il report EDPB

Cookie, quali regole rispettare: i Garanti privacy chiariscono i dubbi

Con un nuovo rapporto, le autorità di controllo EDPB hanno concordato un denominatore comune nella loro interpretazione delle disposizioni applicabili sul tema della corretta attuazione delle disposizioni riguardanti i cookie e gli altri strumenti di tracciamento

Pubblicato il 20 Gen 2023

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

cookie wall giornali garante privacy

La presentazione da parte dell’European Data Protection Board (EDPB), in data 18 gennaio 2023, del Report sul lavoro effettuato dalla Cookie Banner Taskforce costituisce un’importante novità riguardo lo spinoso tema della corretta attuazione delle disposizioni riguardanti i cookie e gli altri strumenti di tracciamento.

Cookie banner e dark pattern, arriva la “black list” di EDPB: ecco tutte le precisazioni

Il report EDPB sui cookie

L’adozione del report da parte dell’EDPB rappresenta un punto di svolta in tal senso. Infatti, nonostante esista ormai da tempo uno specifico framework normativo sul tema dei cookie e degli altri strumenti di tracciamento, le circostanze esaminate dimostrano come ancora oggi numerose organizzazioni facciano fatica a conformarsi alle disposizioni di riferimento.

Con il presente rapporto, le autorità di controllo hanno, quindi, concordato un denominatore comune nella loro interpretazione delle disposizioni applicabili della Direttiva 2022/58/CE (relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) e del GDPR su diverse questioni in merito, come:

  • framework normativo applicabile;
  • pulsanti di rifiuto;
  • caselle preselezionate;
  • design ingannevole dei banner;
  • colori ingannevoli dei pulsanti;
  • rivendicazione del legittimo interesse;
  • inaccurata classificazione dei cookie essenziali;
  • icone per la revoca del consenso.

Dunque, attraverso tale report, l’EDPB auspica l’adozione di un approccio coerente e il più possibile armonizzato ai cookie banner in tutto lo Spazio economico europeo.

Vediamo nel dettaglio.

Il pulsante “rifiuta” deve essere visualizzato sul primo livello

È chiaro che deve essere offerta un’opzione per rifiutare attivamente l’uso dei cookie (oltre a quella di abbandonare il sito web). Ma molti siti web scelgono di non inserire questa opzione nel primo livello del popup di consenso. Spesso vengono fornite due opzioni, “Accetta” e “Altre opzioni” o qualcosa di simile, e un pulsante di rifiuto è disponibile dopo aver cliccato su “Altre opzioni”.

La stragrande maggioranza concorda sul fatto che in ogni livello di un meccanismo di consenso in cui è presente un’opzione “Accetta”, dovrebbe essere presente anche un’opzione “Rifiuta”, ma non tutti. Alcuni hanno osservato che la clausola pertinente della Direttiva ePrivacy non fa riferimento esplicito a un pulsante “Rifiuta”, il che significa che la mancata inclusione di un pulsante “Rifiuta” nel primo livello non costituisce necessariamente una violazione della normativa UE.

Le caselle pre-selezionate non devono essere utilizzate: concordato

Nel secondo livello di un meccanismo di consenso (in cui l’utente ha scelto di non accettare tutti i cookie o di rifiutarli immediatamente, ma vuole affinare i cookie consentiti) è comune presentare una serie di caselle di spunta per diverse categorie di cookie. In alcuni casi, i siti web pre-selezionano queste caselle per incoraggiare tassi di adesione più elevati.

La task force ha convenuto che questo non è valido per il consenso, in quanto viola il GDPR.

L’opzione di rifiuto non può essere nascosta in un link

In alcuni casi osservati dalla task force, i responsabili del trattamento dei dati offrono un pulsante “Accetta” nel primo livello di un meccanismo di consenso, mentre l’opzione “Rifiuta” (o “Maggiori dettagli”) viene nascosta in un link.

Questa pratica non è stata bocciata, ma la task force ha concordato sul fatto che l’opzione di rifiuto deve essere chiara: i siti web non devono ingannare gli utenti facendogli credere di dover dare il consenso per poter continuare.

Inoltre, la task force ha concordato che i seguenti comportamenti non sono validi ai sensi del diritto dell’UE:

  • Nascondere il pulsante “Rifiuta” (o altre alternative alla concessione del consenso) in un link incorporato in un paragrafo di testo, senza alcun supporto visivo che attiri l’attenzione dell’utente su tale opzione.
  • Nascondere il pulsante “Rifiuta” o qualsiasi altra alternativa al di fuori del banner del cookie stesso.

I colori e i contrasti ingannevoli dei pulsanti non possono essere utilizzati: caso per caso

L’uso di colori e contrasti sui pulsanti “Accetta” e “Rifiuta” è considerato da molti come un “modello oscuro”, utilizzato dai siti web per incoraggiare tassi di opt-in più elevati attirando maggiormente l’attenzione sull’opzione “Accetta”. Questa può essere una tattica efficace, dato che i consumatori sono spesso propensi a cliccare per uscire da un banner di cookie il prima possibile, cercando il pulsante che lo chiude più rapidamente.

La task force ha tuttavia affermato che non è possibile creare una regola generale sul colore e sul contrasto e che i meccanismi di consenso devono essere valutati caso per caso. Tuttavia, ha riconosciuto che alcuni esempi sarebbero “palesemente fuorvianti” e violerebbero la legislazione dell’UE, ad esempio se il contrasto tra il testo “Rifiuta” e lo sfondo è così minimo da rendere illeggibile l’opzione “Rifiuta”.

I siti web non possono usare il linguaggio del “legittimo interesse” per ingannare gli utenti

Interesse legittimo” è un termine delineato nel GDPR, che consente alle aziende di trattare alcuni dati personali senza il consenso degli utenti. Non ci sono regole ferree su cosa sia l’interesse legittimo. In generale, però, un’azienda può rivendicare l’interesse legittimo se il trattamento dei dati degli utenti è essenziale – forse per gli interessi di un’azienda o di un individuo, o per un beneficio sociale più ampio – e se l’impatto sulla privacy degli utenti è minimo.

L’interesse legittimo viene spesso rivendicato per i cookie che sono essenziali per le funzioni di base del sito web. Alcune aziende hanno cercato di rivendicare l’interesse legittimo come base per l’abbandono dei cookie per la pubblicità personalizzata, un concetto che è già stato respinto da diverse autorità di protezione dei dati.

Tuttavia, alcuni meccanismi di consenso per i cookie sembrano utilizzare un linguaggio vago sul legittimo interesse per far credere agli utenti di dover dare il consenso a tutti gli usi dei cookie.

La task force ha affermato che in alcuni casi, grazie a questo linguaggio confuso, il sito web finisce per basarsi essenzialmente sul legittimo interesse come base per il trattamento dei dati non essenziali. In questi casi, il banner dei cookie viola il GDPR.

L’opzione “revoca del consenso” deve essere disponibile tramite una “icona fluttuante”: caso per caso

Il GDPR richiede non solo di ottenere il consenso per il trattamento dei dati personali, ma anche di dare agli utenti la possibilità di revocare tale consenso in qualsiasi momento, e che la revoca del consenso sia facile come la concessione del consenso stesso.

La task force ha osservato che molti siti web non dispongono di un’icona “impostazioni sulla privacy” fluttuante che compare in ogni pagina del sito e che consente agli utenti di revocare il consenso.

Sebbene la possibilità di revocare il consenso sia chiaramente necessaria ai sensi del GDPR, la task force ha convenuto che non si possono imporre meccanismi di revoca specifici. Non è quindi un obbligo avere una “icona fluttuante” su ogni pagina web, anche se questo è probabilmente il modo più realistico per rendere la revoca del consenso facile come la sua concessione.

La task force afferma che i meccanismi di revoca dovranno essere valutati caso per caso.

L’importanza del tema cookie

La difficoltà nell’adempiere alla disciplina sui cookie ha portato l’EDPB a istituire, nel 2021, un’apposita task force (la Cookie Banner Taskforce) per dare una risposta coordinata ai reclami relativi ai cookie banner presentati dall’organizzazione di Maximilian Schrems (NOYB) nei confronti delle diverse Autorità di controllo degli Stati membri[1].

Nel corso del 2021, infatti, l’associazione NOYB, dopo aver effettuato l’analisi dei cookie banner di diverse aziende, ha riscontrato in molti di questi banner delle gravi anomalie dal punto di vista del rispetto della normativa sulla data protection. In particolare, NOYB ha rinvenuto traccia di numerosi “dark pattern” all’interno dei cookie banner esaminati. I dark pattern sono delle interfacce utenti dal design particolarmente complesso, quindi di difficile fruizione, oppure interfacce appositamente progettate per indurre l’utente finale verso comportamenti da questi non realmente desiderati, falsando così la sua effettiva volontà. In proposito, l’EDPB aveva già emanato delle linee guida (linee guida 3/2022 sui dark pattern), allo scopo di porre un freno a tale minaccia.

Per mettere in moto le già menzionate ispezioni sui cookie banner, NOYB ha sviluppato uno strumento capace di mappare in modo automatizzato il flusso dei consensi ai cookie di un determinato sito web e in grado di stabilire se un cookie banner è conforme o meno ai requisiti del GDPR. In caso di difformità, NOYB invia una bozza di reclamo informale, via e-mail, all’azienda il cui sito web presenta un cookie banner non conforme, includendo una guida su come correggere l’implementazione del cookie banner per soddisfare gli standard del GDPR. All’azienda viene dato un mese di tempo per cambiare il proprio cookie banner e se non agisce entro tale termine, NOYB presenta una denuncia all’autorità competente dello stato membro in cui si trova la società inadempiente[2].

A seguito delle ispezioni sui cookie banner, NOYB lamentava che: gli utenti di Internet sono vittime di progetti ingannevoli. Il GDPR doveva garantire agli utenti il pieno controllo dei propri dati, ma la navigazione online è diventata un’esperienza frustrante per i cittadini europei. In tutto il web compaiono banner fastidiosi, progettati per rendere estremamente complicato il rifiuto dei cookie. Nei loro banner, le aziende utilizzano i cosiddetti “dark-pattern” per indurre oltre il 90% degli utenti a cliccare sul pulsante “accetta”, mentre le statistiche del settore mostrano che solo il 3% vuole effettivamente accettare.

In generale, è indubbio che i dark pattern rappresentino una grave minaccia per la corretta prestazione del consenso da parte degli utenti, il quale deve essere una manifestazione di volontà libera, specifica e inequivocabile dell’interessato, ai sensi dell’art. 4 punto 11 del GDPR. Per questo motivo è necessario che i cookie banner siano predisposti in modo tale da evitare la presenza di simili meccanismi, potenzialmente pericolosi per l’utente e contrastanti, dunque, con i principi stessi del GDPR.

Il rapporto EDPB è un passo nella direzione corretta per affrontare questo tema spinoso.

Note

[1] NOYB ha presentato i reclami in diversi blocchi, distribuiti nel tempo. Il primo blocco di reclami è stato presentato nel maggio 2021, mentre il secondo blocco nell’agosto 2021.

[2] https://noyb.eu/it/noyb-mira-porre-fine-al-terrore-dei-cookie-banner-ed-emette-piu-di-500-reclami-gdpr

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • infrastrutture

    Sicurezza nell’industria mobile: lo standard NESAS

    25 Gen 2024

    di Flavio Canofari

    Condividi

  • lo scenario

    Le norme digitali da tenere sott'occhio nel 2024

    15 Apr 2024

    di Aurelia Losavio

    Condividi

Prossimo

Sicurezza nell’industria mobile: lo standard NESAS

Articolo 1 di 3