L’EDPB ha pubblicato un report sul lavoro effettuato dalla Cookie Banner Task force (per ora in bozza). La task force è stata istituita ad hoc nel settembre del 2021 per coordinare le risposte ai reclami sui cookie banner presentati alle autorità di controllo dei diversi Stati membri dall’organizzazione di Maximilian Schrems (NOYB).
La task force è stata costituita per incoraggiare la cooperazione, nonchè la condivisione delle best practice tra le autorità di protezione dei dati. Ciò è fondamentale per garantire un approccio il più possibile coerente e armonizzato al tema dei cookie banner nello Spazio economico europeo.
All’interno del sopramenzionato report, le autorità di controllo hanno concordato su un denominatore comune nella loro interpretazione delle disposizioni applicabili della Direttiva 2022/58/CE (relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) e del GDPR su diverse interessanti questioni, quali:
- framework normativo applicabile;
- pulsanti di rifiuto;
- caselle preselezionate;
- design ingannevole dei banner;
- colori ingannevoli dei pulsanti;
- rivendicazione del legittimo interesse;
- inaccurata classificazione dei cookie essenziali;
- icone per la revoca del consenso.
Vediamo più nel dettaglio le conclusioni declinate nel documento in parola:
- il pulsante “rifiuta” deve essere visualizzato sul primo livello: l’utente dovrebbe poter essere in grado di rifiutare l’intero gruppo di cookie opzionali (perché tecnicamente non “essenziali”) utilizzando un apposito pulsante fin dall’inizio; l’EDPB non interviene qui sulla terminologia, ammettendo l’equivalenza tra formule come “rifiutare”, “respingere”, “non acconsentire” e simili;
- le caselle preselezionate non devono essere utilizzate: l’EDPB ritiene non valida qualsivoglia preselezione (questione che è stata ripetutamente affermata nel tempo);
- Link design ingannevole: un link (cioè una parola o una frase, con rimando ipertestuale ulteriore ad es. a un secondo livello del banner) non dovrebbe essere adottato al posto del pulsante di rifiuto; l’EDPB sottolinea che “in ogni caso il titolare di un sito web non deve progettare il cookie banner in modo da dare agli utenti l’impressione di dover dare un consenso per accedere al contenuto del sito web, né che spinga chiaramente l’utente a dare il consenso”;
- Colore dei pulsanti ingannevole: l'EDPB non ritiene di poter imporre uno standard generale per il banner in relazione al colore e/o al contrasto dei pulsanti; occorre verificare caso per caso che il contrasto e i colori utilizzati “non siano palesemente fuorvianti per gli utenti e non comportino un consenso involontario e, come tale, non valido”;
- Interesse legittimo dichiarato: l’utilizzo della base giuridica del legittimo interesse è generalmente errata; inoltre, la prassi di “nasconderlo” nel secondo livello del banner, con l’eventuale pulsante di opposizione al trattamento inerente, configura una pratica decettiva in quanto idonea a far credere all’utente che debba esprimere un “doppio rifiuto” per impedire il trattamento (prima la base consensuale, poi il legittimo interesse);
- Cookie non “essenziali”: indicare come essenziali (dunque obbligatori) cookie che non lo sono è palesemente illecito; viene sottolineato dall’EDPB che “le difficoltà pratiche, in particolare a causa del fatto che le caratteristiche dei cookie cambiano regolarmente”, impediscono la creazione di un elenco stabile e affidabile di questi tipi di cookie valutato caso per caso; l’EDPB ricorda che esistono vari tool per stilare l’elenco dei cookie ma che non sono necessariamente affidabili o in grado di classificarli correttamente; quindi, la valutazione e classificazione finale andrà effettuata sempre e solo dal titolare del trattamento; per alcuni esempi l’EDPB rimanda comunque al parere WP29 del 2012, dove sono presenti diversi esempi, ad es. il caso del cookie utilizzato per mantenere le preferenze dell’utente;
- Nessuna icona di revoca: una volta chiuso il banner, l’utente dovrebbe poter sempre facilmente rinvenire – ad es. come icona fluttuante o almeno come link visibile nel footer, - un’opzione per revisionare le proprie scelte sui cookie; in particolare, per garantire la possibilità di revocare i propri consensi con la stessa facilità con cui li si è resi; anche qui non si impone una soluzione specifica, rimandando all’analisi caso per caso.
In considerazione dell'autonomia delle singole autorità di controllo, potrebbe darsi che le Linee guida sui Cookie del 2021 del Garante rimangano immutate; sebbene le future valutazioni del Garante dovranno senz’altro tener conto delle indicazioni integrative e degli spunti interpretativi offerti dal report dell’EDPB.
_840x420.jpg?v=3)
I cookie dei social media raccolgono informazioni sulla condivisione, da parte tua, di contenuti presenti sul nostro sito web, tramite i social media, o analytics per analizzare la tua navigazione tra i vari strumenti presenti sui sociali media o tra le nostre campagne sui social media e i nostri siti web. In questo modo ottimizziamo il mix di canali tramite il quale forniamo i nostri contenuti. I dettagli relativi agli strumenti in uso sono riportati nella nostra privacy policy.