Cookie banner, novità sulle linee guida del Comitato Europeo per la protezione dei dati

La  normativa che disciplina l’utilizzo dei  cookie è  frammentaria, contenuta sia nel GDPR che nella Direttiva “ePrivacy”.  L’assenza di una normativa unica, ha portato a differenti interpretazioni da parte delle diverse Autorità privacy Europee sui requisiti che i cookie banner dovrebbero possedere.

Si è reso necessario un intervento da parte del Comitato Europeo per la protezione dei dati, al fine di giungere ad una comune interpretazione sui requisiti necessari.  In data 18 gennaio 2023,  il EDPB ha pubblicato una bozza relativa alle linee guida per l’acquisizione del consenso tramite cookie banner.

Ad oggi  la fase di deposito e  lettura dei cookie sul dispositivo utente viene disciplinata dalla direttiva ePrivacy, mentre il trattamento dei dati è disciplinato dal GDPR.

Il documento vuole essere una risposta alle problematiche sorte in merito all’applicazione della normativa, si tratta di un’elencazione di comportamenti che i titolari dei siti dovrebbero evitare di  adottare così da essere.

Le categorie di comportamenti  individuate nella bozza sono sette.

1. Assenza del pulsante di rifiuto nella prima finestra che si apre sul sito: i banner sono formati da più finestre che si aprono sui dispositivi degli utenti. Nella prima finestra, l’interessato dovrebbe poter rifiutare, da subito,  tutti  i cookie facoltativi ( sono esclusi i cookie tecnici).  Il Comitato non da alcuna indicazione sui termini da utilizzare; il titolare potrà utilizzare termini quali rifiutare, respingere, non consentire ecc…
2. Consensi preselezionati:  l’Autorità considera non conforme ogni eventuale preselezione di accettazione all’utilizzo dei cookie; nel documento non si entra nello specifico circa i cookie tecnici,  necessari per il funzionamento del sito. Questa indicazione  sembrerebbe suggerire, che tali cookie non dovrebbero essere  oggetto di presentazione grafica nella casella di selezione dei consensi da parte dell’interessato.
3. Link design ingannevole: non si può sostituire il pulsante di rifiuto con l’apertura ipertestuale di un secondo strato del banner. L ’EDPB ha precisato che  “in ogni caso il titolare di un sito web non deve progettare il cookie banner in modo da dare agli utenti l’impressione di dover dare un consenso per accedere al contenuto del sito web, né che spinga chiaramente l’utente a dare il consenso”.
4. Colore da adottare per i pulsanti: l’Autorità non può imporre l’utilizzo di colori standard per i cookie banner. Tuttavia, si deve procedere ad un analisi caso per caso, per verificare che il contrasto e i colori  “non siano palesemente fuorvianti per gli utenti e non comportino un consenso involontario e, come tale, non valido”. Per quanto riguarda il contrasto dei colori, l’ EDPB specifica che non è consentito offrire un’azione alternativa diversa dall’acquisizione del consenso, tramite  “un pulsante in cui il contrasto tra il testo e lo sfondo del pulsante è così minimo che il testo è illeggibile praticamente da qualsiasi utente”.
5. Interesse legittimo: si sottolinea che l’indicazione della base dell’interesse legittimo è generalmente errata,  la prassi di includerlo nel secondo strato del banner, con l’eventuale pulsante di opposizione al trattamento inerente, rappresenta una violazione della normativa  – poiché  l’interessato crede di dover cliccare due volte per impedire il trattamento,  prima tramite il suo suo esplicito consenso e successivamente sulla base di un legittimo interesse.
6. Cookie non “essenziali”: il titolare del sito non può indicare come essenziali cookie che non lo sono. Non è possibile  a priori creare una elencazione tassativa di  cookie tecnici, è vero che esistono vari tool che consentono di elencare i cookie, tuttavia la valutazione e classificazione resta comunque in capo al titolare.
7. Assenza di icone di revoca: successivamente alla chiusura del banner, dovrebbe essere messa a disposizione dell’utente la possibilità di poter revocare le proprie scelte sui cookie nella sessa  con cui lo ha prestato, non viene imposta una soluzione univoca, ma si rimanda all’analisi dei singoli casi.

La bozza sulle linee guida per i cookie  dovrà essere discussa ed approvata. Ad oggi, le linee guida su cookie rilasciate dal Garante nel 2021 restano pienamente valide.

di Chiara Aiello