In un’epoca come questa, in cui milioni di persone visitano quotidianamente innumerevoli siti web per i motivi più disparati (lavoro, studio, ricerca, intrattenimento, ecc.), il tema dei cookie, e dei trattamenti di dati (anche personali) che per loro tramite possono avere origine, ha impegnato in diverse occasioni gli organismi competenti, in Italia ed in Europa.
Proprio su queste pagine, avevamo commentato il provvedimento del Garante per la Protezione dei Dati Personali (“Garante”) denominato “Linea Guida cookie e altri strumenti di tracciamento” del 10 giugno 2021 (e pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021), con cui il Garante ha voluto rafforzare le tutele degli utenti, favorendo un effettivo controllo sulle informazioni personali oggetto del trattamento.
In tale contesto, assumono una grande rilevanza anche i cookie banner, ossia quegli strumenti tipicamente utilizzati dai gestori di siti web, se necessario, per informare gli utenti della presenza di eventuali cookie, dei loro diritti a riguardo nonché per raccogliere il relativo consenso all’installazione.
Nel corso degli anni, però, i gestori di siti web hanno sviluppato delle pratiche relative ai banner in contrasto con le disposizioni del Regolamento (UE) 2016/679 (“GDPR”), tanto che NOYB – il team di legali che sta collaborando con Maximillian Schrems nella lunga battaglia giudiziaria che ha portato, tra l’altro, alla sentenza della Corte di giustizia dell’Unione europea che ha annullato il Privacy Shield (c.d. “Schrems II”), di cui ci siamo già occupati – ha presentato numerosi reclami relativi ai cookie banner davanti a diverse autorità europee di protezione dei dati.
In particolare, nel corso del 2021, NOYB, dopo aver effettuato l’analisi dei cookie banner adottati da diverse aziende, ha riscontrato in molti di questi strumenti delle gravi anomalie nel rispetto della normativa sulla data protection, tra cui, a titolo esemplificativo, la presenza di c.d. “dark pattern” all’interno dei cookie banner utilizzati.
I c.d. dark pattern, come chiarito dalle Linee Guida 3/2022 pubblicate dallo European Data Protection Board (“EDPB”) il 4 marzo del 2022, sono delle interfacce appositamente progettate per indurre l’utente finale a tenere comportamenti e compiere delle scelte non realmente volute, falsando così il processo di formazione della volontà e la raccolta del consenso, in violazione delle disposizioni del Regolamento (UE) 2016/679 (“GDPR”) e, in particolare, dell’art. 4, n. 11), in forza del quale, il consenso dovrebbe invece consistere in una manifestazione di volontà libera, specifica e inequivocabile dell’interessato.
Nel 2021, proprio allo scopo di fornire una risposta ai reclami presentati da NOYB in merito ai cookie banner e di promuovere e condividere informazioni e best practies tra le autorità europee di protezione dei dati, l’EDPB ha istituito la Cookie Banner Taskforce (“Taskforce”), che il 18 gennaio 2023 ha presentato il report (“Report”) che qui si commenta.
Il Report, in particolare, si propone di analizzare le diverse pratiche implementate dai gestori di siti nell’utilizzo dei cookie banner, evidenziandone le criticità e fornendo utili precisazioni nell’implementazione e/o modifica di tali strumenti, allo scopo di dare una risposta coordinata ai reclami presentati da NOYB e di contrastare la presenza di simili meccanismi, potenzialmente pericolosi per gli utenti oltre che contrari ai principi stessi del GDPR.
Analisi e contenuto del Report
Cookie: cenni
Tralasciando in questa sede una disamina approfondita sulla natura, caratteristiche e peculiarità dei cookie, basti ricordare che questi ultimi sono, di regola, stringhe di testo che i siti web (c.d. “Publisher” o “prime parti”) visitati dagli utenti ovvero siti o web server diversi (c.d. “terze parti”) posizionano ed archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente stesso.
In estrema sintesi, si rammenta che, a seconda delle finalità perseguite, i cookie si distinguono in due macrocategorie: i “cookie tecnici” e i “cookie di profilazione”: come chiarito dalla Direttiva 2022/58/EC (“Direttiva ePrivacy”), mentre per l’utilizzazione di cookie “tecnici” il titolare del trattamento sarà assoggettato al solo obbligo di fornire all’utente una specifica informativa, viceversa l’utilizzo di cookie aventi finalità di tracciamento diverse da quelle tecniche (cookie di profilazione) potranno effettuarsi solo previa acquisizione del consenso, informato, del contraente o dell’utente (per una disamina del tema si rimanda ad un nostro precedente approfondimento sul tema pubblicato su questo sito).
Risulta quindi evidente l’importanza dei cookie banner, in quanto, se correttamente utilizzati, possono non solo costituire un valido strumento per informare l’utente rispetto alla tipologia di cookie presenti sul sito, ma anche, con riguardo ai cookie di profilazione, per acquisire un valido consenso alla loro installazione.
I chiarimenti sulla disciplina applicabile
Come prima cosa la Taskforce, nell’intento di disciplinare in modo organico la materia, si sofferma sullo spinoso tema della normativa applicabile ai cookie.
Quest’ultima, in particolare, viene individuata: (i) nella Direttiva ePrivacy 2002/58/CE, per quanto concerne la fase di posizionamento o lettura dei cookie (per quanto riguarda l’Italia, la norma di riferimento è l’art. 122 del D.Lgs. n. 196/2003 (“Codice Privacy”) che ha recepito tale direttiva); e (ii) nel GDPR, in relazione alla fase di trattamento dei dati, successiva alle operazioni di cui al punto (i) che precede.
La check-list delle condotte da evitare
Partendo dall’analisi delle modalità di utilizzo dei cookie banner ad opera di numerose aziende europee, la Taskforce ha riscontrato 7 principali criticità nell’implementazione dei cookie banner, elaborando una vera e propria check-list di condotte da evitare, che qui di seguito vengono analizzate:
1 – No reject button on the first layer
La prima criticità riguarda l’assenza, nel primo livello del cookie banner, di un pulsante di rifiuto dei cookie, con presenza del solo pulsante di accettazione e/o della possibilità di accedere a ulteriori opzioni.
In sostanza, così impostato, il banner non permette di negare il consenso in modo semplice, obbligando l’utente ad ulteriori azioni per manifestare il proprio diniego.
La Taskforce ha confermato che, per impostazione predefinita, i cookie che richiedono il consenso (cioè i “cookie di profilazione”) possono essere utilizzati unicamente previa acquisizione del consenso, il quale deve essere espressione di una azione positiva dell’utente.
La Taskforce ha altresì rilevato che la maggioranza delle autorità ritiene che l’assenza di un pulsante di rifiuto non sia in linea con i requisiti richiesti per un valido consenso ed integri, pertanto, una violazione della normativa. La minoranza ha, invece, reputa che l’assenza di tale pulsante non costituirebbe una violazione della normativa e ciò sul presupposto che l’art. 5, comma 3, della Direttiva ePrivacy non fa espressamente riferimento ad un pulsante di rifiuto.
2 – Pre-ticked boxes
La seconda criticità riguarda la presenza di caselle pre-selezionate nel secondo livello del cookie banner (ad es. dopo che l’utente ha cliccato sulla voce “Impostazioni” nel primo livello).
In merito, i membri della Taskforce confermano che le caselle preselezionate, al pari del silenzio e dell’inattività, non configurano un valido consenso ai sensi del GDPR (cfr. Considerando 32 del GDPR) e dell’art. 5, comma 3, della Direttiva ePrivacy.
3 – Deceptive Link Design
La terza condotta da evitare riguarda la sostituzione del pulsante di rifiuto e/o di maggiori informazioni con appositi link che (i) inducono gli utenti a ritenere che occorra prestare il consenso per poter accedere ai contenuti del sito; e/o (ii) che spingano gli utenti a prestare il proprio consenso.
I membri della Taskforce hanno inoltre chiarito che, dal primo livello in poi, all’utente dovrebbe essere sempre consentito poter continuare la navigazione sul sito senza cookie e che dovrebbe sempre essere presente una chiara indicazione (i) del significato del banner; (ii) delle finalità del consenso richiesto e (iii) delle modalità di consenso ai cookie.
4 – Deceptive Button Colours & Deceptive Button Contrast
Tale criticità riguarda la configurazione ingannevole di alcuni banner nei quali vengono utilizzati colori e contrasti che evidenziano i pulsanti di accettazione rispetto alle altre opzioni.
La Taskforce ha chiarito che, per valutare la conformità di un banner, non essendo possibile imporre uno standard di colori e/o contrasti, sarà necessario effettuare una valutazione “case-by-case”, verificando che i colori e contrasti implementati non siano “palesemente” fuorvianti per gli utenti e non determinino, pertanto, un consenso involontario e, come tale, invalido.
La Taskforce ha inoltre individuato almeno un caso sicuramente vietato consistente nell’offrire un’azione alternativa (diversa dalla concessione del consenso) con “un pulsante in cui il contrasto tra il testo e lo sfondo del pulsante è così minimo che il testo risulta illeggibile praticamente per qualsiasi utente”.
5 – Legitimate interest claimed, list of purposes
Il quinto rilievo riguarda l’errata individuazione del legittimo interesse di cui all’art. 6, par. 1, lett. f), del GDPR quale base giuridica per creare contenuti personalizzati e/o per selezionare annunci pubblicitari personalizzati, in luogo del consenso.
Sul punto, la Taskforce ha confermato che tale individuazione risulta in contrasto con l’art. 5, comma 3, della Direttiva ePrivacy e con il GDPR.
Non solo. È stato osservato che è prassi molto diffusa quella di nascondere tale base giuridica del trattamento nel secondo livello del cookie banner, con eventuale pulsante per opporsi al trattamento. L’EDPB ha chiarito l’illegittimità di tale pratica in quanto fa credere all’utente che sia necessario un doppio rifiuto per impedire il trattamento: un primo per negare il consenso e un secondo per impedire il trattamento dei dati in base al legittimo interesse.
6 – Inaccurately classified “essential cookies”
La Taskforce rileva che, frequentemente, i cookie vengono impropriamente classificati come “essenziali” o “strettamente essenziali”.
Oltre ad affermare l’estrema difficolta nell’individuazione e creazione di un elenco affidabile di cookie c.d. “essenziali” (posto che le caratteristiche degli stessi cambiano frequentemente), la Taskforce ha altresì chiarito che l’errata classificazione di cookie non necessari come essenziali (e per ciò obbligatori) costituisce un illecito.
Viene altresì precisato che, poiché gli strumenti attualmente esistenti che consentono di predisporre un elenco di cookie essenziali non sono affidabili e/o in grado di classificarli correttamente, la valutazione e classificazione finale di tali cookie dovrà sempre essere effettuata dal titolare “case-by-case”. Sul punto l’EDPB rimanda, in ogni caso, all’Opinion WP29 n. 04/2012 on Cookie Consent Exemption, nella quale erano riportati diversi esempi di cookie correttamente classificati come essenziali (tra cui, i cookie che consentono ai titolari dei siti di conservare le preferenze dell’utente in merito ai servizi).
7 – No withdraw icon
Tale ultimo rilievo riguarda la mancanza di una icona per la revoca del consenso. Sui siti web dovrebbero essere presenti soluzioni facilmente accessibili che consentano agli utenti di revocare il proprio consenso in qualsiasi momento (ad es. una piccola icona sempre visibile o un link collocato in un punto visibile). Oltre ai requisiti richiesti dalla normativa applicabile per la raccolta del consenso, la Taskforce ha rammentato che l’utente deve avere la possibilità di revocare, in qualsiasi momento, il proprio consenso con la stessa facilità con cui è stato accordato.
Qualche dato statistico
Nella tabella che segue si riportano le percentuali individuate dalla stessa NOYB per ciascuna irregolarità sopra esaminata:
Considerazioni conclusive
Il report della Taskforce dell’EDBP rappresenta senz’altro un utile strumento al quale conformarsi nella fase di implementazione e/o modifica dei cookie banner.
Ciò detto, è bene altresì notare che tale provvedimento non è una raccomandazione e non necessita di alcuna approvazione da parte delle autorità nazionali. Ne consegue che ciascuna data protection authority manterrà la propria autonomia sulle modalità di regolamentazione di tale strumento, potendosi anche discostare dalle indicazioni contenute nel Report anche in ragione delle normative nazionali di attuazione della Direttiva ePrivacy.
In ogni caso, i gestori di siti web dovrebbero preoccuparsi di rivedere i cookie banner in maniera tale che essi non rientrino nei vizi tipici evidenziati dalla Taskforce: il Report, infatti, conferma che l’utilizzo di banner “misleading” può forzare gli utenti a prestare il proprio consenso al trattamento, che quindi non sarebbe più validamente espresso ai sensi del GDPR, con tutte le conseguenze anche in termini sanzionatori.
A tal ultimo proposito, proprio su queste pagine si era dato conto di una sanzione milionaria (ben 150 milioni di euro) comminata all’incirca un anno fa a Google dalla Commission Nationale de l’Informatique et des Libertés (CNIL): l’autorità francese, infatti, verificò che nei siti web google.fr e youtube.com vi era un pulsante che permetteva l’accettazione immediata dei cookie, ma non una soluzione equivalente (pulsante o altro) che permettesse all’utente di negare altrettanto facilmente il consenso.
I giganti del web non sono però gli unici soggetti ad essere stati sanzionati per violazione della normativa in materia di cookie.
Infatti, oltre a Google ed altri (sanzioni pesanti sono state comminate, ad esempio, anche ad Amazon e Facebook) sono state irrogate sanzioni dal Garante spagnolo alla compagnia aerea Vueling per non aver fornito agli utenti la possibilità di rifiutare il consenso e dallo stesso CNIL al colosso della GDO Carrefour, sempre per questioni legate ai cookie ed al relativo consenso.
Attenzione quindi a non sottovalutare una tematica – quella dei cookie e dei relativi banner – che potrebbe portare all’applicazione di sanzioni anche molto pesanti.
