Il 17 gennaio 2023 la Task Force creata in ambito EDPB per valutare le problematiche poste dai cookie banner ha depositato il suo primo rapporto, non definitivo, in vista della redazione di Linee Guida dedicate a questi strumenti, così importanti ma anche così potenzialmente pericolosi nel trattare i nostri dati personali.
Ancorché, come detto, si tratti di un documento suscettibile di modifiche, l’importanza del tema suggerisce l’opportunità di dedicarvi una certa attenzione, al fine di estrapolarne qualche “buon consiglio” a vantaggio dei gestori dei siti web.
Cookie, come adeguarsi alle nuove linee guida: strumenti, esempi, errori da evitare
Il quadro giuridico di riferimento
La Task Force si è chiesta, in primo luogo, quale fosse il quadro giuridico di riferimento dal quale estrapolare i principi da applicare al mondo dei cookie banner.
Orbene, i principi applicabili devono essere desunti dalle norme nazionali (quindi per l’Italia il codice della privacy) che hanno recepito la Direttiva ePrivacy (n. 58 del 12 luglio 2002 sul trattamento dei dati personali e la tutela della vita) e dal GDPR per quanto riguarda i trattamenti susseguenti alla installazione dei cookie in un device (resa appunto lecita dall’articolo 5.3 della Direttiva).
In particolare, i principi posti dal GDPR a presidio del libero ed informato consenso alla installazione dei cookie ed a presidio del diritto all’informazione sono considerati dalla Task Force essenziali per valutare la liceità delle modalità operative della installazione e del successivo funzionamento dei cookie.
Ciò precisato la Task Force ha identificato una serie di problematiche rispetto alle quali è necessario che il EDPB prenda posizione in futuro, fornendo medio tempore alcune indicazioni di base in vista della redazione di Linee Guida ad hoc.
Le problematiche emerse
Assenza del bottone per rifiutare l’installazione dei cookie
La Task Force sottolinea che il principio generale alla base della installazione dei cookies è quello che impone il consenso esplicito del titolare dei dati.
Non è dunque accettabile alcun cookie banner che non implementi un tasto per rifiutare espressamente l’installazione dei cookies.
È curioso notare che alcune Autorità di regolazione (poche per la verità) non consideravano il principio del consenso esplicito vincolante poiché l’articolo 5.3 della Direttiva ePrivacy non vi faceva espresso riferimento.
Caselle per effettuare le scelte preselezionate
Molto gestori di siti web offrono agli utenti delle caselle di scelta preselezionate. Si tratta di una prassi assolutamente eversiva, e dunque illecita, alla luce del principio del consenso libero ed informato alla installazione dei cookies da parte degli utenti.
Utilizzo di link al posto dei tasti per effettuare le scelte relative alla cookie policy
Molti gestori di siti web utilizzano links al posto dei tasti per effettuare le scelte relative ai cookies.
Non si tratta di una pratica frontalmente osteggiata dalla Task Force; tuttavia, essa è ritenuta delicata e potenzialmente pericolosa per il principio del consenso libero ed informato.
Vengono pertanto fornite alcune indicazioni per rendere questa prassi coerente col medesimo:
- il link deve indicare chiaramente quale sia il suo scopo, quale sia lo scopo del consenso, e su come dare o non dare il consenso alla installazione dei cookie;
- è importante che il link non sia concepito in modo da far pensare all’utente che il consenso debba essere dato al fine di accedere ai contenuti del sito, ovvero in modo da spingere l’utente a dare il suo consenso all’installazione.
Va da sé che consentire l’accesso ai contenuti senza proporre l’installazione di alcun cookie è considerata una misura particolarmente virtuosa.
Il Gdpr e l’arte di rifiutare il tracciamento online: tutti i problemi dei cookie banner
La Task force identifica alcune prassi che vulnerano certamente il principio del consenso libero ed informato:
- proporre il link per rifiutare l’installazione all’interno di file di testo in modo da mimetizzarli e da non attirare l’attenzione dell’utente su di esso;
- posizionare il link per rifiutare l’installazione fuori dal cookie banner.
Bottoni di scelta concepiti sotto il profilo visivo con colori e contrasto ingannevoli
La Task Force sottolinea che non esiste uno standard relativo al colore ed al livello di contrasto da implementare quando si propone all’utente un tasto di scelta. L’analisi per comprendere se il banner sia rispettoso dei principi posti dal GDPR deve pertanto essere svolta caso per caso.
Nonostante ciò, la Task Force individua alcune prassi come decisamente ingannevoli:
- implementare bottoni ove il contrasto tra il testo e lo sfondo è talmente basso da rendere il primo illeggibile;
- predisporre nel secondo livello del banner una distinzione tra il rifiuto di trattamenti di lettura e scrittura dei dati ed il rifiuto ad ulteriori trattamenti, presentando i secondi come coperti dal legittimo interesse del gestore del sito.
In altri termini deve essere chiaro all’utente che per rifiutare ulteriori trattamenti non deve essere espresso un doppio rifiuto. Questo perché nessun cookie può essere installato nei device degli utenti col pretesto del legittimo interesse del gestore.
Cookie inappropriatamente classificati come necessari
Molti gestori classificano i cookies come necessari od essenziali per la navigazione in modo per così dire “sportivo”. Si evidenzia che purtroppo non esiste uno standard per valutare la correttezza di questa classificazione; soprattutto poiché l’evoluzione tecnologica costante apporta continui cambiamenti alle caratteristiche ed alle prestazioni dei cookie.
Esistono dei software che consentono di creare liste di cookie considerabili strettamente necessari od essenziali. Tuttavia, il limite di tali strumenti risiede nella loro attuale inettitudine a valutare la intima natura dei singoli cookie.
L’unico principio sino ad oggi individuato è quello che consente di ritenere essenziali i cookies funzionali a memorizzare le preferenze dell’utente rispetto ad un determinato servizio.
Assenza dell’icona di revoca del consenso precedentemente conferito
Molti gestori omettono di predisporre una icona dedicata alla revoca del consenso, permanentemente visibile (hovering) sulla pagina web. La task Force ritiene invece questa misura altamente coerente con i principi della Direttiva ePrivacy e del GDPR.
Secondo la Task Force il consenso, per essere libero ed informato, oltre ad essere in armonia con i principi posti da tali sistemi normativi, deve possedere altri 3 requisiti:
- la possibilità di essere revocato;
- l’attitudine ad essere revocato in qualsiasi momento;
- la revocabilità del permesso deve essere facile quanto il suo conferimento.
È tuttavia necessario sottolineare che, ad oggi, non è possibile imporre una soluzione specifica per consentire la revoca del consenso nei termini sopra descritti, inclusa l’implementazione di una icona dedicata, permanentemente in hovering nella pagina web.
Anche in questo caso sarà dunque necessaria un’analisi caso per caso al fine di evidenziare la correttezza delle scelte implementate nella pagina web.
