E’ stata pubblicata in data 18 gennaio la bozza delle linee guida redatte dall’EDPB (European Data Protection Board ) in merito al tema dei cookie banner. Queste linee guida si son rese necessarie a seguito delle numerosissimi segnalazioni, oltre 700, presentate in tutta Europa dalla associazione NOYB presieduta da Max Schrems.
Per chiarezza, ricordiamo che la disciplina dei cookie è normata contemporaneamente dalla direttiva E-Privacy e dal GDPR e l’EDPB precisa l’ambito di applicazione di entrambe:
- la Direttiva E-privacy disciplina la fase di deposito o lettura del cookie sul dispositivo utente
- il Regolamento GDPR disciplina la fase di trattamento successiva a tali operazioni.
Con queste indicazioni l’EDPB ha voluto redigere una black-list di comportamenti da evitare per garantire la conformità nella gestione dei cookie, che qui riportiamo:
- Nessun pulsante di rifiuto nel primo strato: il cookie banner è composto da più strati e nel primo strato visibile all’utente dovrebbe da subito essere presentata la possibilità di rifiutare l’intero gruppo di cookie facoltativi (perché non “essenziali” tecnicamente); le formule utilizzabili possono essere intercambiabili (nego il consenso, non accetto, respingo,…) a patto che il messaggio sia chiaro;
- Caselle preselezionate: si ricorda che, fatta esclusione per i cookie tecnici essenziali, è da ritenersi invalida qualsivoglia preselezione di tutte le altre tipologie di cookie.
- Link dal design ingannevole: il banner deve presentare immediatamente il pulsante di rifiuto e la dicitura riportata non deve dare all’utente l’impressione di dover dare un consenso per accedere al contenuto del sito web. Inoltre graficamente il banner deve esser ben visibile in modo da richiamare l’attenzione dell’utente medio su questa azione alternativa;
- Colore dei pulsanti ingannevole: come non deve essere ingannevole il testo, così neanche la grafica del pulsante che, con i suoi colori e contrasti, non deve essere fuorviante e non deve comportare un consenso involontario da parte dell’utente ”;
- Interesse legittimo dichiarato: si ribadisce che ricorrere all’interesse legittimo come base del trattamento è generalmente un errore, come la prassi di “nasconderlo” nel secondo strato del banner, con l’opzione di rifiuto, così da obbligare l’utente a compiere una doppia azione di rifiuto;
- Cookie non “essenziali”: indicare come essenziali (dunque obbligatori) cookie che non lo sono è palesemente illecito. L’EDPB riconosce che, considerata la volubilità dei cookie, anche se esistono vari tool automatici per fare l’elenco dei cookie, questi non siano necessariamente affidabili e quindi non è possibile definire un elenco stabile e definitivo dei cookie classificabili come essenziali, che deve quindi essere valutato caso per caso dal titolare del sito;
- Nessuna icona di revoca: una volta chiuso il banner, l’utente dovrebbe avere sempre a disposizione una icona o link che gli permetta di rivedere le proprie scelte sui cookie; soprattutto per garantire la possibilità di revocare i propri consensi con la stessa facilità con cui li si è resi
Le indicazioni fornite dall’EDPB restano comunque delle indicazioni non vincolanti per le autorità Nazionali, che potranno comunque legiferare tenendo conto delle proprie peculiarità nazionali. Restano quindi valide le linee guida sui cookie 2021 del Garante italiano , cui si affiancheranno man mano le singole valutazioni che il Garante sarà tenuto a formulare.
Lascia un commento