Occhio al cookie banner! I Garanti hanno individuato 7 pratiche illecite…

14 marzo 2023Ultimo aggiornamento 29 febbraio 2024
  • Home
  • Blog
  • Normativa
  • Occhio al cookie banner! I Garanti hanno individuato 7 pratiche illecite…
Tempo di lettura stimato: 8'
Non so se lo sai, ma esiste una taskforce per il cookie banner. No, non è una leggenda metropolitana. I Garanti Privacy dell’UE hanno veramente creato una taskforce apposta per guardare se i banner cookie che si trovano online sono in regola – si vede che ci sono un po’ troppe aziende che girano con le mutande sporche… - e sai come si chiama? Cookie Banner Taskforce. 

Questa taskforce è partita a settembre 2021 e ha iniziato a guardarsi le centinaia di reclami ricevuti dall’associazione Noyb di Max Schrems. Esatto, proprio quello del Privacy Shield e del trasferimento di dati all’estero.

Perché analizzare tutti i reclami? 
Perché c’era la necessità di capire quali potessero essere gli elementi legali comuni da rispettare quando si realizza un cookie banner, dato che sul mercato di tool e servizi che ti permettono di gestire questa cosa ce ne sono parecchi. 

Bene. Dall’analisi dei reclami, i Garanti – o meglio, l’EDPB (European Data Protection Board) - hanno prodotto il Rapporto sui Cookie Banner
E cosa ci dice il rapporto? 
Ci dice che ci sono 7 pratiche illecite nei banner dei cookies, molto comuni e che sarebbe meglio evitare. 

Attenzione! Il rapporto è una bozza che non diventerà un parere cogente, cioè non è vincolante, perché la materia dei cookies non è sottoposta alla disciplina del One Stop Shop. Però è un aiuto! I Garanti Privacy hanno voluto dare dei consigli per portare i titolari del trattamento a scegliere spontaneamente un cookie banner che sia il più possibile conforme a uno standard comune. 

7 pratiche illecite dei cookie banner rilevate dai Garanti europei

Il tuo cookie banner è in regola o rientra tra le casistiche di pratiche illecite dell’EDPB?
Per capirlo, vediamo una per una le pratiche da evitare secondo la Cookie Banner Taskforce. 

1) Nella prima schermata del banner manca il pulsante di rifiuto, che è nascosto in un sottolivello

Facci caso. Vai su un sito, compare subito il cookie banner e non trovi il pulsante “rifiuta”. Per cercarlo devi diventare di gomma. Devi accedere a “ulteriori opzioni”. Poi sei costretto a cercare l’opzione rifiuto, che di solito è nascosta. Fa capolino lì, piccola piccola, che quasi non la vedi… 

Bene. La taskforce ci dice che tutti i cookies - tranne quelli tecnici – devono avere un consenso libero, consapevole e fornito con un'attività inequivocabile. Cioè un opt-in chiaro, trasparente, evidente. Non nascosto dietro l’armadio!
Ci dice anche come mettersi in regola: la prima schermata del banner cookie deve avere due bottoni evidenziati allo stesso modo, uno per il consenso e uno per il rifiuto. 
Poi ci dice anche che: 
  • l'espressione della volontà dell'utente deve essere memorizzata in un registro elettronico apposito;
  • il registro deve essere segnalato da un'icona a disposizione dell'utente;
  • l’utente deve poter riaprire il registro in qualsiasi momento, così che possa, nel caso, cambiare volontà: negare o dare il consenso ai vari cookies.
Per esempio, ELMO, il nostro cookie manager, da questo punto di vista è conforme. Ha sia il pulsante rifiuta che la gestione delle preferenze visibili fin dalla prima schermata. Infatti, si presenta così: 


2) Nella schermata di secondo livello, alcune categorie di cookies sono già selezionate, di default

No, no, no alle caselle pre-selezionate! Questa non è certo una novità… Se nel tuo cookie banner, una volta che clicchi su “impostazioni”, “scopri di più”, “personalizza le tue scelte”… vedi una sfilza di cookies già selezionati, è MALE. Non sono consensi validi!
Ti cito su questo la sentenza del 2019 della Corte di Giustizia dell’Unione Europa che dice che “nel considerando 32 "Il silenzio, le caselle preselezionate o l'inattività non dovrebbero pertanto costituire consenso". Per mettersi in regola, occorre evitare la presenza di caselle pre-selezionate nel secondo livello del banner. Inoltre in corrispondenza di ciascuna categoria di cookie deve trovarsi un tasto che – ove attivato – lasci aprire una tendina con l'elenco e la descrizione dei cookies appartenenti a quella determinata categoria che potrebbero installarsi sul dispositivo dell'utente.”

Quindi le caselle devono essere vuote, così sarà Peppino a scegliere se dire “sì, ok accetto” o “no, non accetto”. 
Quando abbiamo progettato ELMO, questa è stata una delle prima cose a cui abbiamo pensato:


3) Link design ingannevole e dark patterns

In questi casi il problema sta nel design dell’interfaccia. Succede quando: 
  • diventi di gomma per disattivare il tuo profilo su un abbonamento premium: per abbonarti ci metti un attimo, per recedere dal contratto, attraverso un link, ci metti di più che a uscire dal labirinto del Minotauro;
  • nella schermata iniziale del cookie banner, c’è il pulsante accetto color rosso fuoco e il resto sembra scritto con la penna invisibile, tanto è opaco e poco attraente; l’obiettivo qui è chiaro: farti cliccare su accetto!
E poi, di solito, al posto di “rifiuto” c’è un’altra parola con un link che ti porta ai sottolivelli dove, finalmente, trovi il pulsante per dire: no, non accetto i tuoi cookies!

I Garanti ci dicono che l’utente deve essere in grado di capire a cosa acconsente e come farlo, e quindi non deve essere tratto in inganno da colori, grandezze e layout dell’interfaccia. Ci danno anche delle indicazioni per essere in regola e permettere all’utente di dare un consenso valido: “il proprietario di un sito web non deve progettare cookie banner in modo tale da dare agli utenti l'impressione di dover dare il consenso per accedere al contenuto del sito web” né che spingano chiaramente l'utente a prestare il consenso. Meglio usare pulsanti delle stesse dimensioni, ugualmente facili da leggere ed evidenziati nello stesso modo. 

4) Colori e contrasti dei pulsanti ingannevoli

Di nuovo un uso “spregiudicato dei colori”, se vogliamo. Il pulsante “accetto” è vivace e accattivante. Il pulsante “rifiuto” è triste, grigino, una cosa smorta. Uno appare più evidente, l’altro meno, perché il contrasto tra i due è netto.
Rispetto a questo punto, la Taskforce ha deciso di non imporre uno standard comune. Piuttosto dice di valutare come scegliere i colori, caso per caso, sapendo che non devono esserci elementi fuorvianti. 

Attenzione, però! Nella Direttiva E-Privacy è indicata chiaramente una pratica fuorviante e quindi da evitare. È questa: il pulsante “accetto” è ben visibile, quello “rifiuto” è mascherato dallo sfondo. Tipo camaleonte. Per capirci: il contrasto fra scritta e sfondo è così basso, che “rifiuto” non si legge. Occhio che se il tuo banner è così, rischi una sanzione!

In ELMO, per esempio, abbiamo scelto di progettare il pulsante “rifiuta” in nero su fondo bianco (più visibile di così!):



5) Interesse legittimo per prescindere dal consenso, capovolgendo la Cookie Law dalla regola dell'opt-in alla regola dell'opt-out 

In questo caso,il cookie banner ha la prima schermata con un pulsante “accetto”, un pulsante “ulteriori informazioni”, ma manca il pulsante “rifiuto”. Così l’utente pensa di non poter rifiutare automaticamente i cookies e di doverli disattivare in un secondo momento, come se si trattasse di un opt-out. In più, una volta che passa al secondo livello, trova il pulsante “rifiuto”, ma è insieme alle “opzioni del rifiuto” dei vari trattamenti. Il rischio qui è che pensi che debba rifiutare cookies già accettati. 

In questo modo si usa la base del legittimo interesse, capovolgendo la disciplina sui cookies, dal regime di opt-in al regime di opt-out. Ma…

Il cookie banner NON può essere mai basato sul legittimo interesse!

Il legittimo interesse, anche se fa gola a molti, è una base giuridica che può essere usata solo in determinati casi e che richiede una valutazione da parte del titolare del trattamento. Questo, infatti, deve bilanciare i suoi diritti e interessi con quelli dell’utente, dimostrando perché e percome ha scelto quella base giuridica. 

Occhio che il Garante, se fa un’ispezione, lo chiede… e se non si è in grado di dimostrare perché si è usato il legittimo interesse, si rischia una sanzione!

In tutti i modi, non si può usare il legittimo interesse come base giuridica dei cookies, perché dipendono dalla Direttiva E-Privacy in cui non è previsto appunto il legittimo interesse. Qui vige la Cookie Law che prevede il consenso per i cookies: o Peppino ti dà subito il consenso (opt-in) – e quindi puoi fare il trattamento – o non te lo dà. E se non te lo dà non puoi far niente. Chiaro? 

Bene. 

Lo ripeto: il cookie banner che si basa sul legittimo interesse è illegale! 
Punto. Devi ottenere il consenso.

6) Cookies definiti essenziali anche se non lo sono

Sono i banner cookie in cui trovi “cookie essenziali”, “cookie strettamente necessari” e poi, se guardi bene, non è vero. Non sono essenziali perché non sono conformi a quanto previsto dalla legge, cioè dalla Direttiva E-Privacy. 

In più, la taskforce ci dice che è molto difficile fare un elenco esaustivo dei cookie essenziali, perché le loro caratteristiche cambiano. Per cui sconsiglia di usarli. Anche perché, in caso di visita ispettiva, vai poi a giustificare e provare che effettivamente erano indispensabili… è dura, eh!

La taskforce non vieta di usare i cookies necessari. Ma ci dà dei consigli e in particolare ci dice che, per definire dei cookies “essenziali”, si può guardare il parere n°04/2012 su Cookie Consent Exemption del WP 29. Secondo questo parere: potrebbero essere considerati essenziali quei cookies che “consentono ai proprietari di siti web di conservare le preferenze espresse dagli utenti in merito un servizio”.

E infatti, con ELMO, abbiamo scelto di fare proprio così:



7)  Manca l’icona per la revoca del consenso

Quando si progetta la cookie policy vale questo principio: l’utente deve poter revocare il consenso in un attimo. Se può darlo in un attimo, allora deve poterlo revocare ugualmente in un attimo. Chiaro? 

Allora, i Garanti ci dicono: metti un’icona ben visibile in ogni pagina del sito, per poter revocare i consensi, come previsto nella Direttiva E-Privacy; che, a sua volta, prevede un triplice obbligo:
1 – l’utente deve poter revocare il consenso
2 – l’utente deve essere capace di revocare il consenso in qualsiasi momento
3 – la revoca del consenso deve essere facile come dare il consenso

Queste le regole. Poi la taskforce ci dice anche che non è possibile trovare un modello unico e standard. Quindi bisogna ragionare cum grano salis, seguendo il principio che ho già citato, per cui l’utente deve revocare il consenso con la stessa facilità con cui lo dà. 
Chiaro? Bene. 

Hai controllato il tuo cookie banner?

Noi abbiamo controllato il nostro! Secondo noi, ELMO rispetta tutti i requisiti previsti dalla task force
Vuoi saperne di più?
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy