Problemi con il consenso del Cookie banner
Il “cugino d’Oltralpe” dell’italiano Garante per la Protezione dei Dati Personali, la Commission Nationale de l'Informatique et des Libertés (o CNIL), nel gennaio del 2022 ha multato sia Alphabet (proprietaria del noto motore di ricerca Google e di Youtube) che Meta (che possiede Facebook) per delle irregolarità nella gestione dei Cookies e nell’ottenimento del consenso degli utenti. Sui siti web facebook.com, google.fr e youtube.com, l’analisi della Commissione francese si è concentrata sui Cookie banner: questi sono strumenti fondamentali per raccogliere il consenso dell’utente che sta utilizzando il sito web. I Cookie banner devono descrivere quale tipologia di Cookie il sito utilizza (se cioè siano Cookie tecnici o di profilazione), per conto di quale soggetto, (in particolare, se si tratta di Cookie di prime o terze parti), con quali finalità.
A cosa servono i cookies?
Per approfondimenti sui Cookies e sui vari aspetti concernenti le loro differenti tipologia, si raccomanda la lettura di questo breve articolo. Come si evince dall’articolo, i Cookies possono avere la funzione di rendere migliore la navigazione sul sito (cd. Cookie tecnici), o finalità di tracciamento delle preferenze dell’utente (cd. di profilazione); in tale ultimo caso, il motivo per cui questi Cookies sono importanti per le aziende è la loro capacità di indirizzare un certo tipo di pubblicità all’utente, a cui è più probabile che egli risponda, permettendo al possessore della “vetrina” di advertisement (es. Google) di vendere ad un costo maggiore quello slot pubblicitario. Grazie a questi Cookies, aprendo il sito dopo aver concesso il consenso al tracciamento l’utente visualizzerà una pubblicità “cucita su misura” per lui.
Quali sono le condizioni di utilizzo aggiornate per i cookies?
Per abilitare i Cookies, specie quelli di profilazione, è però necessario il consenso da parte dell’utente: è questa la funzione del Cookie banner, come finestra che prima dell’inizio della navigazione – e quindi prima che i Cookies inizino a funzionare, tracciando l’utente – richieda il suo consenso affinché ciò avvenga osservando tutte le norme in materia. I Cookies, infatti, sono oggetto di regolazione da molti anni: ben prima del più famoso GDPR, la norma di riferimento in materia è la 2002/58/CE, cd. direttiva ePrivacy, la quale peraltro sarà nei prossimi mesi oggetto di revisione. Questa norma, unita al GDPR, al Codice Privacy italiano e alle loro interpretazioni da parte del Comitato Europeo per la Protezione dei Dati (EDPB) e dell’Autorità Garante per la Protezione dei Dati Personali italiana, hanno regolamentato l’utilizzo dei Cookies in maniera approfondita e dettagliata, imponendo ai gestori di siti web determinati standard. Vediamoli.
Perché Google e Facebook sono stati multati?
Nello specifico, perché l’uso dei Cookies possa avvenire secondo le regole, c’è bisogno di un consenso libero, specifico, informato, inequivocabile, e con meccanismi che permettano questo fin dalla progettazione (Privacy by Design) e con delle impostazioni predefinite (Privacy by Default). Quello che la Commissione francese ha rilevato a proposito di Google, Facebook e Youtube è che i loro Cookie banner rendono troppo facile l’acquisizione del consenso al tracciamento, mentre è difficile negare quel consenso e continuare la navigazione. In altre parole, puntando a “stancare” l’utente del sito e facendo leva sul suo interesse a navigare il prima possibile, fanno in modo che questi accetti la profilazione con un solo clic, mentre ne servono numerosi per rifiutare di essere tracciato. Manca, inoltre, la caratteristica ed intuitiva “X” posizionata in alto a destra nel banner per consentirne la chiusura e la navigazione senza tracciamento.
Quali sono le conseguenze per le due big tech?
Queste le motivazioni della sanzione da parte dell’Autorità francese, che ha dato 3 mesi di tempo alle due aziende per mettere in regola i loro servizi online. Se ciò non dovesse avvenire, le aziende dovranno pagare centomila euro per ogni giorno di ritardo in cui dovesse permanere questo stato di irregolarità. L’Autorità francese non è nuova a questo genere di sanzioni: nel 2020 sempre Google era stata multata (per 100 milioni di euro), ma questa volta assieme ad Amazon (condannata al pagamento di 35 milioni di euro), per motivazioni legate alla normativa europea in tema di Cookies e di raccolta del consenso. E nello stesso anno si era definita con una condanna la questione, sorta nel 2018, tra governo francese ed Apple, sanzionata per l’uso della tecnica dell’obsolescenza programmata, un sistema di “sovraccarico” dei propri dispositivi fatta con aggiornamenti sempre più ingombranti per forzare i clienti ad acquistare quelli nuovi con maggiore memoria. Qui trovate una serie di FAQ relative al mondo dei cookies e agli obblighi determinati dalle linee guida in vigore dal 2022.
2022: Bisogna aggiornare la propria cookie policy per essere a norma
Il 4 maggio 2020 l’EDPB (Comitato Europeo per la Protezione dei Dati Personali) ha stilato delle Linee Guida sul consenso, seguita dall’Autorità Garante per la Protezione dei Dati Personali, che il 10 giugno 2021 ha pubblicato le sue Linee Guida Cookie e altri strumenti di tracciamento. Per avere un quadro completo di come debbano funzionare i Cookies alla luce delle recenti Linee Guida, si consiglia questo approfondimento. Quest’ultimo documento è fondamentale per chiunque sia titolare di un sito web, in quanto ha previsto che dal 10 gennaio 2022 le sue raccomandazioni in tema di Cookies, consenso, Cookie banner e ogni altro tema affrontato, siano vincolanti. Si ricorda che queste Autorità non impongono sanzioni solo a carico di grandi aziende, ma di chiunque violi la normativa europea ed italiana. È chiaro che le grandi aziende del settore informatico si muovono costantemente alla ricerca del difficile equilibrio fra la gestione di una mole enorme di dati, la grande acquisizione di profitti che ne deriva e la responsabilità per i diritti dei singoli che deve discenderne. Per qualsiasi necessità riguardo la messa a norma di siti web, cookie banner, cookie policy e per riuscire a fare marketing e lead generation rispettando la privacy potete fare affidamento al nostro partner Studio Legale FCLEX (Con sede a Bologna, ma si può procedere anche completamente online) chiedendo dell’Avvocato Giuseppe Croari, esperto da anni di diritto delle nuove tecnologie.