7 pratiche illecite dei cookie banner rilevate dai Garanti europei
Il tuo cookie banner è in regola o rientra tra le casistiche di pratiche illecite dell’EDPB?
Per capirlo, vediamo una per una le pratiche da evitare secondo la Cookie Banner Taskforce.
1) Nella prima schermata del banner manca il pulsante di rifiuto, che è nascosto in un sottolivello
Facci caso. Vai su un sito, compare subito il cookie banner e non trovi il pulsante “rifiuta”. Per cercarlo devi diventare di gomma. Devi accedere a “ulteriori opzioni”. Poi sei costretto a cercare l’opzione rifiuto, che di solito è nascosta. Fa capolino lì, piccola piccola, che quasi non la vedi…
Bene. La taskforce ci dice che tutti i cookies - tranne quelli tecnici – devono avere un consenso libero, consapevole e fornito con un'attività inequivocabile. Cioè un opt-in chiaro, trasparente, evidente. Non nascosto dietro l’armadio!
Ci dice anche come mettersi in regola: la prima schermata del banner cookie deve avere due bottoni evidenziati allo stesso modo, uno per il consenso e uno per il rifiuto.
Poi ci dice anche che:
- l'espressione della volontà dell'utente deve essere memorizzata in un registro elettronico apposito;
- il registro deve essere segnalato da un'icona a disposizione dell'utente;
- l’utente deve poter riaprire il registro in qualsiasi momento, così che possa, nel caso, cambiare volontà: negare o dare il consenso ai vari cookies.
2) Nella schermata di secondo livello, alcune categorie di cookies sono già selezionate, di default
No, no, no alle caselle pre-selezionate! Questa non è certo una novità… Se nel tuo cookie banner, una volta che clicchi su “impostazioni”, “scopri di più”, “personalizza le tue scelte”… vedi una sfilza di cookies già selezionati, è MALE. Non sono consensi validi!
Ti cito su questo la sentenza del 2019 della Corte di Giustizia dell’Unione Europa che dice che “nel considerando 32 "Il silenzio, le caselle preselezionate o l'inattività non dovrebbero pertanto costituire consenso". Per mettersi in regola, occorre evitare la presenza di caselle pre-selezionate nel secondo livello del banner. Inoltre in corrispondenza di ciascuna categoria di cookie deve trovarsi un tasto che – ove attivato – lasci aprire una tendina con l'elenco e la descrizione dei cookies appartenenti a quella determinata categoria che potrebbero installarsi sul dispositivo dell'utente.”
Quindi le caselle devono essere vuote, così sarà Peppino a scegliere se dire “sì, ok accetto” o “no, non accetto”.
3) Link design ingannevole e dark patterns
In questi casi il problema sta nel design dell’interfaccia. Succede quando:
- diventi di gomma per disattivare il tuo profilo su un abbonamento premium: per abbonarti ci metti un attimo, per recedere dal contratto, attraverso un link, ci metti di più che a uscire dal labirinto del Minotauro;
- nella schermata iniziale del cookie banner, c’è il pulsante accetto color rosso fuoco e il resto sembra scritto con la penna invisibile, tanto è opaco e poco attraente; l’obiettivo qui è chiaro: farti cliccare su accetto!
E poi, di solito, al posto di “rifiuto” c’è un’altra parola con un link che ti porta ai sottolivelli dove, finalmente, trovi il pulsante per dire: no, non accetto i tuoi cookies!
I Garanti ci dicono che l’utente deve essere in grado di capire a cosa acconsente e come farlo, e quindi non deve essere tratto in inganno da colori, grandezze e layout dell’interfaccia. Ci danno anche delle indicazioni per essere in regola e permettere all’utente di dare un consenso valido: “il proprietario di un sito web non deve progettare cookie banner in modo tale da dare agli utenti l'impressione di dover dare il consenso per accedere al contenuto del sito web” né che spingano chiaramente l'utente a prestare il consenso. Meglio usare pulsanti delle stesse dimensioni, ugualmente facili da leggere ed evidenziati nello stesso modo.
4) Colori e contrasti dei pulsanti ingannevoli
Di nuovo un uso “spregiudicato dei colori”, se vogliamo. Il pulsante “accetto” è vivace e accattivante. Il pulsante “rifiuto” è triste, grigino, una cosa smorta. Uno appare più evidente, l’altro meno, perché il contrasto tra i due è netto.
Rispetto a questo punto, la Taskforce ha deciso di non imporre uno standard comune. Piuttosto dice di valutare come scegliere i colori, caso per caso, sapendo che non devono esserci elementi fuorvianti.
Attenzione, però! Nella Direttiva E-Privacy è indicata chiaramente una pratica fuorviante e quindi da evitare. È questa: il pulsante “accetto” è ben visibile, quello “rifiuto” è mascherato dallo sfondo. Tipo camaleonte. Per capirci: il contrasto fra scritta e sfondo è così basso, che “rifiuto” non si legge. Occhio che se il tuo banner è così, rischi una sanzione!
5) Interesse legittimo per prescindere dal consenso, capovolgendo la Cookie Law dalla regola dell'opt-in alla regola dell'opt-out
In questo caso,il cookie banner ha la prima schermata con un pulsante “accetto”, un pulsante “ulteriori informazioni”, ma manca il pulsante “rifiuto”. Così l’utente pensa di non poter rifiutare automaticamente i cookies e di doverli disattivare in un secondo momento, come se si trattasse di un opt-out. In più, una volta che passa al secondo livello, trova il pulsante “rifiuto”, ma è insieme alle “opzioni del rifiuto” dei vari trattamenti. Il rischio qui è che pensi che debba rifiutare cookies già accettati.
In questo modo si usa la base del legittimo interesse, capovolgendo la disciplina sui cookies, dal regime di opt-in al regime di opt-out. Ma…
Il cookie banner NON può essere mai basato sul legittimo interesse!
Il legittimo interesse, anche se fa gola a molti, è una base giuridica che può essere usata solo in determinati casi e che richiede una valutazione da parte del titolare del trattamento. Questo, infatti, deve bilanciare i suoi diritti e interessi con quelli dell’utente, dimostrando perché e percome ha scelto quella base giuridica.
Occhio che il Garante, se fa un’ispezione, lo chiede… e se non si è in grado di dimostrare perché si è usato il legittimo interesse, si rischia una sanzione!
In tutti i modi, non si può usare il legittimo interesse come base giuridica dei cookies, perché dipendono dalla Direttiva E-Privacy in cui non è previsto appunto il legittimo interesse. Qui vige la Cookie Law che prevede il consenso per i cookies: o Peppino ti dà subito il consenso (opt-in) – e quindi puoi fare il trattamento – o non te lo dà. E se non te lo dà non puoi far niente. Chiaro?
Bene.
Lo ripeto: il cookie banner che si basa sul legittimo interesse è illegale!
Punto. Devi ottenere il consenso.
6) Cookies definiti essenziali anche se non lo sono
Sono i banner cookie in cui trovi “cookie essenziali”, “cookie strettamente necessari” e poi, se guardi bene, non è vero. Non sono essenziali perché non sono conformi a quanto previsto dalla legge, cioè dalla Direttiva E-Privacy.
In più, la taskforce ci dice che è molto difficile fare un elenco esaustivo dei cookie essenziali, perché le loro caratteristiche cambiano. Per cui sconsiglia di usarli. Anche perché, in caso di visita ispettiva, vai poi a giustificare e provare che effettivamente erano indispensabili… è dura, eh!
La taskforce non vieta di usare i cookies necessari. Ma ci dà dei consigli e in particolare ci dice che, per definire dei cookies “essenziali”, si può guardare il parere n°04/2012 su Cookie Consent Exemption del WP 29. Secondo questo parere: potrebbero essere considerati essenziali quei cookies che “consentono ai proprietari di siti web di conservare le preferenze espresse dagli utenti in merito un servizio”.
7) Manca l’icona per la revoca del consenso
Quando si progetta la cookie policy vale questo principio: l’utente deve poter revocare il consenso in un attimo. Se può darlo in un attimo, allora deve poterlo revocare ugualmente in un attimo. Chiaro?
Allora, i Garanti ci dicono: metti un’icona ben visibile in ogni pagina del sito, per poter revocare i consensi, come previsto nella Direttiva E-Privacy; che, a sua volta, prevede un triplice obbligo:
1 – l’utente deve poter revocare il consenso
2 – l’utente deve essere capace di revocare il consenso in qualsiasi momento
3 – la revoca del consenso deve essere facile come dare il consenso
Queste le regole. Poi la taskforce ci dice anche che non è possibile trovare un modello unico e standard. Quindi bisogna ragionare cum grano salis, seguendo il principio che ho già citato, per cui l’utente deve revocare il consenso con la stessa facilità con cui lo dà.