Cookie banner: draft report sul lavoro della taskforce

Inquadramento

Il 18 gennaio 2023 l'European Data Protection Board ha pubblicato il report conclusivo dei lavori della “Cookie Banner Taskforce”, costituitasi per gestire i reclami presentati dalla no-profit “None Of Your Business” (“NOYB”) relativi all'utilizzo di cookie banner non conformi sui siti web europei. Il report ha lo scopo di individuare alcuni elementi minimi di conformità all'interno del panorama comunitario. Le considerazioni svolte dalla taskforce, infatti, non hanno il valore di raccomandazioni autonome, ma devono essere inserite nel contesto delle attività svolte dalle autorità di supervisione locale e delle normative locali di recezione della direttiva ePrivacy.

Il documento prodotto consiste nell'analisi di alcune questioni preliminari relative alla normativa applicabile e al ricorso al meccanismo One Stop Shop e, nel merito, all'analisi di alcune questioni pratiche relative all'implementazione dei banner cookie.

Cookie e strumenti di tracciamento

Quando ci si riferisce ai cookie si fa riferimento non solo ai “cookie” strettamente intesi ma a tutti quegli “strumenti di tracciamento” o “tracciatori” che permettono “L'archiviazione delle  informazioni nell'apparecchio terminale  di  un  contraente  o  di  un  utente o l'accesso a informazioni già archiviate” (cfr. art. 122 d.lgs. 196/2003).

Nella pratica, gli strumenti di tracciamento maggiormente diffusi, oltre ai cookie, sono i pixel (noti anche come web beacons), i LocalStorage (tipici degli ambienti HTML 5 e in grado di accedere alle informazioni locali dei browser di navigazione) e alcuni javascript.

Tutti questi strumenti, ai fini della normativa applicabile, sono equivalenti tra di loro. Questa posizione è ricavabile sia dall'art. 122 citato che non menziona esplicitamente i cookie ma la raccolta di informazioni in genere sia dalle posizioni espresse dal Garante per la Protezione dei Dati Personali nelle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021.

Normativa applicabile

L’installazione di cookie e di strumenti di tracciamento è disciplinata dalla direttiva ePrivacy, recepita nell’ordinamento italiano all’interno del titolo X del Codice privacy. La direttiva ePrivacy ha valore di normativa speciale rispetto al GDPR che trova applicazione nei confronti dei trattamenti di dati personali ai quali non si applichi direttamente la direttiva. Inoltre, le due norme si intersecano tra di loro in quanto molti concetti del GDPR vengono infatti richiamati dalla direttiva e Privacy che li fa suoi. Questo avviene, ad esempio, con riferimento alle caratteristiche del consenso.

Per quanto attiene alla normativa applicabile, occorre distinguere due differenti fasi: (I) l’installazione dei cookie e (II) i trattamenti successivi all’installazione dei cookie. La taskforce ha infatti chiarito che la fase sub (I) è soggetta alla normativa ePrivacy applicabile territorialmente, mentre la fase sub (II) rimane regolata da GDPR. Ciò non toglie che il consenso raccolto per l’installazione dei cookie costituisca altresì la base giuridica per il trattamento dei dati personali raccolti tramite i cookie.

La distinzione operata dalla taskforce è rilevante anche sotto altri profili. Infatti è opportuno ricordare che le disposizioni dettate dalla direttiva ePrivacy si limitano a regolare l’installazione dello strumento e prescindono dal fatto che il tracciatore raccolga o meno dati personali. Pertanto, è necessario il consenso dell’utente anche per l’installazione di cookie che non raccolgono dati personali.

Prima di procedere oltre, è bene rammentare che il consenso è richiesto per l’installazione di tutti i cookie diversi da quelli “tecnici”, ossia quelli necessari al funzionamento del sito web e alla fornitura del servizio richiesto dall’utente.

Meccanismo One Stop Shop (OSS)

La citata distinzione tra le normative applicabili ha conseguenze anche sul piano procedurale. Difatti, il meccanismo dello One Stop Shop (OSS) (ossia il sistema di cooperazione tra autorità di controllo che persegue la finalità della omogenea applicazione del GDPR sul territorio dell'Unione, mediante un'interpretazione uniforme da parte delle autorità di supervisione) non trova applicazione per le violazioni relative alla disciplina ePrivacy.

Al contrario, per i trattamenti di dati sottoposti all'applicazione del GDPR (e, quindi, per i trattamenti di dati diversi e conseguenti alla mera installazione degli strumenti di tracciamento), sarà attivabile il OSS.

Tuttavia, precisa la taskforce, l'innesco del meccanismo di cooperazione non potrà essere costituito dal semplice fatto che il sito web sia accessibile da più paesi all'interno dell'Unione.

Su questo punto, il report non fornisce indicazioni ulteriori ma è evidente che sia necessario un elemento ulteriore, che qualifichi i trattamenti come transfrontalieri (per la definizione di trattamenti transfrontalieri cfr. EDPB, Linee guida 02/2022 sull'applicazione dell'articolo 60 del GDPR).

PRATICHE ESAMINATE DALLA TASKFORCE

Prima di procedere è meglio precisare alcune terminologie e prassi relative all'implementazione dei banner cookie. Normalmente, i cookie vengono raccolti tramite interfacce suddivise su più livelli di seguito elencati:

• 1° livello, si apre al momento del lancio del sito web e permette una scelta rapida tra le principali opzioni relative ai cookie,
• 2° livello, permette di effettuare azioni di dettaglio relative all'installazione dei cookie (ad esempio scegliere i cookie da installare sulla base di categorie o dei fornitori).

Il lavoro della taskforce è consistito nell'analisi di alcune casistiche considerate di principale importanza per definire i requisiti minimi per la conformità dei banner cookie alla normativa applicabile. Di seguito sono raccolte le considerazioni in merito a ciascuna di queste casistiche.

• Assenza del pulsante rifiuta

È diffuso l'utilizzo di banner cookie che non prevedono un'opzione per “rifiutare/respingere/non consentire” all'installazione dei cookie. Questi banner permettono all'utente di “Accettare tutti i cookie” oppure di “Gestire le preferenze”, senza tuttavia fornire un'opzione che permetta di non installare i cookie e andare oltre.

La maggior parte delle autorità che compongono la taskforce ha affermato che l'assenza di questo tipo di pulsante su qualsiasi livello di un cookie banner che contenga un pulsante “accetta” deve ritenersi in violazione della normativa. Il report, comunque, sottolinea il dissenso di “poche autorità”.

La taskforce sottolinea, inoltre, che nessun cookie diverso da quelli essenziali può essere installato prima che l'utente abbia espresso il proprio consenso.

• Caselle preselezionate (pre-ticketed boxes)

La seconda pratica posta all'attenzione della taskforce è l'utilizzo di caselle preselezionate sul secondo livello dei cookie banner; in questi casi, le caselle per la scelta delle singole categorie di cookie risultano preselezionate secondo il metodo definito “opt-in”.

La taskforce ha confermato che questa pratica non è conforme alle caratteristiche del consenso previste dal GDPR e richiamate dalla direttiva ePrivacy e, pertanto, si pone in contrasto con la normativa in materia di protezione dei dati personali.

Per completezza, si specifica che, anche laddove l'utilizzo di caselle preselezionate dovesse verificarsi sul primo livello, esso dovrebbe ritenersi non conforme.

• Design ingannevole dei link

Con la terza questione il lavoro della taskforce si focalizza sui design ingannevoli (anche noti come “dark patterns”). La taskforce ha rivelato che molti cookie banner contengono un link e non un pulsante destinato al rifiuto dei cookie. Le considerazioni della taskforce sono riferite sia ai link che automaticamente comportano il rifiuto dei cookie sia a quelli che portano ad un secondo livello dove è presente il pulsante “rifiuta” o uno equivalente.

In via preliminare, la taskforce sottolinea che deve sempre esserci un'evidenza circa lo scopo del banner, del consenso raccolto e di come esprimerlo. Gli utenti del sito devono avere sempre presente lo scopo del banner visualizzato e non devono avere l'impressione che il consenso sia una condizione necessaria per accedere ai servizi del sito.

Sulla base di queste considerazioni, viene ritenuto non conforme l'inserimento dei link “rifiuta” (o equivalenti) o “continua senza accettare” che rappresentino l'unica alternativa all'opzione “accetta tutto” e collocati (I) all'interno di un testo più ampio (ad esempio, nell'informativa breve resa all'interno del cookie banner) o (II) all'esterno del banner cookie contenente l'opzione accetta tutto.

• Design ingannevole dei colori e del contrasto dei pulsanti

Le questioni, rientranti nell'ambito dei dark patterns, sono state ritenute analoghe ed affrontate congiuntamente dalla taskforce. Entrambe fanno riferimento all'utilizzo di schemi di colori all'interno dei cookie banner volti a mettere in risalto l'opzione “accetta tutti” e, per converso, nascondere le opzioni “rifiuta” e “gestisci le preferenze”.

Nonostante l'accordo sul fatto che non possa essere imposto uno standard predefinito di colori o contrasti e che debba essere svolta una valutazione caso per caso, la taskforce ha ritenuto non conforme l'implementazione dei pulsanti “rifiuta” e “gestisci le preferenze” con un contrasto tale da renderli sostanzialmente illeggibili.

• Interesse legittimo ed elenco di finalità

La pratica fa riferimento a banner che (I) al primo livello, non presentano l'opzione “rifiuta tutti” (o altre sostanzialmente equivalenti) e al contempo (II) al secondo livello, fanno una distinzione tra il consenso all'installazione dei cookie e l'opposizione ai trattamenti successivi di dati personali basati sull'interesse legittimo del titolare del trattamento (art. 6(1)(f) GDPR). I trattamenti basati sul legittimo interesse risultano eterogeni e per finalità che non appaiono compatibili con questa base giuridica (“Creazione di profili personalizzati”, “Selezione di pubblicità personalizzata”). Inoltre, l'inserimento del legittimo interesse all'interno del secondo livello potrebbe risultare confusionario per l'utente.

Su questo punto la taskforce ha precisato che i trattamenti successivi basati su un consenso non valido violano il GDPR. In aggiunta, è stato confermato che la base giuridica per l'installazione dei cookie può essere solo il consenso.

• Cookie imperitamente classificati come essenziali

La taskforce ha rilevato alcune difficoltà nella classificazione dei cookie appartenenti alla categoria dei cookie “tecnici” o “strettamente necessari”. Si tratta dei cookie che sono necessari al funzionamento del sito e che, pertanto, possono essere installati anche in assenza del consenso dell'utente.

In merito alla definizione, il report rinvia al Parere 4/2012 del WP29, dove si afferma che sono strettamente necessari quei cookie che servono a fornire un servizio esplicitamente richiesto dall'utente, specificando che “vi deve essere una chiara connessione tra la necessità di installare un cookie e la fornitura del servizio” (cfr. par. 2.2, parere citato). Occorre sottolineare però che il report richiama con particolare attenzione il paragrafo 2.4., dove il WP29 apre alla possibilità di considerare i cookie che memorizzano le preferenze come strettamente necessari.

• Assenza dell'icona per la revoca del consenso

A fronte della varietà di strumenti utilizzati per permettere agli utenti di revocare il consenso precedentemente prestato, la taskforce evidenzia che i proprietari dei siti web dovrebbero rendere possibile agli utenti revocare il consenso in ogni momento tramite (I) un'icona sempre visibile durante la navigazione, (II) un link collocato in una posizione visibile e standardizzata (ad es., nel footer della pagina n.d.a.).

Anche il questo caso, la taskforce riconosce l'impossibilità di dettare un unico standard per le soluzioni di revoca del consenso ed invoca l'utilizzo di un approccio caso per caso. Tuttavia, devono essere sempre rispettati tre requisiti: gli utenti devono avere (I) la possibilità di revocare il consenso (II) in qualsiasi momento (III) con la stessa semplicità con cui lo hanno prestato.

CASISTICA	PRINCIPALI NON CONFORMITA'
Assenza del pulsante rifiuta	Assenza dell'opzione “rifiuta” su un qualsiasi livello dove sia presente anche l'opzione “accetta” (N.B. poche autorità hanno un'opinione divergente)
Caselle preselezionate	Utilizzo di caselle preselezionate
Design ingannevole dei link	Inserimento di link “rifiuta” all'interno di un testo articolato o all'esterno del banner cookie
Design ingannevole dei colori e dei contrasti	Utilizzo di banner con contrasti che rendano sostanzialmente invisibile il tasto rifiuta tutti
Interesse legittimo	Utilizzo dell'interesse legittimo come base giuridica per l'installazione dei cookie. Utilizzo dell'interesse legittimo per finalità non compatibili (pubblicità personalizzata)
Cookie imperitamente classificati come essenziali	/
Assenza dell'icona per la revoca del consenso	Utilizzo di icone non visibili o collocate in posizioni anomale

In conclusione

Gli orientamenti espressi nel report non aggiungono considerazioni di rilievo rispetto al quadro normativa precedente. Tuttavia, hanno il merito di effettuare una sintesi delle principali questioni che sono state oggetto di dibattito nel corso degli anni e la cui disciplina era suddivisa tra numerosi singoli provvedimenti e strumenti di soft law. L’utilità delle indicazioni fornite, inoltre, si rivela se si considera la prassi applicativa nel mondo dei tracciatori, troppo spesso effettuata in violazione di legge.