Lo scorso 18 gennaio il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato il Report sul lavoro svolto dai membri della Cookie Banner Task Force.

La Cookie Banner Task Force è stata istituita nel settembre 2021 con lo scopo di coordinare la risposta ai vari reclami relativi ai cookie banner presentati a diverse Autorità di controllo europee dall’organizzazione no-profit “NOYB”.

Nel Report le varie Autorità hanno concordato una posizione comune sull’interpretazione delle disposizioni della Direttiva 2002/58/CE (Direttiva ePrivacy) e del Regolamento UE n. 2016/679 (GDPR) su questioni relative ai cookie banner, precisando che le varie osservazioni fornite: i) non pregiudicano l’analisi che dovrà effettuare ogni Autorità di controllo competente a decidere sul reclamo e ii) dovranno essere combinate con l’applicazione di ulteriori previsioni derivanti dalle leggi nazionali di recepimento della Direttiva ePrivacy.

Il Report offre, quindi, alcuni spunti interpretativi.

Di seguito vengono riportati alcuni dei più significativi temi trattati e vengono brevemente riassunte le osservazioni fornite dai componenti della Task Force.

Posizionamento del pulsante di rifiuto dei cookie

È emerso che alcuni cookie banner contengono due pulsanti:

  • uno per accettare i cookie
  • uno per accedere a diverse opzioni

e non prevedono l’opzione “Rifiuta”.

La maggioranza dei membri della Task Force ritiene che ogni qualvolta compaia il tasto “Accetta” debba comparire anche il pulsante “Rifiuta”. Tuttavia, secondo alcuni di loro, la normativa di riferimento non menziona esplicitamente la previsione di un pulsante per rifiutare i cookie, per cui la sua mancanza non costituirebbe una violazione.

Utilizzo di caselle preselezionate

Spesso il cookie banner fornisce agli utenti differenti opzioni (che solitamente rappresentano le diverse categorie dei cookie) con caselle preselezionate.

I membri della Task Force ritengono che tali caselle non rappresentino un consenso validamente prestato.

Opzione di rifiuto dei cookie nascosta in un link

In alcuni casi esaminati dalla Task Force l’opzione per rifiutare i cookie viene “nascosta” in un link e non visualizzata come pulsante.

I membri della Task Force hanno precisato che, affinché il consenso sia valido, l’utente deve poter capire a cosa acconsente e come farlo, per cui il cookie banner non deve essere progettato:

  • in modo da far credere agli utenti di dover per forza prestare il proprio consenso per accedere al contenuto del sito;
  • in modo da spingere gli utenti a dare il proprio consenso.

Per questo motivo la Task Force ritiene, ad esempio, che il pulsante “Rifiuta” non possa essere nascosto in un link che non attiri l’attenzione di un utente medio.

Utilizzo di design e di colori ingannevoli dei pulsanti

La configurazione di alcuni cookie banner, in termini di colori e design, porta ad evidenziare il pulsante “Accetta tutto” rispetto alle altre opzioni disponibili.

LaTask Force precisa che, pur non potendo imporre uno standard generale a cui i gestori dei siti web devono uniformarsi, è sicuramente fuorviante per gli utenti il caso in cui l’opzione per rifiutare i cookie compaia in un pulsante il cui contrasto testo/sfondo è minimo e rende illeggibile il testo.

Icone per la revoca del consenso

È emerso che molti siti web non dispongono di un’icona “Impostazioni sulla privacy” presente in ogni pagina del sito web, tale da consentire agli utenti di revocare il consenso precedentemente espresso.

Sebbene il GDPR richieda che, una volta prestato il consenso, debba essere fornita agli utenti la possibilità di revocarlo in qualsiasi momento e in modo semplice, i membri della Task Force ritengono che non si possano imporre meccanismi di revoca specifici.  

Per tale motivo, i vari siti non devono prevedere obbligatoriamente un’“icona fluttuante” su ogni pagina web, tuttavia, questo è probabilmente il modo più pratico per rendere la revoca del consenso facile come la sua concessione.

Per ulteriori approfondimenti si veda il Report pubblicato in dall’EDPB cliccando qui