29 settembre 2023
Cookie banner, cos’è e quali sono le pratiche illecite da evitare
Scritto daAlex Baldarelli
Il cookie banner negli ultimi anni è veramente diventato l’elemento ovunque della nostra navigazione sul web: a volte fastidioso per l’utente, ma indispensabile per essere “a norma di legge” con il proprio sito.
Il 1° novembre 2019, infatti, la Corte di Giustizia Europea ha stabilito che ogni sito web deve obbligatoriamente disporre di un cookie banner (così come di una cookie policy): ogni webmaster quindi deve implementarlo sul proprio sito. Ma che cos’è esattamente un cookie banner e qual è la sua funzione?
In questo articolo vedremo le caratteristiche del cookie banner e approfondiremo tutto quello che devi sapere per essere in regola con la normativa GDPR e la Direttiva “ePrivacy” – 2002/58, soprattutto per quanto concerne la fase di posizionamento o lettura dei cookie.
Cookie e banner: cosa sono e a cosa servono
Il cookie banner non è altro che un pop-up che avvisa il visitatore che stai utilizzando i cookie, ossia piccoli file di testo che vengono archiviati nel browser dell’utente e che contengono informazioni quali la lingua di fruizione, ma anche interessi e dati identificativi come il dispositivo utilizzato per navigare e l’indirizzo IP. Poiché, attraverso questi dati è possibile ricondurre all’identità dell’utente, sono da considerare a tutti gli effetti dati personali, per questo sono regolamenti dalla normativa GDPR.
I cookie, da una parte, migliorano l’esperienza dell’utente, dall’altra, in alcuni casi, monitorano il comportamento del visitatore, con due obiettivi ben precisi:
Negli altri casi, ossia per i cookie di profilazione, è obbligatorio sì informare l’utente dei diritti riguardo alla raccolta di dati personali, ma soprattutto richiedere il consenso all’installazione.
In sostanza, attraverso il banner, l’utente può scegliere se limitarsi ai cookie essenziali, necessari al completo funzionamento del sito, oppure concedere il consenso all’installazione dei cookie “traccianti”.
Il banner, anche attraverso un link alla cookie policy deve, inoltre, contenere informazioni specifiche su:
Cookie banner e normative: cosa devi sapere
L’ormai lontano 10 giugno 2021, Il Garante della Privacy emanò le Linee Guida sui cookie e sui diversi strumenti di tracciamento. Nello stesso anno, è stata istituita ad hoc una vera e propria Task Force, con il compito specifico di gestire i tanti reclami relativi all’implementazione dei cookie banner pervenuti alle diverse autorità di controllo europee. Oltre 700 di queste segnalazioni vennero inviate da NOYB, un team di legali che, in tutta Europa e per conto di diversi interessati, ha contestato pratiche ritenute illecite nell’utilizzo dei cookie banner.
L’EDPB (European Data Protection Board), il Comitato Europeo per la protezione dei dati, avvalendosi di questa Task Force, ha analizzato i reclami pervenuti e ha quindi prodotto un report contenente indicazioni specifiche che le aziende devono fare proprie relativamente al’uso di cookie banner sul proprio sito web. Vediamo quali sono questi “suggerimenti”, che non sono vincolanti, non sostituiscono le Linee Guida, né la normativa nazionale, ma possono avere effetti sulle valutazioni che esprime il Garante caso per caso. Per questo, conoscerli e applicarli è sicuramente la scelta migliore, nell’ottica dell’implementazione di un cookie banner che rispetti e sia conforme a uno standard comune. Insomma, un documento di orientamento di cui non possiamo che farne tesoro.
I principali errori che NOYB ha segnalato alle autorità di controllo in tutta Europa e che sono diventate oggetto del report dell’EDPB riguardano soprattutto il layout e i cosiddetti dark pattern, ma non solo. Questi non sono altro che delle interfacce progettate per spingere l’utente a compiere delle scelte inconsapevoli, falsando così la raccolta del consenso.
L’EDPB ha evidenziato sette diverse pratiche illecite riguardanti i cookie banner e riscontrate in diversi siti web, fornendo al contempo dei suggerimenti per modificare queste implementazioni e adeguare i banner alle normative GDPR, rispondendo così ai reclami presentati dal team NOYB. Insomma, una serie di check-list che ogni proprietario di sito web deve seguire e spuntare come “fatto” per dormire sonni tranquilli e non rischiare di cadere in sanzioni salatissime.
Realizziamo siti web sempre sicuri e a norma con la Cookie Law: contattaci subito per un preventivo!
Il 1° novembre 2019, infatti, la Corte di Giustizia Europea ha stabilito che ogni sito web deve obbligatoriamente disporre di un cookie banner (così come di una cookie policy): ogni webmaster quindi deve implementarlo sul proprio sito. Ma che cos’è esattamente un cookie banner e qual è la sua funzione?
In questo articolo vedremo le caratteristiche del cookie banner e approfondiremo tutto quello che devi sapere per essere in regola con la normativa GDPR e la Direttiva “ePrivacy” – 2002/58, soprattutto per quanto concerne la fase di posizionamento o lettura dei cookie.
Cookie e banner: cosa sono e a cosa servono
Il cookie banner non è altro che un pop-up che avvisa il visitatore che stai utilizzando i cookie, ossia piccoli file di testo che vengono archiviati nel browser dell’utente e che contengono informazioni quali la lingua di fruizione, ma anche interessi e dati identificativi come il dispositivo utilizzato per navigare e l’indirizzo IP. Poiché, attraverso questi dati è possibile ricondurre all’identità dell’utente, sono da considerare a tutti gli effetti dati personali, per questo sono regolamenti dalla normativa GDPR.
I cookie, da una parte, migliorano l’esperienza dell’utente, dall’altra, in alcuni casi, monitorano il comportamento del visitatore, con due obiettivi ben precisi:
- analizzare l’andamento del sito web
- creare profili di retargeting a cui indirizzare campagne marketing.
Negli altri casi, ossia per i cookie di profilazione, è obbligatorio sì informare l’utente dei diritti riguardo alla raccolta di dati personali, ma soprattutto richiedere il consenso all’installazione.
In sostanza, attraverso il banner, l’utente può scegliere se limitarsi ai cookie essenziali, necessari al completo funzionamento del sito, oppure concedere il consenso all’installazione dei cookie “traccianti”.
Il banner, anche attraverso un link alla cookie policy deve, inoltre, contenere informazioni specifiche su:
- quali cookie o altre tecnologie di tracciamento vengono impiegate;
- il titolare dei cookie
- le finalità di installazione dei cookie e le attività di terze parti legate ai cookie
- tempo di archiviazione e conservazione dei cookie nel browser dell’utente.
Cookie banner e normative: cosa devi sapere
L’ormai lontano 10 giugno 2021, Il Garante della Privacy emanò le Linee Guida sui cookie e sui diversi strumenti di tracciamento. Nello stesso anno, è stata istituita ad hoc una vera e propria Task Force, con il compito specifico di gestire i tanti reclami relativi all’implementazione dei cookie banner pervenuti alle diverse autorità di controllo europee. Oltre 700 di queste segnalazioni vennero inviate da NOYB, un team di legali che, in tutta Europa e per conto di diversi interessati, ha contestato pratiche ritenute illecite nell’utilizzo dei cookie banner.
L’EDPB (European Data Protection Board), il Comitato Europeo per la protezione dei dati, avvalendosi di questa Task Force, ha analizzato i reclami pervenuti e ha quindi prodotto un report contenente indicazioni specifiche che le aziende devono fare proprie relativamente al’uso di cookie banner sul proprio sito web. Vediamo quali sono questi “suggerimenti”, che non sono vincolanti, non sostituiscono le Linee Guida, né la normativa nazionale, ma possono avere effetti sulle valutazioni che esprime il Garante caso per caso. Per questo, conoscerli e applicarli è sicuramente la scelta migliore, nell’ottica dell’implementazione di un cookie banner che rispetti e sia conforme a uno standard comune. Insomma, un documento di orientamento di cui non possiamo che farne tesoro.
I principali errori che NOYB ha segnalato alle autorità di controllo in tutta Europa e che sono diventate oggetto del report dell’EDPB riguardano soprattutto il layout e i cosiddetti dark pattern, ma non solo. Questi non sono altro che delle interfacce progettate per spingere l’utente a compiere delle scelte inconsapevoli, falsando così la raccolta del consenso.
L’EDPB ha evidenziato sette diverse pratiche illecite riguardanti i cookie banner e riscontrate in diversi siti web, fornendo al contempo dei suggerimenti per modificare queste implementazioni e adeguare i banner alle normative GDPR, rispondendo così ai reclami presentati dal team NOYB. Insomma, una serie di check-list che ogni proprietario di sito web deve seguire e spuntare come “fatto” per dormire sonni tranquilli e non rischiare di cadere in sanzioni salatissime.
- Il pulsante “Rifiuta” deve essere sempre in primo piano. Molte volte notiamo che un banner presenta solo due opzioni “Accetta” e “Altro”. Questa modalità non consente all’utente di negare in modo facile e veloce il consenso all’utilizzo dei cookie che possono essere installati solo dopo aver acquisito l’autorizzazione, ossia quelli di profilazione. Il costringere l’utente a ulteriori e spesso difficoltose azioni per manifestare il rifiuto rappresenta una violazione della normativa perché, talvolta, l’utente accetta le condizioni per proseguire con la navigazione, non trovando immediatamente il pulsante “rifiuta”. La taskforce indica, invece, che tutti i cookie devono disporre di un consenso libero, consapevole e fornito con un’attività chiara e inequivocabile con due pulsanti nella prima schermata del banner: “Accetta e Rifiuta”, con un link al registro elettronico in cui sono espresse le volontà dell’utente, lasciandogli la possibilità di cambiarle.
- L’utente deve poter continuare la navigazione sul sito anche senza cookie di profilazione. L’assenza del pulsante di rifiuto in primo piano può indurre l’utente a pensare che occorra inevitabilmente prestare il consenso per navigare sul sito e per questo sentirsi obbligato a concederlo. Questo non deve mai accadere: l’utente deve conoscere il significato del banner e le finalità della richiesta di consenso, con la possibilità di visitare il sito anche senza rilasciarlo.
- Mai e poi mai caselle pre-selezionate nel secondo livello del cookie banner! Il cookie banner deve concedere all’utente la facoltà di personalizzare le proprie scelte e decidere a quali categorie di cookie approvare. Ecco perché deve essere presente in primo piano una voce del tipo “personalizza le tue scelte”, “altre opzioni”, oppure “preferenze”, così l’utente può accedere a un secondo livello del cookie banner. Qui il visitatore non deve mai trovare le caselle pre-selezionate, ma devono essere vuote: i consensi pre-selezionati NON sono consensi validi!
- Pulsanti “Accetta” e “Rifiuta”: attenzione alla leggibilità! La Task Force sottolinea come l’implementazione del cookie banner deve rispettare determinati colori. Quali? Non è importante, ciò che conta è la leggibilità rispetto allo sfondo del banner. Dall’analisi di alcuni casi, è stata riscontrata una netta disparità tra il pulsante “Accetta tutto” e gli altri: un contrasto tra il testo e lo sfondo talmente minimo che il testo del pulsante “Rifiuta” risulta illeggibile per chiunque. Insomma, nessun limite in termini di colori, l’importante è che tutte le opzioni siano leggibili allo stesso modo, senza “giocare” su font, colori e dimensioni per indurre l’utente, con l’inganno, a cliccare su “Accetta”. Attenzione: come abbiamo indicato prima, l’EDPB, mediante la propria Task Force propone dei suggerimenti, ma la Direttiva E-Privacy contiene una vera e propria normativa che non si può non rispettare: nascondere il pulsante di rifiuto è una pratica illecita e puoi rischiare una sanzione!
- Cookie essenziali o non essenziali: non mentire! Capita che alcuni cookie di profilazione vengano classificati come “essenziali” o “strettamente essenziali” per poter navigare sul sito, quando in realtà non lo sono. L’EDPB riconosce che non è semplice categorizzare i cookie e che talvolta gli stessi strumenti non consentono di predisporre un elenco di cookie attendibile. Il consiglio è quello di fare riferimento all’Opinion WP29 n. 04/2012 on Cookie Consent Exemption, che riporta alcuni esempi di cookie che possono essere classificati come essenziali. Attenzione, come ricorda L’EDPB, l’errata classificazione costituisce un illecito!
- Non ingannare l’utente con il link design! Sono stati riscontrati casi in cui il pulsante rifiuta è stato sostituito con un link, spesso con rimando a un secondo livello del banner, tale da rendere complicato, se non impossibile, rifiutare il consenso. La progettazione del cookie banner deve sempre prevedere, come detto, due pulsanti ben visibili “Accetta” e “Rifiuta” in primo piano e lasciare all’utente la possibilità di navigare anche senza consenso.
- Revoca del consenso: prima sì, poi no. Così come l’utente può concedere (o rifiutare) il consenso facilmente, deve poter, altrettanto semplicemente, revocarlo. Al di là del cookie banner, ogni visitatore deve avere la possibilità di farlo con un’icona sempre visibile o un link posto in un punto di immediata visibilità. E’ la stessa Direttiva E-Privacy a porre l’obbligo di prevedere per l’utente la revoca del consenso e di poterlo fare in qualsiasi momento.
Realizziamo siti web sempre sicuri e a norma con la Cookie Law: contattaci subito per un preventivo!
