L'aspetto del banner Cookie è cambiato recentemente su molti siti web. In passato, si otteneva solo una piccola finestra pop-up con un terso suggerimento che qualche non specificato "cookie" è impostato sul sito web. Al giorno d'oggi, si ottiene spesso una lista dei singoli cookie e una scelta tramite caselle di controllo quali di essi sono accettati o no. Perché questo è il caso - e cosa è corretto ora?
Questo articolo farà un po' di luce sul banner Cookie e spiegherà come progettare correttamente l'avviso Cookie sul tuo sito web. Prima di entrare nei dettagli, tuttavia, è necessario capire quando e perché hai bisogno di un banner Cookie in primo luogo.
Perché hai bisogno di un banner Cookie?
cookie sono informazioni che vengono memorizzate nel dispositivo finale del visitatore del sito web (PC, smartphone, ecc.). Da un lato, questo è necessario per visualizzare correttamente un sito web ("tecnicamente necessario cookie"). D'altra parte, sono anche impostati per altri scopi, per esempio, per analizzare il comportamento dei visitatori del sito web, per scopi pubblicitari o quando si integrano i social plugin. (Nota: nel seguito, il termine "cookie" si riferisce anche a tecnologie comparabili come il conteggio dei pixel, ecc.)
Guardiamo prima la situazione giuridica attuale. A questo proposito, dall'entrata in vigore del RGPD (Regolamento (UE) 2016/679) il 25.05.2018 vale quanto segue:
Se la memorizzazione di cookie sul dispositivo finale del visitatore del sito web non ha luogo per proteggere gli interessi legittimi del gestore del sito web o di una terza parte, il consenso del visitatore del sito web è richiesto per questo secondo l'art. 6 comma 1 RGPD .
Poiché gli interessi legittimi dell'operatore del sito web o di terzi devono essere soppesati rispetto agli interessi o ai diritti e alle libertà fondamentali del visitatore del sito web, spesso non è chiaro in singoli casi quali interessi prevalgano.
Un interesse legittimo nel funzionamento di un sito web è naturalmente sempre che il sito sia visualizzato correttamente. Pertanto, cookie , che è necessario per questo, è sempre coperto dal legittimo interesse del gestore del sito web.
Diventa più difficile quando cookie è usato per analizzare il comportamento dei visitatori del sito web o per scopi pubblicitari. Qui spesso non è possibile escludere che gli interessi dei visitatori del sito web abbiano un peso maggiore da parte delle autorità di controllo della privacy e/o dei tribunali in caso di controversia.
Al di là di quanto tecnicamente necessario cookie, dovrebbe quindi essere sempre possibile basare l'impostazione di cookie sul consenso del visitatore del sito web. Questo consenso è classicamente ottenuto tramite una casella di controllo.
Non va nascosto che questa situazione legale potrebbe cambiare con l'entrata in vigore del Regolamento E-Privacy. Tuttavia, poiché il regolamento sulla privacy elettronica è attualmente ancora in fase di discussione politica, l'applicazione del GDPR rimarrà in vigore per il momento per quanto riguarda cookie & co. e quindi per l'ottenimento preventivo del consenso tramite una casella di controllo. Puoi leggere i dettagli nel mio articolo "Il regolamento sulla privacy: cosa ti aspetta?"articolo.
Come dovresti progettare il tuo banner Cookie?
Progettare correttamente un banner Cookie non è così difficile. È solo importante tenere a mente alcune cose, che vi presenterò di seguito.
#1 Il momento giusto
È importante che il banner Cookie appaia immediatamente quando si richiama il sito web e che inizialmente non sia impostato nessun cookie e che nessun dato possa essere trasmesso a terzi (per esempio tramite un social Plugin).
#2 Il posto giusto
Inoltre, bisogna fare attenzione a non coprire altri contenuti essenziali: Per esempio, il banner Cookie è spesso collocato nell'area del footer - e copre il link all'impronta e/o alla politica sulla privacy.
#3 Volontarietà
È anche importante che la continuazione della visita al sito web non sia subordinata al consenso del visitatore del sito web all'impostazione di tutti i cookie . Anche se il consenso viene dato solo per l'impostazione del cookie tecnicamente necessario, deve essere ancora possibile visitare il sito web. Naturalmente, è chiaro che alcune funzioni del sito web potrebbero non funzionare correttamente in assenza di consenso.
4 Enumerazione completa di tutti i cookie
Nel banner Cookie dovrebbero essere elencati i singoli cookie o - se ce ne sono troppi - almeno i singoli contesti (tecnicamente necessari cookie, analisicookie, cookie per scopi pubblicitari, ecc.); se sono menzionati solo i contesti, questi dovrebbero essere spiegati più dettagliatamente cliccando su di essi in un'altra finestra e lì dovrebbero essere specificati i singoli cookie .
5 Caselle di controllo con opt-in.
Il consenso sui siti web viene ottenuto in modo ragionevole tramite caselle di controllo.
Questo significa che nel banner Cookie c'è una casella di controllo separata per Cookie - o per Cookie-contesto.
È importante che solo la casella di controllo per il cookie tecnicamente necessario sia già spuntata - le caselle di controllo per tutti gli altri devono essere vuote. Cliccando sulle caselle di controllo rimanenti, il visitatore del sito può ora decidere da solo quali cookie o contesti accettare o meno.
Il contesto legale è il seguente:
Se il consenso è ottenuto per mezzo di una casella di controllo, ci sono fondamentalmente due possibilità: Opt-in o Opt-out. La differenza è che con l'opt-in, la casella di controllo è inizialmente vuota e il visitatore del sito deve dare attivamente il tuo consenso cliccando sulla casella o impostando il segno di spunta. Con l'opt-out, la casella di controllo è già impostata di default - il consenso è quindi già dato - e il visitatore del sito deve attivamente rimuovere il segno di spunta cliccando sulla casella.
Molti operatori di siti web usano l'opt-out per default. Probabilmente perché sanno che la maggior parte dei loro visitatori vuole arrivare rapidamente al sito web e quindi clicca sul pulsante OK del banner Cookie- senza leggere il testo del banner o pensare a cosa stanno dando il loro consenso.
Perché l'opt-out non è sufficiente
Anche se questo approccio è diffuso, non è giuridicamente corretto. Il consenso richiede un'azione attiva da parte del visitatore del sito web. Pertanto, solo l'opt-in, vale a dire che il visitatore del sito web dà attivamente il tuo consenso - per esempio all'uso di uno strumento di analisi come Google Analytics - selezionando la casella, è giuridicamente ineccepibile.
Si potrebbe sostenere che con l'opt-out, il consenso effettivo sta nel cliccare il pulsante OK del banner Cookie. Ma questo è camminare sul filo del rasoio. Secondo il considerando 32 di RGPD , per quanto riguarda il consenso si applica quanto segue (enfasi da me):
"Il consenso dovrebbe essere dato da un atto affermativo inequivocabile liberamente, caso per caso, in modo informato e inequivocabile, che l'interessato acconsente al trattamento dei dati personali che lo riguardano, come una dichiarazione scritta, che può essere data anche per via elettronica, o una dichiarazione orale.
Questo potrebbe essere fatto spuntando una casella quando si visita una pagina Internetselezionando le impostazioni tecniche per i servizi della società dell'informazione o con qualsiasi altra dichiarazione o comportamento con cui l'interessato indica in modo inequivocabile il tuo consenso al trattamento previsto dei tuoi dati personali nel contesto pertinente.
Silenzio, caselle già spuntate o inattività da parte dell'interessato non dovrebbe quindi costituire un consenso. Il consenso dovrebbe coprire tutte le operazioni di trattamento effettuate per lo stesso scopo o gli stessi scopi. Se il trattamento serve diversi scopi, il consenso deve essere dato per tutti questi scopi di trattamento. Se il consenso è richiesto alla persona interessata per via elettronica, la richiesta dovrebbe essere fatta in modo chiaro e conciso e senza interruzione inutile del servizio per il quale il consenso è dato."
6 Adattamento della politica sulla privacy
Quando progettate il vostro banner Cookie, non dovete dimenticare di adattare la vostra politica di privacy. Ciò significa che i dettagli di ogni set cookie devono essere spiegati anche nella politica sulla privacy.
#7 Problema speciale sociale plugin
Un problema speciale esiste con l'integrazione di Social plugin, poiché con questi non solo cookie sono impostati, ma oltre a questo vengono inviati automaticamente anche i dati personali dei visitatori della tua pagina web alla rete sociale appropriata ecc.
Secondo un recente Sentenza del condizioni generaliUE dal 29 luglio 2019 i dati personali del visitatore del sito web possono essere trasmessi alla rete sociale ecc. solo dopo aver ottenuto il relativo consenso. Pertanto, bisogna assicurarsi che il social Plugin diventi attivo solo se il visitatore del sito web ha precedentemente dato il tuo consenso spuntando la casella di controllo corrispondente. (Questa sentenza si riferisce ancora alla "direttiva sulla privacy", cioè il regolamento precedente di RGPD; tuttavia, il risultato si applica anche a RGPD).
Conclusione
Progettare un banner per i cookie in modo corretto, cioè conforme alla legge, non è una stregoneria. E non è nemmeno uno svantaggio per il gestore del sito web. Dopo tutto, anche i visitatori di un sito web devono essere trattati in modo equo. E questo include anche la fornitura di informazioni trasparenti su ciò che accade quando si accede al sito web. Solo allora i visitatori del sito web saranno in grado di decidere con cognizione di causa se ed eventualmente quali dati divulgare. Così come molti sviluppatori e gestori di siti web sono riluttanti a farsi spiare da terzi, dovrebbero anche dare ai visitatori del loro sito l'opportunità di decidere da soli quali dati vogliono o non vogliono divulgare.
Immagine suggerita: Emily Wilson | Unsplash
Altre immagini: Rawpixel | pexels, Raidboxes
