 14381 del 25.05.2021 , rel. Terrusi).

Il punto di partenza è il provvedimento 24.11.2016 col quale il Garante (G.) dichiarava incompatibile col cod. privacy il sistema di rating reputazionale progettato da società del gruppo Mevaluate (v. provvedimento Piattaforma web per l´elaborazione di profili reputazionali – 24 novembre 2016 Registro dei provvedimenti n. 488 del 24 novembre 2016, [doc. web n. 5796783] ).

L’impugnazione in Tribunale di Mevaluate era stata accolta.

L’Avvocatura dello Stato però ricorre in Cassazione e con successo.

Non è chiarissimo il contesto fattuale (cioè il funzionamento del meccanismo di controllo reputazionale) ; qui però conta il passaggio teorico sul rapporto tra consenso e algoritmi, ove invece la SC è chiara:

<<Il problema, per la liceità del trattamento, era invece (ed è) costituito dalla validità – per l’appunto – del consenso che si assume prestato al momento dell’adesione. E non può logicamente affermarsi che l’adesione a una piattaforma da parte dei consociati comprenda anche l’accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l’algoritmo si esprime e gli elementi all’uopo considera>>, VII, p. 7/8,.

Motivazione esatta (anche se quasi scontata: è inconcepibile una diversa soluzione), anche se troppo sintetica: nemmeno cita le norme pertinenti. Il ricorrente citava anche l’art. 7 reg. UE 679/2016, oltre che l’ex art. 23 cod. priv. Però la fattispecie normativa esatta è la seconda, essendosi il primo applicato solo a partire dal 25 maggio 2018 (v. il suo art. 99).

Solo che, in un’ottica generale, questo è solo l’inizio del problema. Sempre più numerosi infatti sono i trattamenti algoritmici (peggio: tramite machine learning), il cui assenso allora diventa giuridicamente nullo perchè l’assenziente nulla sa del modus operandi della logica algoritmica impiegata.

Sulla validità del “consenso” prestato nella protezione dei dati personali

La corte di giustizia (CG) chiarisce il concetto di <consenso>> ex GDPR art. 4 n° 11 e art. 6.1.a (e pure ex art. 7; nonchè per le corrispondnenti norne della dir. 95/46/CE, che nel caso poteva essere pure applicabile per una sfasatura temporale in fase esecutiva). Qui ricorderò solo disposizioni del GDPR

Si tratta di CG 11.11.2020, C-61719, OrangeRomani vs Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) .

Il trattamento consisteva nella raccolta e conservazione di documenti di identità , cheisti per la stipula e gestione dicotnratti di servizi telefonici da parte di un gestore rumeno.

La Cg ricorda il cons. 32 GDPR sulla preselezione di caselle, pratica mon ammmissibile, e l’art. 7.2 sulla chaira distinguibilità quando il consenso abbia pure altri oggetti.

<<Informato>< poi significa <<in conformità all’articolo 10 di tale direttiva, letto alla luce del considerando 38 di quest’ultima, nonché all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il responsabile del trattamento fornisca alla persona interessata un’informazione alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (v., per analogia, sentenza del 1° ottobre 2019, Planet49, C‑673/17, EU:C:2019:801, punto 74).>>, § 40.

Inoltre le clausole non devono <<indurre la persona interessata in errore circa la possibilità di stipulare il contratto anche qualora essa rifiuti di acconsentire al trattamento dei suoi dati. In mancanza di informazioni di tal genere, non si può ritenere che il consenso di tale persona al trattamento dei suoi dati personali sia stato prestato liberamente né, peraltro, in modo informato>>, § 41.

L’onere della prova del valido consenso spetterebbe al titolare del trattamento, § 42: il giudizio si basa sul disposto dell’art. 7,.1 per cui <<Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali>>. Tale esito interpretativo non è scontato anche se probabilmente corretto: servirebbe riflfessine specifica

Spetta poi al giudice nazionale accertare se il consenso sia stato <specifico>, § 47, e se l’informtiva ex art. 13 sia stata completa, § 48 e infine se sia corretta nel senso di far capire che il contratto poteva essere stipulato anche senza fornire la carta di identità, § 49.

Infine , dice la CG, è dubbia che sia <libero> il cosenso, visto che <<nell’ipotesi di un suo rifiuto, l’Orange România, discostandosi dalla procedura normale che conduce alla conclusione del contratto, esigeva che il cliente interessato dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Infatti, come osservato dalla Commissione in udienza, un siffatto requisito supplementare è tale da incidere indebitamente sulla libera scelta di opporsi a tale raccolta e a tale conservazione, circostanza che spetta altresì al giudice del rinvio verificare. >>, § 50.