Il 4 Maggio scorso, il comitato europeo dei Garanti (EDPB), ha emanato una nuova direttiva con le linee guida in materia di cookie e consenso, in particolare sulla validità del consenso tramite lo “scroll” e la presenza dei “cookiewall”.

Quelli che tra di voi sono più attenti avranno notato che, almeno in alcuni siti, i banner che segnalano la presenza dei cookie sono un po’ cambiati. Questi banner sono quegli avvisi, spesso molto piccoli, che compaiono quando accedete per la prima volta ad un sito e che scompaiono, spesso senza che ve ne accorgiate, semplicemente usando la rotellina sopra il mouse.

In realtà, già nel 2014, il Garante aveva chiarito che il banner dei cookie doveva avere dimensioni tali da coprire in parte il contenuto della pagina che si sta visitando e che deve essere eliminato tramite un intervento attivo dell’utente, cioè tramite la selezione di un qualche elemento attivo (bottone o link).

Cosa sono i cookie?

Sono delle informazioni che vengono inserite nel browser di navigazione, Chrome, Explorer, FireFox, ex, quando visitate un sito web o un social network. Sono brevi file di testo che vengono utilizzati dalle applicazioni web per archiviare informazioni e poi utilizzarle, anche a lungo termine.

Si presentano così:

Essenzialmente servono a due scopi principali: far funzionare un’app o un sito, oppure a monitorare il comportamento di un utente.

I primi vengono usati per eseguire autenticazioni sui siti o applicazioni, monitorare le sessioni di navigazione, o memorizzazione di informazioni durante la navigazione su un sito web. In questi casi si parla di cookie tecnici il cui scopo è quello di rendere più semplice e veloce la navigazione.

I secondi, al contrario, si dicono analitici o di profilazione. I cookie analitici si usano in forma aggregata e servono per raccogliere informazioni sul numero di utenti in un dato sito, oppure come questi utenti si comportano all’interno del sito stesso e servono, principalmente a scopi statistici. I cookie di profilazione invece, studiano e tengono traccia delle preferenze degli utenti all’interno dei siti (cosa comprano, a quali informazioni accedono, ecc) al fine di proporre, con pubblicità mirate, prodotti e servizi di interesse per l’utente.

Quando il consenso è valido

Perché un consenso sia valido deve essere: fornito liberamente, specifico, informato  e non ambiguo. L’EDPB chiarisce nelle sue linee guida che “un’indicazione inequivocabile del consenso dell’utente” deve essere fatta con un’azione chiara e affermativa: le azioni come lo scorrimento o lo scorrimento di un sito Web o attività dell’utente simile (noto anche come consenso implicito) non soddisfano i requisiti per un consenso valido.

Questo significa che il banner dei cookie del tuo sito Web non può contenere la indicazione che continuando la navigazione o scorrendo la pagina tale comportamento sarà considerato un consenso all’uso dei cookie. Al contrario, il banner dei cookie del tuo sito Web deve essere interattivo, consentire di cliccare sulle opzioni da scegliere e il sito web non può installare cookie che raccolgono dati personali, fino a quando l’utente non ha selezionato le categorie di cookie che consentiranno di essere operative: non sono consentite, quindi, neanche le caselle preselezionate in quanto non soddisfano il requisito di “azione chiara e affermativa”.

I c.d. cookie walls

Si tratta di quei cookie che non consentono la navigazione in un sito se non vengono preventivamente accettati. Il comitato dei Garanti ha specificato quindi che, affinché il consenso possa essere considerato libero, l’accesso ai servizi e alle funzionalità del sito non deve essere subordinato al consenso di un utente, appunto cookie wall!

Nelle nuove linee guida vengono previsti anche degli esempi, in modo da evitare equivoci: si parla, ad esempio, di un fornitore di siti Web il quale prevede uno script che, non appena arrivati sulla home page, blocchi la visibilità del sito salvo accettazione di tutti i cookie imposti con il c.d. cookie wall. In questo caso, precisa l’EDPB: “Poiché per l’interessato non si prospetta una scelta autentica, il suo consenso non deve intendersi fornito liberamente”.

Già alcune delle autorità garanti in europa si sono adeguate o hanno in qualche maniera anticipato le prossime direttive (es. UK, Francia, Germani e Spagna) proponendo regole specifiche.

             

Conclusioni

La tendenza quindi risulta chiara: “stop ai microbanner ed ai consensi inconsapevoli”. Gli utenti devono poter effettuare scelte consapevoli sui cookie di profilazione e non deve essere consentita la navigazione fino a quando questa scelta non sia stata fatta.

Secondo le Linee Guida, invece, i c.d. cookie necessari non necessitano di preventivo consenso del soggetto interessato; sono quelli che hanno lo scopo esclusivo di abilitare o facilitare la comunicazione elettronica e quelli strettamente necessari per la fornitura di un servizio richiesto dall’interessato stesso.