Il 18 gennaio l'European Data Protection Board ha pubblicato una relazione con i risultati della task force sui cookie banner. Il rapporto chiarisce come raccogliere validamente il consenso attraverso un cookie banner conforme al GDPR. La maggior parte si riduce a una semplice regola: non ingannare l'utente.
Il documento non è giuridicamente vincolante, ma avrà sicuramente un impatto sull'applicazione delle norme sui cookie. Infatti, potrebbe essere l'inizio di un giro di vite sui banner ingannevoli in tutta Europa.
- Cosa sono l'EDPB e la task force sui cookie banner?
- Di quali cookie stiamo parlando?
- Cosa dice il rapporto?
- Assisteremo a un giro di vite sui banner dei cookie?
- Conclusioni
Immergiamoci in questa storia!
Cosa sono l'EDPB e la task force sui cookie banner?
Cominciamo con un po' di contesto. Il Comitato europeo per la protezione dei dati (EDPB) è un organismo indipendente dell'Unione europea che garantisce l'applicazione coerente della normativa UE sulla protezione dei dati in tutti gli Stati membri. È composto dai rappresentanti di tutte le autorità di protezione dei dati (DPA) dello Spazio economico europeo, nonché dal Garante europeo della protezione dei dati (essenzialmente una DPA che supervisiona le istituzioni dell'UE).
Il Consiglio pubblica frequentemente linee guida, che non sono giuridicamente vincolanti ma molto influenti nella pratica. L'organismo ha anche altri poteri basati sul GDPR, come la risoluzione di controversie tra le autorità di protezione dei dati (come nelle recenti decisioni riguardanti Meta, di cui abbiamo parlato nel nostro blog).
L'EDPB ha istituito la task force sui cookie banner nel 2021 per garantire un approccio coerente a una serie di reclami presentati dalla ONG per la privacy noyb, nel tentativo di spingere le autorità a un'applicazione più rigorosa del GDPR e della direttiva ePrivacy. La strategia sembra dare i suoi frutti e noyb sembra piuttosto soddisfatta del risultato.
Il rapporto della task force non è vincolante e non deve essere considerato come "legge". Detto questo, l'EDPB è composto da rappresentanti delle DPA e le DPA stesse decidono sui reclami relativi ai cookie, quindi il documento è una buona indicazione di come i casi potrebbero essere gestiti d'ora in poi.
Di quali cookie stiamo parlando?
Per essere chiari, i cookie banner riguardano i cookie non essenziali. Si tratta di una distinzione importante perché la Direttiva ePrivacy dell'UE impone il consenso per i cookie a meno che non siano necessari per la comunicazione o per fornire un servizio richiesto dall'utente (i cosiddetti cookie "essenziali").
Ad esempio, i rivenditori online utilizzano i cookie per tenere traccia degli articoli presenti nel carrello dell'utente. Questi cookie si qualificano come cookie essenziali e non necessitano di consenso. Allo stesso modo, i cookie per scopi di sicurezza non richiedono il consenso. D'altro canto, i cookie non essenziali, come i cookie di analisi web e i cookie di marketing, richiedono sempre il consenso. Questo è il motivo per cui si vedono tanti banner di cookie su Internet.
I siti web hanno bisogno del vostro consenso per i cookie non essenziali. Allo stesso tempo, temono (giustamente) che l'utente non accetti di essere tracciato quando gli viene presentata una scelta trasparente. Per questo motivo molti banner sui cookie sono progettati in modo intelligente per rendere il processo di rifiuto dei cookie il più confuso e fastidioso possibile. Si tratta di un caso di design ingannevole: scelte di design dell'interfaccia utente poco chiare che mirano a spingere o ingannare l'utente a compiere un'azione desiderata. Abbiamo già trattato l'argomento sul nostro blog qualche tempo fa.
Il rapporto della task force si presenta come un bel riassunto dei casi più comuni di design ingannevole nei banner dei cookie e incarna una posizione molto chiara: non fatelo.
Cosa dice il rapporto?
In primo luogo, la stragrande maggioranza delle DPA concorda sul fatto che i banner dei cookie devono fornire all'utente un'opzione dirifiuto nel primo livello (o un'opzione comprensibile e chiaramente formulata con lo stesso effetto).
Si tratta di una questione importante. Molti banner non offrono direttamente un'opzione di rifiuto, ma presentano piuttosto all'utente scelte quali accettare tutto o personalizzare nel primo livello. Per rifiutare i cookie, l'utente deve cliccare sull'opzione di personalizzazione e accedere a un secondo livello del banner con informazioni più dettagliate, dove viene finalmente fornita l'opzione per rifiutare i cookie non essenziali. I banner sui cookie privi di un'opzione di rifiuto immediatamente accessibile creano confusione e sfruttano ingiustamente la fatica del clic a sfavore dell'utente. Non vediamo l'ora che spariscano.
Per essere chiari, offrire all'utente un controllo più preciso sui cookie va bene, purché si offra un'opzione di rifiuto nel primo livello. Quindi un primo livello che offra una scelta a tre vie, come accettare tutti/rifiutare tutti/personalizzare, va bene, a condizione che tutte e tre le opzioni siano ugualmente visibili e accessibili.
Il rapporto condanna anche altre pratiche comuni, tra cui:
- l'utilizzo di caselle pre-selezionate per raccogliere un consenso valido. Esiste già una giurisprudenza sulla questione delle caselle pre-selezionate1, ma alcuni siti web le utilizzano comunque.
- nascondere il pulsante di rifiuto con caratteri piccoli, colori a basso contrasto e simili.
In conclusione, qualsiasi trucco intelligente per indurre l'utente ad accettare i cookie è probabilmente illegale.
Assisteremo a un giro di vite sui banner dei cookie?
Non possiamo prevedere il futuro, ma lo speriamo e abbiamo buone ragioni per pensarlo.
Come abbiamo spiegato, la relazione descrive un terreno comune che è stato trovato dalle stesse DPA. Il documento può non essere vincolante, ma è probabile che le DPA vi si attengano quando applicano le regole.
Inoltre, in Francia si registrano sviluppi incoraggianti. Più o meno nello stesso periodo in cui è stato pubblicato il rapporto, la DPA francese (CNIL) ha multato TikTok e Microsoft per aver violato la Direttiva ePrivacy (abbiamo scritto di questi casi qui). In entrambi i casi, le violazioni includevano la mancanza di un pulsante di rifiuto nel primo livello dei banner dei cookie, che guarda caso è uno dei problemi affrontati dalla task force EDPB. La CNIL è una DPA influente e le sue decisioni possono costituire un esempio importante da seguire per altri.
Infine, ma non meno importante, alcune DPA riluttanti non saranno in grado di frenare l'applicazione delle norme. A differenza del GDPR, la direttiva ePrivacy non lascia spazio al forum shopping, perché le regole di competenza sono radicalmente diverse. Le DPA possono multare le aziende per qualsiasi violazione della direttiva ePrivacy commessa all'interno della giurisdizione del loro Stato, indipendentemente dal luogo in cui l'azienda ha sede. Pertanto, gli Stati membri in cui l'applicazione della direttiva è carente non rappresentano un rifugio sicuro per le aziende non conformi che operano sul mercato europeo.
Conclusioni
In conclusione, se utilizzate cookie di analisi web o di marketing sul vostro sito web, dovreste attenervi alle indicazioni contenute nel rapporto e offrire un banner sui cookie trasparente e conforme. Ciò significa rendere i vostri cookie facili da rifiutare e probabilmente molti utenti li rifiuteranno. Non c'è modo di evitarlo.
A meno che, naturalmente, non si rinunci del tutto ai cookie e si ottengano tutte le informazioni necessarie, senza invadere la privacy degli utenti. Questa è la nostra visione: noi di Simple Analytics cerchiamo di fornire ai nostri clienti informazioni senza tracciare gli utenti o raccogliere dati personali. Se vi sembra una buona idea, non esitate a provarci!
#1 CGUE C-673/17 Planet49.