Cookie banner e dark pattern: documento dell’EDPB chiarisce alcuni dubbi. Nessun nuovo obbligo, solo utili indicazioni su casi concreti.
Il documento dell’EDPB: motivazione
L’EDPB ha pubblicato il 18 Gennaio un documento prodotto da una task force ad hoc sul tema dei cookie banner. Task force nata in seguito al molteplici reclami presentati, praticamente in tutta Europa, dal gruppo NOYB di Max Schrems. Parliamo di un’associazione molto attenta alla privacy online e che, nei fatti, possiamo ritenere artefice della dichiarazione di illegittimità del Privacy Shield, l’accordo che regolava il trasferimento dati dei cittadini UE in server USA. NOYB ha presentato, lo scorso anno, più di 700 reclami in tutta Europa relativi all’uso di cookie banner in maniera illecita. La mole di reclami ha indotto l’EDPB a formare la task force per trovare una soluzione e un orientamento comuni. Ne è emerso un documento piuttosto generico, ma che fornisce alcune indicazioni utili.
Il tema dei cookie resta un tema molto dibattuto, anche perché in Europa, è regolato da due diverse normative, il GDPR da un lato e la Direttiva ePrivacy dall’altro. Normative che hanno generato scelte difformi tra autorità di Stati diversi, che hanno prodotto in autonomia, linee guide non sempre armoniche tra loro.
Cookie banner e dark pattern: logica e metodologia del documento dell’EDPB
Il documento, più correttamente dovremmo chiamarlo Report, è un elenco di casistiche. La maggior parte delle casistiche analizzate e definite originano proprio da casi concreti sui quali NYOB ha presentato reclamo. Una metodologia non nuova: l’EDPB ha già emanato, secondo una logica assai simile, una serie di linee guida sui dark pattern nei social media. Questo documento sui cookie banner è molto simile a quelle linee guida, nella logica, nell’organizzazione e nei fondamenti: semplicemente dettaglia un campo attiguo. Ne emerge una lista di errori, una black list di “pratiche scorrette” che chi gestisce un sito web con l’uso di cookie deve tenere a mente. Molte di queste casistiche hanno a che fare con layout di un sito.
Cookie banner e dark pattern: la casistica analizzata e i 7 errori da non compiere
La casistica analizzata nel documento elenca 7 diversi scenari, i classici errori da non compiere. Con ordine:
1. nessuna possibilità di rifiuto nel primo strato
I cookie banner presentano più strati. Il primo offre scelte “più generali”, nel secondo invece solitamente si trovano le scelte più approfondite, per esprimere un consenso granulare “cookie per cookie”. L’EDPB sottolinea come sia da considerare un errore il mancato inserimento nel primo strato del bottone per poter rifiutare, fin da subito, i cookie facoltativi (esclusi quindi quelli tecnici).
2. caselle pre-spuntate:
forse non c’era bisogno di ribadirlo, visto che il punto è stato ribadito più e più volte. Comunque l’EDPB ricorda che qualsiasi tipologia di preselezione dei consensi è da ritenersi illegittima. E qui tutto ok, ma c’è un punto che l’EDPB non ha dettagliato. Quali ragioni potrebbero invalidare la preselezione dei cookie tecnici, se questi sono essenziali per l’uso del sito web?
3. colore dei pulsanti ingannevole:
si, parlando di layout anche i colori sono importanti. L’EDPB spiega che i colori utilizzati e il contrasto non devono essere fuorvianti per gli utenti. Per “fuorvianti” si intende il rischio che i colori portino l’utente ad esprimere consensi involontari. Il documento però non dettaglia ulteriormente il punto con specifiche indicazioni UX. Sul punto c’è una recente sentenza del Garante danese – Consenso cookie: il design del sito può portare a violare il GDPR
3 bis. pulsanti ingannevoli:
Ribadisce il punto precedente, ma afferisce ad una casistica leggermente differente: il contrasto di colori può tramutarsi in un dark pattern. In dettaglio l’EDPB indica casi in cui il contrasto tra il colore di sfondo del pulsante e quello del testo del pulsante è così basso da rendere illeggibile il testo.
4. link design ingannevole
Il pulsante di rifiuto non si può sostituire con un link. “Il titolare di un sito web non deve progettare il cookie banner in modo da dare agli utenti l’impressione di dover dare un consenso per accedere al contenuto del sito web, né che spinga chiaramente l’utente a dare il consenso” si legge nel documento. Ne consegue che il cookie banner non deve riportare frasi con link, indipendentemente che si trovino dentro o fuori il banner cookie. Semplicemente perché così la scelta di rifiutare i cookie non ha sufficiente “supporto visivo”. Insomma c0sì approntato, il rifiuto dei cookie può non colpire l’attenzione dell’utente.
5. legittimo interesse come base giuridica dichiarata
Qui l’EDPB è netta: l’uso del legittimo interesse come base giuridica per il trattamento dati è GENERALMENTE errato. Non solo: è prassi assai diffusa quella di nascondere questa base giuridica nel secondo strato del cookie banner, con eventuale pulsante per opporsi al trattamento. Per l’EDPB questa pratica è una truffa, in quanto fa credere all’utente che sia necessario un doppio rifiuto per impedire il trattamento: un rifiuto per negare il consenso e un secondo rifiuto per impedire il trattamento per legittimo interesse.
6. cookie non essenziali indicati come essenziali
L’EDPB precisa che non possono essere indicati come essenziali, cioè obbligatori, cookie che non lo sono. L’EDPB non fornisce, però, un elenco di cookie considerabili come essenziali, proprio per l’impossibilità concreta di produrre tale lista. D’altronde, spiega, le caratteristiche dei cookie cambiano regolarmente.
7. nessuna icona richiama il banner
Questo è un classico: l’utente esprime le proprie preferenze, il cookie banner si chiude e scompare. L’EDPB ricorda che l’utente deve poter sempre, molto facilmente, cambiare le preferenze. Il cookie banner quindi deve essere richiamabile sempre, tramite un’icona o un link o altri accorgimenti. Importante che, nel complesso, concedere e revocare il consenso siano azioni che l’utente può compiere con la stessa facilità.
Il documento dell’EDPB: quali conseguenze?
L’EDPB ha circoscritto l’impositività di queste indicazioni. Il report, cioè, non è una raccomandazione e non necessità di alcuna approvazione da parte delle autorità nazionali. I Garanti nazionali hanno autonomia, potranno valutare caso per caso secondo la normativa nazionale, le linee guida proprie ecc…
Sicuramente la casistica elencata riferisce a situazioni non conformi alla normativa e che quindi potrebbero, potenzialmente, sfociare in sanzioni.
Acconsento.click è aggiornato alle Nuove Linee Guida del Garante in materia Cookie entrate in vigore il 10 Gennaio 2022
e consente di mettere in conformità i siti web alle Direttiva ePrivacy e al
GDPR – Regolamento Europeo per la Protezione dei Dati Personali (GDPR EU 2016/679).