La Cookie Banner Taskforce dei Garanti Privacy UE ha stilato un rapporto sui cookies banners rilevandone le pratiche illegali di realizzazione ed indicando come correggersi per mettersi in regola.
Le pratiche illegali rilevate sono sette “Nessuna opzione di rifiuto sul primo livello ma nascosta in un sottolivello ” “Caselle pre-selezionate invece di consenso attivo” “Link Design ingannevole” e Dark Patterns “Colori dei pulsanti Ingannevoli” e “Contrasti dei pulsanti Ingannevoli” “Interesse legittimo per prescindere dal consenso” capovolgendo la Cookie Law dalla regola dell'opt-in alla regola dell'opt-out “Cookies inaccuratamente definiti Essenziali” “Nessuna Icona di Revoca del consenso”. Si tratta di una bozza che non diverrà un parere cogente perché la materia dei cookies non è sottoposta alla disciplina del One Stop Shop. Tuttavia i Garanti Privacy hanno ritenuto importante fornire dei consigli che inducano i titolari del trattamento a convergere spontaneamente verso un modello comune di cookies banner. Vediamo dunque queste sette pratiche illegali prendendo ispirazione per svolgere al meglio il nostro lavoro. Le centinaia di reclami di Noyb alla base del Rapporto sui Cookie Banner. Sono state le centinaia e centinaia di reclami dell'associazione Noyb di Max Schrems a fornire lo stimolo ai Garanti Privacy UE per redigere il Rapporto sui Cookie Banner grazie all'operato dell'apposita Cookie Banner Taskforce . La Taskforce è nata a partire dal settembre 2021 ed ha vagliato da allora i 700 reclami di Noyb. L'obiettivo di una simile attività si sostanzia nel ricercare il minimo comune denominatore di legalità per la realizzazione dei cookie banner. Sono stati rilevati sette gruppi di casi illeciti ciascuno riconducibile sotto una determinata attività. Evidenziando gli errori, viene fornita anche la soluzione corretta e conforme alla Direttiva e-privacy. 1. “Nessun pulsante di rifiuto sulla prima schermata del banner” ma nascosto nel secondo livello. Esistono banner in cui è evidente il bottone del consenso mentre non esiste sulla prima schermata il bottone del rifiuto bensì un pulsante che consente all'interessato di accedere a ulteriori opzioni, senza però accedere al tasto per rifiutare i cookies. In molti casi, l'utente è costretto ad immergersi nei sottomenù per trovare l'opzione di rifiuto che era stata ben nascosta. La Taskforce spiega che tutti i cookies salvo quelli tecnici – necessitano di un previo opt-in consenso libero, consapevole e fornito con un'attività inequivocabile. Per mettersi in regola occorre che la prima schermata del banner rechi due bottoni egualmente evidenziati uno per il consenso e uno per il rifiuto. L'espressione della volontà dell'utente dev'essere memorizzata in un apposito registro elettronico segnalato distintamente da un'icona a disposizione dell'utente affinchè possa riaprirlo in qualsiasi momento ed esprimere delle volontà diverse da quelle originariamente prestate. 2. “Caselle pre-selezionate”. Esistono banner in cui nella schermata del secondo livello ovvero quello a cui si accede selezionando il tasto “impostazioni” o “scopri di più” o “personalizza le tue scelte” appaiono le varie categorie di cookies di cui alcune sono già selezionate di default. Chiaramente queste spunte sulla casella non costituiscono un consenso valido “10. […] si veda in particolare il considerando 32 Il silenzio, le caselle preselezionate o l'inattività non dovrebbero pertanto costituire consenso . Per mettersi in regola, occorre evitare la presenza di caselle pre-selezionate nel secondo livello del banner . Inoltre in corrispondenza di ciascuna categoria di cookie deve trovarsi un tasto che – ove attivato – lasci aprire una tendina con l'elenco e la descrizione dei cookies appartenenti a quella determinata categoria che potrebbero installarsi sul dispositivo dell'utente CGUE 1.10.2019 Caso Planet 49 sul divieto delle caselle preselezionate . 3. “Link design ingannevole” e dark patterns. Esistono banner che utilizzano pratiche di link design ingannevoli si tratta dei c.d. dark patterns. Forgiati nell'ambito del neuromarketing, sono schemi intessuti nel design dell'applicazione che forzano l'utente a fare itinerari che non avrebbe voluto intraprendere. Si tratta della User Experience Design ovvero della disciplina sulla progettazione design delle esperienze dell'utente nel mondo digitale rendere più piacevole o meno piacevole la navigazione . Esempi di tali modelli oscuri dark patterns sono le trafile interminabili per disattivare il nostro profilo su un abbonamento premium chiaro il fine nascosto dell'azienda di rendere molto difficile la disattivazione in quanto perdita di un cliente. Risulta facilissimo abbonarsi mentre recedere dal contratto “grazie” al link design diventa un vero e proprio rompicapo. Parimenti in alcuni cookies banners la schermata iniziale o primo livello presenta in bella mostra il pulsante “accetto” appaiato con una scritta poco appariscente che volutamente si minimizza affinchè l'attenzione dell'utente sia catalizzata da “accetto”. Inoltre questa “scritta dimessa” non specifica la volontà di rifiutare bensì contiene una parola-link che calamita il navigatore nella vertigine dei sottolivelli dov'è inabissato il pulsante “rifiuto”. Per essere in regola occorre che il consenso sia valido e quindi l'utente -a differenza di quanto accade nei dark patterns dovrebbe essere in grado di capire a cosa acconsente e come farlo . Si legge nel Rapporto «Affinché un valido consenso possa essere dato liberamente, i membri della task force hanno convenuto che in ogni caso un proprietario di un sito web non deve progettare cookie banner in modo tale da dare agli utenti l'impressione di dover dare il consenso per accedere al contenuto del sito web, né [realizzare cookies banner] che sping[ono] chiaramente l'utente a prestare il consenso». Essenziale – ribadisce la Taskforce – è evitare il rischio che la progettazione del banner link design induca in errore l'utente «Per non indurre in errore gli utenti, la Taskforce raccomanda ai titolari del trattamento dei dati di garantire che le interfacce per la raccolta delle scelte non incorporino pratiche di progettazione potenzialmente fuorvianti che inducano gli utenti a ritenere che il loro consenso sia obbligatorio o che visivamente valga più una scelta rispetto a un'altra. Si consiglia di utilizzare pulsanti e caratteri della stessa dimensione, che offrano la stessa facilità di lettura ed evidenziati allo stesso modo». 4. “Colori dei pulsanti ingannevoli” e “Contrasti dei pulsanti ingannevoli”. Ulteriori tecniche di confondimento della mente del povero navigatore consistono nell'assegnare colori vivaci al pulsante “accetto” e colori smorti al pulsante “rifiuto” . O ancora giocare sui contrasti tra i pulsanti in modo da favorire la selezione dell'uno piuttosto che quella dell'altro. In questi casi tuttavia, la Taskforce ha deciso di non imporre uno standard comune sull'aspetto colori e/o contrasti del Cookie banner lasciando all'analisi del “ caso per caso ” il compito di verificare se via siano stati elementi fuorvianti sebbene siano stati individuati alcuni esempi di caratteristiche manifestamente contrarie alle disposizioni della direttiva ePrivacy. A tal riguardo è stata stigmatizzata come fuorviante la pratica di presentare il pulsante del consenso nettamente distinguibile mentre invece il pulsante del rifiuto viene reso illeggibile dall'assenza di contrasto tra il colore della scritta e quello dello sfondo. Pertanto, ove il nostro cookies banner avesse queste caratteristiche, sarebbe raccomandabile correggerlo per evitare il rischio di sanzioni. 5. “Interesse legittimo per prescindere dal consenso” capovolgendo la Cookie Law dalla regola dell'opt-in alla regola dell'opt-out. Esistono dei cookies banners che presentano una prima schermata in cui campeggiano il pulsante “accetto” e il pulsante di “ulteriori informazioni” ma risulta del tutto assente il pulsante “rifiuto” . Pertanto l'utente medio viene indotto a pensare che non possa rifiutare l'applicazione automatica dei cookies ma che possa soltanto in un secondo momento provvedere a disattivarli come se si fosse in un regime di opt-out . Inoltre questa idea viene rafforzata nel secondo livello in cui per la prima volta appare il pulsante “rifiuto” come se si trattasse del rifiuto postumo dei cookies già applicati regime di opt-out accompagnato dal pulsante sulle opzioni di rifiuto -sempre a posteriori opt-out dei trattamenti conseguenti a quelli di raccolta già operati dai cookies. I titolari del trattamento fondano sull'interesse legittimo sottoposto alla legge generale dell'articolo 6, par.1, lett.f, GDPR il capovolgimento della disciplina sui cookies sottoposta alla legge speciale della Direttiva e-privacy 2002/58 dal regime di opt-in al regime di opt-out. I casi in cui è possibile invocare la base giuridica dell'interesse legittimo non sono molti. L'articolo 6, par.1, lett.f, GDPR sostiene che «1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni […] f il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore». I casi non sono molti perché nell'ambito del regime di accountability , il titolare deve eseguire un bilanciamento dei diritti e degli interessi tra la propria posizione e quella dell'interessato secondo criteri validi e dimostrabili di fronte ad un'eventuale ispezione del Garante Privacy. Pertanto la base giuridica dell'interesse legittimo è sempre un po' rischiosa perché se è stato errato il bilanciamento si può incorrere in sanzioni. Nell'epoca pre GDPR i casi ove esisteva l'interesse legittimo venivano preventivamente vagliati dal Garante su richiesta del titolare del trattamento e quindi il rischio di sanzioni era scongiurato in partenza. I titolari del trattamento sono consapevoli della instabilità della base giuridica dell'interesse legittimo e quindi lo adottano solo quando sono molto sicuri del bilanciamento eseguito. Da qui l'esiguità dei casi. Ricordata la figura dell'interesse legittimo disciplinata dall'articolo 6, par.1, lett.f, GDPR legge generale , non ci vuole molto a capire che questa fattispecie non può essere applicata nel mondo dei cookies perché quest'ultimo è soggetto alla legge speciale della Direttiva e-privacy che mai contempla l'istituto dell'interesse legittimo. La Cookie Law ex articolo 5, par.3, Direttiva e-privacy fonda il trattamento con questi marcatori elettronici unicamente sul previo consenso. Nella Cookie Law non ci sono scappatoie o ottieni preventivamente il consenso dell'interessato opt-in e solo dopo procedi al trattamento oppure, senza consenso, non fai nulla. La Taskforce infatti tiene a precisare questo aspetto e specifica che il trattamento con i cookies soggiace alla legge speciale della Direttiva e-privacy opt-in, solo consenso preventivo mentre l'interesse legittimo opt-out, si prescinde dal consenso preventivo soggiace alla legge generale del GDPR . Pertanto l'interesse legittimo, figura della legge generale, non può essere assunto in un settore soggetto a una legge speciale che non lo prevede. Conclusione i cookies banner fondati sull'interesse legittimo sono illegali. Semmai i trattamenti successivi derivati dalla raccolta dati con i cookies essendo sottoposti al GDPR potrebbero basarsi sull'interesse legittimo. In definitiva prima devo ottenere il consenso alla raccolta dati con i cookies poi, solo dopo, sui dati così raccolti posso eseguire un trattamento a prescindere dal consenso basandomi sull'interesse legittimo. 6. “Cookies inaccuratamente definiti essenziali”. Esistono banner in cui i cookies vengono presentati come “essenziali” o “strettamente necessari” mentre così non è perché gli scopi di quei “trattamenti essenziali” non verrebbero considerati indispensabili o “strettamente necessari” secondo il dettato dell'articolo 5, par. 3 della Direttiva e-privacy. La Taskforce osserva che esistono difficoltà oggettive per stilare un elenco di cookies essenziali in quanto «le caratteristiche dei cookie cambiano regolarmente, il che impedisce la creazione di un elenco stabile e affidabile di tali cookie essenziali». Pertanto risulta prudente evitare di adottare la qualifica di “cookie essenziale” perché in un'eventuale ispezione si dovrebbe dimostrare l'effettività di tale qualifica, impresa assai ardua. La Taskforce tentando di fornire qualche criterio per la determinazione di siffatta qualifica indica il riferimento del parere n°04/2012 su Cookie Consent Exemption del WP 29, dove, in particolare, si evince il criterio secondo cui cookies essenziali potrebbero essere considerati quelli che “consentono ai proprietari di siti web di conservare le preferenze espresse dagli utenti in merito un servizio”. 7. “Nessuna icona di revoca del consenso”. Revocare il consenso dev'essere facile come prestarlo. Questo è il principio che deve guidare la progettazione della cookies policy. A tal riguardo, viene suggerito di introdurre un' icona sospesa permanente ben visibile su ciascuna pagina del sito relativa alla “Revoca dei Consensi”. La Taskforce ricorda infatti che «34. Oltre ai requisiti per la validità della raccolta del consenso ai sensi dell'articolo 5, paragrafo 3, della direttiva ePrivacy, sono obbligatorie tre ulteriori condizioni cumulative i la possibilità di revocare il consenso, ii la capacità di revocare il consenso in qualsiasi momento, iii il ritiro del consenso deve essere facile come dare il consenso». Tuttavia la Taskforce ritiene che non sia possibile imporre un modello standard per la revoca dei consensi e quindi ogni titolare è libero di adottare la soluzione ritenuta più opportuna però deve osservare il criterio della facile accessibilità da parte dell'utente secondo il principio per cui revocare il consenso dev'essere facile come prestarlo. In difetto di una soluzione standard, il controllo del Garante Privacy potrà procedere solo caso per caso verificando in concreto se è stato rispettato il principio secondo cui «revocare il consenso dev'essere facile come prestarlo».