A quasi 2 anni dalla pubblicazione delle Linee Guida per l’utilizzo di Cookie e sistemi di tracciamento WEB da parte del Garante Privacy, pare che una moltitudine di organizzazione si ostinino a far finta di niente o, peggio ancora, a configurare tracciamenti in maniera a dir poco avventurosa.
Il gruppo di lavoro dell’EDPB (European Data Protection Board) ha recentemente concentrato la propria attenzione proprio sui banner dei cookie utilizzati online. L’obiettivo era quello di analizzare le numerose lamentele ricevute e individuare gli elementi legali fondamentali da rispettare per la creazione di un banner dei cookie. Tale attenzione è particolarmente importante, poiché ci sono numerosi strumenti e servizi a disposizione sul mercato per la gestione dei cookie banner in conformità con il GDPR.
Il rapporto dell’EDPB sui cookie banner ha identificato sette pratiche illecite comuni nei banner dei cookie che sarebbe meglio evitare. Se vuoi verificare la conformità del tuo cookie banner o evitare queste pratiche illecite, ti invitiamo a leggere attentamente le sette pratiche da evitare di seguito. In questo modo, sarai in grado di assicurarti che il tuo banner dei cookie rispetti i requisiti legali e tuteli la privacy dei tuoi utenti.
- In primo luogo, il banner dei cookie deve presentare due pulsanti di uguale evidenza: uno per accettare e l’altro per rifiutare l’utilizzo dei cookie. Questi pulsanti devono essere chiari, trasparenti ed evidenti, senza essere nascosti in sottolivelli o in altro modo difficili da trovare.
- In secondo luogo, l’EDPB ha sottolineato che tutti i cookie, tranne quelli tecnici, richiedono un consenso libero, consapevole e inequivocabile da parte dell’utente. Inoltre, l’espressione della volontà dell’utente deve essere registrata in un registro elettronico apposito, che deve essere segnalato da un’icona a disposizione dell’utente. In questo modo, l’utente deve poter gestire le proprie preferenze e modificare il proprio consenso in qualsiasi momento.
Un esempio di cookie manager in linea con le linee guida dell’EDPB è COOKIEBOT. Il suo banner dei cookie presenta sia il pulsante di rifiuto che la gestione delle preferenze visibili fin dalla prima schermata. In questo modo, gli utenti possono gestire facilmente le proprie preferenze senza dover cercare in sottolivelli o altre sezioni nascoste. - Un’altra pratica che potrebbe essere considerata illegale riguarda la presenza di caselle “pre-selezionate” all’interno del banner dei cookie. Se, dopo aver cliccato su “impostazioni”, “scopri di più” o “personalizza le tue scelte”, vedi che alcuni cookie sono già selezionati di default, ciò potrebbe non essere valido come consenso informato da parte dell’utente. Nel 2019, la Corte di Giustizia dell’Unione Europea ha sottolineato che “il silenzio, le caselle preselezionate o l’inattività non dovrebbero costituire un consenso”. Pertanto, per garantire la conformità al GDPR, è necessario evitare la presenza di caselle pre-selezionate nel banner dei cookie. Inoltre, per ciascuna categoria di cookie, dovrebbe essere presente un tasto che, una volta attivato, permetta di aprire una tendina contenente l’elenco e la descrizione dei cookie relativi a quella categoria che potrebbero essere installati sul dispositivo dell’utente. In questo modo, le caselle dei cookie rimarranno vuote e spetterà all’utente decidere se acconsentire o meno.
- Il punto 4 riguarda l’utilizzo dei cookie per finalità non strettamente necessarie al funzionamento del sito o all’erogazione del servizio richiesto dall’utente. In altre parole, se un sito web utilizza cookie per attività di profilazione degli utenti o per inviare loro pubblicità mirata, senza avere ottenuto un consenso esplicito da parte degli utenti, allora si tratta di una pratica vietata dal GDPR. Il GDPR richiede che gli utenti abbiano la possibilità di scegliere se acconsentire o meno all’utilizzo dei cookie che non siano strettamente necessari per il funzionamento del sito o per l’erogazione del servizio richiesto. Ciò significa che i siti web devono fornire ai propri utenti un meccanismo di consenso chiaro ed esplicito per l’utilizzo dei cookie, spiegando chiaramente quali cookie verranno utilizzati e per quale finalità. Inoltre, i siti web devono essere in grado di dimostrare di aver ottenuto un consenso valido da parte dell’utente, in caso di eventuali controlli da parte delle autorità competenti. Ciò significa che i siti web devono conservare una traccia del consenso dell’utente per un periodo di tempo adeguato e, se richiesto, essere in grado di dimostrare di aver ottenuto un consenso valido da parte dell’utente.
- La norma, allo scopo di tutelare la libertà degli interessati stabilisce la necessità di fornire a questi ultimi un’opzione di opt-out o di revoca del consenso in qualsiasi momento. Ciò significa che l’utente deve avere il diritto di revocare il proprio consenso in qualsiasi momento e in modo facile e semplice. Questa opzione deve essere chiaramente indicata e facile da individuare, ad esempio tramite un link evidente presente nel cookie banner o nella politica sulla privacy del sito web. Ciò significa che se l’utente decide di revocare il proprio consenso all’utilizzo dei cookie, il Titolare deve smettere di utilizzarli immediatamente e rimuoverli dal dispositivo dell’utente. Inoltre, l’interessato deve essere informato in modo chiaro e trasparente sui passaggi necessari per esercitare il proprio diritto di revoca del consenso. Infine, è importante notare che la revoca del consenso non deve avere effetti negativi sull’utente, ad esempio impedendogli l’accesso ai contenuti del sito web. L’utente deve essere libero di scegliere se fornire o meno il proprio consenso per l’utilizzo dei cookie, senza subire conseguenze negative.
- Altro aspetto spesso sottovalutato riguarda l’Informativa cookie.
A molti Titolari, nonostante le numerose sanzioni già comminate, non è chiaro che il GDPR obbliga a fornire informazioni chiare e complete riguardo l’utilizzo dei cookie.
In particolare, è necessario che il sito web fornisca informazioni riguardo:
- i tipi di cookie utilizzati;
- lo scopo per cui sono utilizzati i cookie;
- il soggetto o i soggetti che raccolgono i dati tramite i cookie;
- la durata di conservazione dei cookie;
- se i dati raccolti tramite i cookie saranno condivisi con terze parti e, in caso affermativo, con quali terze parti;
- la modalità di revoca del consenso all’utilizzo dei cookie.
Inoltre, queste informazioni devono essere facilmente accessibili e comprensibili per l’utente. Ciò significa che non possono essere nascoste o difficili da trovare, ma devono essere presenti in modo chiaro e accessibile, ad esempio all’interno di una sezione dedicata sulla privacy del sito web. Infine, è importante sottolineare che queste informazioni non devono essere fornite solamente una volta, ma devono essere aggiornate periodicamente e ogni volta che ci sono modifiche significative riguardo all’utilizzo dei cookie.
- Il settimo ed ultimo punto è strettamente correlato con il punto 6: informare gli utenti sull’uso dei cookie di terze parti. I cookie di terze parti sono cookie che vengono impostati da domini diversi dal sito web che l’utente sta visitando. Ad esempio, un sito web potrebbe includere contenuti di terze parti come un widget di social media o un video incorporato da YouTube, e queste terze parti potrebbero impostare i propri cookie per tracciare l’utente su altri siti web. Secondo le linee guida del GDPR, se il tuo sito web utilizza cookie di terze parti, devi informare gli utenti sull’uso di questi cookie e ottenere il loro consenso. Inoltre, devi fornire informazioni sui soggetti che impongono questi cookie e sui dati che raccolgono. Ciò significa che il tuo banner dei cookie deve indicare esplicitamente se il sito web utilizza cookie di terze parti, e dovrebbe fornire informazioni dettagliate su chi sono queste terze parti, quali cookie impostano e quali dati raccolgono. Inoltre, gli utenti devono avere la possibilità di scegliere se consentire o meno l’uso di questi cookie di terze parti.
L’EDPB ha identificato sette pratiche illecite nei banner dei cookie, il cui utilizzo andrebbe evitato per garantire il rispetto della normativa GDPR. È importante ricordare che la conformità al regolamento è essenziale per proteggere la privacy dei dati dei nostri utenti e per evitare sanzioni significative. Se sei preoccupato di non essere in regola con la normativa GDPR, non esitare a contattare i nostri consulenti Privacy. Possiamo aiutarti a comprendere i tuoi obblighi legali e a mettere in atto le migliori pratiche per proteggere i dati dei tuoi utenti e garantire la conformità alle normative anche attraverso l’utilizzo di sistemi automatizzati come COOKIEBOT.