L'aspetto dei banner dei cookie è cambiato in molti siti web negli ultimi tempi. In passato, una piccola finestra pop-up mostrava semplicemente un breve avviso che alcuni "cookie" non specificati venivano impostati sul sito web. Al giorno d'oggi, spesso ti viene fornito un elenco dei singoli cookie e la possibilità di scegliere, tramite caselle di controllo, quali accettare o meno. Perché è così e cosa è corretto fare ora?
Questo articolo fa luce sui cookie banner e spiega come progettare correttamente l'avviso sui cookie nel tuo sito web. Prima di entrare nei dettagli, però, è necessario capire quando e perché è necessario un banner sui cookie.
Perché hai bisogno di un banner per i cookie?
I cookie sono informazioni che vengono memorizzate sul dispositivo finale del visitatore del sito web (PC, smartphone, ecc.). Da un lato, sono necessari per visualizzare correttamente un sito web ("cookie tecnicamente necessari"). Dall'altro lato, vengono utilizzati anche per altri scopi, ad esempio per analizzare il comportamento dei visitatori del sito web, per scopi pubblicitari o per l'integrazione di social plugin. (Nota: nel seguito, il termine "cookie" si riferisce anche a tecnologie analoghe come i pixel di conteggio, ecc.)
Diamo prima un'occhiata alla situazione legale attuale. Poiché il GDPR (Regolamento (UE) 2016/679) è entrato in vigore il 25 maggio 2018, si applica quanto segue:
Se i cookie non vengono memorizzati sul dispositivo finale del visitatore del sito web per proteggere gli interessi legittimi dell'operatore del sito web o di una terza parte, è necessario il consenso del visitatore del sito web ai sensi dell'art. 6 (1) GDPR.
Poiché gli interessi legittimi dell'operatore del sito web o di terzi devono essere soppesati rispetto agli interessi o ai diritti e alle libertà fondamentali del visitatore del sito web, spesso non è chiaro in singoli casi quali interessi prevalgano.
Un interesse legittimo nel funzionamento di un sito web è ovviamente quello di visualizzarlo correttamente. I cookie necessari a questo scopo sono quindi sempre coperti dal legittimo interesse dell'operatore del sito web.
La situazione diventa più difficile quando i cookie vengono utilizzati per analizzare il comportamento dei visitatori del sito web o per scopi pubblicitari. In questo caso, spesso non è possibile escludere che gli interessi dei visitatori del sito web vengano presi in maggiore considerazione dalle autorità di controllo della protezione dei dati e/o dai tribunali in caso di controversia.
A parte i cookie tecnicamente necessari, l'impostazione dei cookie deve sempre basarsi sul consenso del visitatore del sito web. Tale consenso viene classicamente ottenuto tramite una casella di controllo.
Non bisogna nascondere che questa situazione legale potrebbe cambiare con l'entrata in vigore del Regolamento ePrivacy. Tuttavia, poiché il Regolamento ePrivacy è attualmente ancora in fase di discussione politica, per il momento continuerà ad applicarsi il GDPR a cookie & co. e quindi all'ottenimento preventivo del consenso tramite una casella di controllo. Puoi leggere i dettagli nel mio articolo "Il Regolamento ePrivacy: cosa ti aspetta?".
"*" indica i campi obbligatori
Come devi progettare il tuo banner per i cookie?
Progettare correttamente un banner di biscotti non è poi così difficile. È solo importante tenere a mente alcuni piccoli accorgimenti che ti illustrerò di seguito.
#1 Il momento giusto
È importante che il banner dei cookie appaia immediatamente quando si accede al sito web e che inizialmente non venga impostato alcun cookie e che non vengano trasmessi dati a terzi (ad esempio tramite un social plugin).
#2 Il posto giusto
Bisogna anche assicurarsi che non vengano coperti altri contenuti importanti: Ad esempio, il banner dei cookie è spesso posizionato nell'area del footer e copre il link alla nota legale e/o all'informativa sulla privacy.
#3 Volontarietà
È inoltre importante che le ulteriori visite al sito web non dipendano dal consenso del visitatore all'impostazione di tutti i cookie. Anche se il consenso viene dato solo per l'impostazione dei cookie tecnicamente necessari, deve essere possibile visitare il sito web. Ovviamente, è chiaro che alcune funzioni del sito web potrebbero non funzionare correttamente senza il consenso.
4 Enumerazione completa di tutti i cookie
Il banner dei cookie dovrebbe elencare i singoli cookie o, se sono troppi, almeno i singoli contesti (cookie tecnicamente necessari, cookie di analisi, cookie a scopo pubblicitario, ecc.
5 Caselle di controllo con opt-in.
È sensato ottenere il consenso sui siti web tramite caselle di controllo.
Ciò significa che nel banner dei cookie c'è una casella di controllo separata per ogni cookie o contesto di cookie.
È importante che sia selezionata solo la casella di controllo per i cookie tecnicamente necessari, mentre tutte le altre caselle devono essere vuote. Cliccando sulle altre caselle, il visitatore del sito web può decidere autonomamente quali cookie o contesti accettare o meno.
Il contesto legale è il seguente:
Se il consenso viene ottenuto tramite una casella di controllo, ci sono fondamentalmente due opzioni: Opt-in o opt-out. La differenza è che con l'opt-in, la casella di controllo è inizialmente vuota e il visitatore del sito web deve dare attivamente il proprio consenso cliccando sulla casella o spuntandola. In caso di opt-out, la casella è già spuntata per impostazione predefinita - cioè il consenso è già stato dato - e il visitatore del sito web deve rimuovere attivamente la spunta cliccando sulla casella.
Molti gestori di siti web utilizzano l'opt-out per impostazione predefinita. Presumibilmente perché sanno che la maggior parte dei visitatori vuole accedere rapidamente al sito web e quindi clicca sul pulsante OK del banner dei cookie, senza leggere il testo del banner o pensare a cosa sta dando il proprio consenso.
Perché l'opt-out non è sufficiente
Anche se questa procedura è molto diffusa, non è legalmente corretta. Il consenso richiede un'azione attiva da parte del visitatore del sito web. Pertanto, solo l'opt-in, ossia il consenso attivo da parte del visitatore del sito web, ad esempio per l'utilizzo di uno strumento di analisi come Google Analytics, selezionando la casella, è legalmente ineccepibile.
Si potrebbe sostenere che, quando si sceglie di non partecipare, il consenso effettivo viene dato cliccando sul pulsante OK del banner dei cookie. Ma si tratta di un'argomentazione che cammina sul filo del rasoio. Secondo il Considerando 32 del GDPR, al consenso si applica quanto segue(sottolineatura mia):
"Il consenso deve essere dato con un atto affermativo inequivocabile cheindichi volontariamente, per il caso specifico, in modo informato e inequivocabile, che l'interessato acconsente al trattamento dei dati personali che lo riguardano, ad esempio sotto forma di dichiarazione scritta, che può essere fatta anche elettronicamente, o di dichiarazione orale ".
Ciò può avvenire, ad esempio, selezionando una casella quando si visita un sito web, selezionando le impostazioni tecniche per i servizi della società dell'informazione o con un'altra dichiarazione o comportamento con cui l'interessato segnala chiaramente il proprio consenso al trattamento previsto dei suoi dati personali nel rispettivo contesto.
Il silenzio, le caselle già spuntate o l'inattività dell'interessato non costituiscono quindi un consenso. Il consenso deve riguardare tutti i trattamenti effettuati per lo stesso scopo o scopi. Se il trattamento ha più finalità, il consenso deve essere dato per tutte le finalità del trattamento. Nel caso in cui all'interessato venga richiesto di dare il consenso tramite mezzi elettronici, la richiesta deve essere fatta in modo chiaro e conciso e senza interrompere indebitamente il servizio per il quale viene dato il consenso".
6 Adattamento della politica sulla privacy
Quando crei il tuo banner sui cookie, non devi dimenticare di adattare la tua informativa sulla privacy. Ciò significa che anche i dettagli dei singoli cookie impostati devono essere spiegati nell'informativa sulla privacy.
#7 Problema speciale sociale plugin
C'è un problema particolare con l'integrazione dei social plugin, in quanto questi non solo impostano i cookie, ma inviano anche automaticamente i dati personali dei visitatori del tuo sito web al social network corrispondente, ecc.
Secondo una recente sentenza di CGUE del 29 luglio 2019, i dati personali del visitatore del sito web possono essere trasmessi ai social network ecc. solo dopo che è stato dato il relativo consenso. È quindi importante assicurarsi che il social plugin diventi attivo solo se il visitatore del sito web ha precedentemente dato il proprio consenso selezionando la relativa casella di controllo. (Sebbene questa sentenza si riferisca ancora alla "Direttiva sulla protezione dei dati", cioè al regolamento precedente al GDPR, il risultato si applica anche al GDPR).
Conclusione
Progettare un banner per i cookie in modo corretto, cioè conforme alla legge, non è una scienza missilistica. E non è nemmeno uno svantaggio per il gestore del sito web. Dopo tutto, anche i visitatori del sito web devono essere trattati in modo equo. E questo include fornire informazioni trasparenti su ciò che accade quando si accede al sito web. Solo così i visitatori del sito web saranno in grado di decidere con cognizione di causa se ed eventualmente quali dati desiderano divulgare. Così come molti sviluppatori e gestori di siti web sono riluttanti a farsi spiare da terzi, dovrebbero anche dare ai visitatori del proprio sito web la possibilità di decidere autonomamente quali dati divulgare o meno.
Featured image: Emily Wilson | Unsplash
Altre immagini: Rawpixel | pexels, Raidboxes
