Cookie banner: 7 errori da non fare per essere a norma di legge
Il tema del trattamento dei dati personali non è certo passato di moda, soprattutto per quanto riguarda gli strumenti di comunicazione online, come i siti web.
Fino a giugno 2023, continua l’attività ispettiva di iniziativa curata dall’Ufficio del Garante della Privacy, anche per mezzo della Guardia di finanza, per verificare “la corretta implementazione delle Linee guida sui cookie e gli altri strumenti di tracciamento anche attraverso lo strumento degli accertamenti online”.
Non è stato introdotto alcun nuovo obbligo. Il Garante della Privacy si era già espresso in merito all’adeguamento di cookie policy e cookie banner per i portali online con il provvedimento del 10 giugno 2021 n. 231 recante “Linee guida cookie e altri strumenti di tracciamento”. Il nuovo piano ispettivo si concentrerà sulla corretta applicazione di queste linee guida e sulle modalità di acquisizione del consenso per il tracciamento dei dati personali sul web.
In particolare, è utile sapere che l’European Data Protection Board (EDPB) ha pubblicato, il 17 Gennaio 2023, un documento prodotto da una task force appositamente istituita sul tema dei cookie banner. Il risultato è un documento che fornisce indicazioni utili sulle caratteristiche necessarie per il cookie banner dei siti web.
Cookie banner: i 7 errori da non compiere
L’EDPB ha segnalato nel report le condotte considerate illegittime:
1) L’impossibilità di rifiutare il consenso nel banner iniziale del cookie widget
L’assenza nel primo strato del widget di un bottone per poter rifiutare i cookie facoltativi (esclusi quindi quelli tecnici) è considerata dall’EDPB una pratica scorretta. La legge prescrive infatti che all’utente deve sempre essere garantita la possibilità di esprimere in modo chiaro il proprio consenso per i cookie non necessari.
2) Le caselle preselezionate
Concetto semplice e conciso ribadito più volte dal Garante: i consensi dei cookie facoltativi preselezionati non sono a norma di legge. Sia nel primo che nel secondo strato del banner (a cui si accede cliccando su tasti come “mostra dettagli” o “personalizza”), le caselle preselezionate non sono considerate dalla legge una modalità valida per esprimere il consenso, e come tali sono da evitare.
3) Il design ingannevole: un link per rifiutare il consenso
L’EDPB ha individuato dei banner dove il pulsante di rifiuto è sostituito da un link che rimanda a una schermata in cui l’utente può esprimere o meno il consenso ai cookie non necessari. Secondo la task force, un banner implementato in questo modo fa credere all’utente di dover accettare tutti i cookie per poter continuare la navigazione nel sito. Si tratta di una pratica scorretta perché non colpisce l’attenzione del visitatore e non gli consente di esprimere le proprie preferenze in modo facile e intuitivo.
4) L’uso dei colori ingannevoli per i pulsanti accetta/rifiuta
I colori utilizzati nel banner e il contrasto tra i pulsanti di consenso e lo sfondo non devono essere fuorvianti per gli utenti. Non deve cioè esserci il rischio che l’utente selezioni involontariamente tutti i cookie perché ingannato dal colore dei tasti (per esempio, se il pulsante per accettare è molto più evidente di quello per rifiutare). Il documento, però, riconosce l’impossibilità di stabilire a priori quali colori si possono utilizzare e non dettaglia ulteriormente il punto con specifiche indicazioni, ritenendo si tratti di una caratteristica valutabile caso per caso.
5) Il legittimo interesse come base giuridica dichiarata
L’uso del legittimo interesse come base giuridica per il trattamento dei dati non è conforme ai regolamenti europei, e perciò è da evitare.
6) L’indicare come essenziali i cookie non essenziali
Non possono essere indicati come “essenziali” o “strettamente necessari” – cioè obbligatori – cookie che tracciano i dati personali per finalità non definite tali. Tuttavia, l’EDPB stessa constata l’impossibilità di redigere con esattezza una lista di quali cookie siano da considerarsi essenziali e quali no, dal momento che le caratteristiche dei cookie cambiano in continuazione.
7) L’impossibilità di richiamare il cookie banner
Un visitatore entra in un sito, esprime le proprie preferenze, il cookie banner scompare. Questo è ciò che di norma accade. Per l’EDPB, invece, un sito a norma di legge deve avere il cookie banner sempre richiamabile in tutte le pagine, per esempio con un’icona visibile e permanente o con un link. Non può essere imposta ai gestori dei siti web una modalità univoca per consentire la revoca del consenso, l’importante è che l’utente abbia la possibilità di modificare in ogni momento della sua navigazione le preferenze espresse.
Non basta essere conformi ai regolamenti solo la prima volta che si mette online un sito, le informative sulla privacy sono continuamente sottoposte a revisioni e modifiche. Noi di Betsoft ci affidiamo al tool ELMO di PrivacyLab per gestire i cookie dei nostri siti e quelli dei nostri clienti. Vogliamo essere sicuri di offrire un servizio sempre aggiornato e rispettoso della privacy degli utenti.