Lo scorso 13 dicembre 2023, l’EDPB con una lettera di risposta alla Commissione europea, si esprime favorevolmente sull’impegno volontario “… delle imprese a semplificare la gestione, da parte degli utenti, dei cookie e delle scelte pubblicitarie personalizzate”, raccomandando tuttavia di non chiedere il consenso al trattamento (raccolta) dei dati personali degli utenti per un anno almeno in caso di rifiuto; ciò al fine di ridurre il cosiddetto fenomeno “cookie fatigue”.
Spiegamo meglio e in dettaglio.
Indice degli argomenti
Cookie pledge: la risposta al fenomeno della “fatica dei cookie”
Cookie pledge è l’iniziativa volontaria promossa dalla Commissione europea per contrastare il fenomeno della “fatica dei cookie” o “affaticamento dei cookie” come vedremo dopo. In pratica, si tratta di un volontario impegno (pledge) delle imprese a semplificare la gestione dei cookie e le scelte pubblicitarie personalizzate da parte degli utenti.
In pratica, questi ultimi riceverebbero informazioni concrete nel senso di tangibili su come i loro dati vengono trattati, sulle conseguenze del consenso ai diversi tipi di cookie, sul loro uso nonché circa eventuali ulteriori sistemi utilizzati per tracciare la navigazione online degli utenti.
Con il risultato, almeno in teoria, di offrire agli utenti un maggior controllo sul trattamento dei dati personali nel rispetto del GDPR.
Il nodo risolto del consenso
Secondo il documento in parola, nel caso in cui l’utente dovesse rifiutare il consenso ai cookie, ecco che questo non andrà più chiesto per un anno intero da quando cioè si manifesti la volontà di non accettare (più) determinati cookie.
D’altronde, la manifestazione del consenso è molto importante, rammentando che chi utilizza cookie o simili tecnologie è sempre tenuto a implementare meccanismi corretti tali da poter consentire di dimostrare – in qualsiasi momento – come e quando sia stato ottenuto un valido consenso.
Ecco perché questa lettera in risposta costituisce un importante passo in avanti verso la “riduzione dell’affaticamento dei cookie”.
La fatica dei cookie si ravvisa anche nelle descrizioni lunghe, verbose e spiegate in maniera talora troppo tecnica al punto di vanificare la scelta.
Ancora, nel documento in parola, quale feedback alla Commissione, l’EDPB non analizza invero tutti i requisiti volti ad ottenere un valido consenso ex art. 4, par. 11, e art. 7 GDPR, ma si limita ad evidenziare che:
- gli utenti/interessati devono esprimere il proprio consenso con un’azione affermativa, e la semplice prosecuzione della navigazione in un sito, ad esempio, non equivalgono al consenso;
- ove sia richiesto il consenso, non occorre l’accesso o l’archiviazione delle informazioni nell’apparecchiatura terminale prima di ottenere un valido consenso;
- gli utenti/interessati devono avere la possibilità di revocare il proprio consenso in qualsiasi momento, in modo facile essendone agilmente informati.
Cookie pledge: la lettera dell’EDPB e i suoi principi in breve
Partendo dallo scopo dell’iniziativa, l’EDPB evidenzia fin da subito, come l’impegno sia – come già detto – volto a contribuire la tutela dei diritti e delle libertà fondamentali degli utenti; il che si traduce nel consentire loro di fare scelte efficaci e consapevoli durante la internet experience.
Di qui, i principi di seguito elencati, che hanno l’obiettivo di semplificare la gestione da parte degli utenti dei cookie e di tecnologie simili nonché delle scelte pubblicitarie comportamentali/personalizzate online, conferendo loro un maggiore potere nel rispetto del GDPR e dell’ePrivacy per quando sarà.
Naturalmente, con un’analisi caso per caso.
Principio A
Il primo principio recita testualmente: “la richiesta di consenso non conterrà informazioni relative ai cosiddetti cookie essenziali né il riferimento alla raccolta di dati basata sul legittimo interesse”.
I cookie essenziali non richiedono consenso. Da qui, in ottica di semplificazione, non occorre mostrare ulteriori informazioni sugli stessi nella richiesta di consenso e il legittimo interesse non va incluso nel banner dei cookie.
Principi B, C e D
Nella lettera/documento in questione, troviamo poi in blocco i principi B, C e D che descrivono rispettivamente i seguenti assunti.
- B: “Quando il contenuto è finanziato almeno in parte dalla pubblicità, verrà spiegato in anticipo quando gli utenti accedono al sito web/app per la prima volta”. In pratica, se un’impresa guadagna esponendo gli utenti a pubblicità basata sul tracciamento raccogliendo e utilizzando informazioni sul comportamento online dei consumatori tramite tracker; ovvero vendendo il diritto di inserire tracker sui dispositivi degli utenti attraverso siti web, ecco che gli utenti avranno il diritto di essere adeguatamente informati per poter esprimere il loro libero consenso evitando così ipotetici atteggiamenti manipolativi.
- C: “Ogni modello di business sarà presentato in modo conciso, chiaro e facile da scegliere. Ciò includerà spiegazioni chiare sulle conseguenze dell’accettazione o della non accettazione dei tracker”. Chiarezza, prima di tutto, soprattutto se dai cookie si implementano modelli di business. Di qui, “pannelli” chiari ed esaustivi volti tutti a rappresentare agli utenti le varie opzioni ovvero se accettare la pubblicità basata sul tracciamento, oppure acconsentire altri tipi di pubblicità se non anche di pagare un compenso.
- D: “Se viene proposta la pubblicità basata sul tracciamento o l’opzione del pagamento di una tariffa, i consumatori avranno sempre la scelta aggiuntiva di un’altra forma di pubblicità meno invasiva della privacy”. Pochi se non pochissimi sono gli utenti che pagano. In ogni caso, non appare questa la via alternativa e soprattutto credibile del monitoraggio da comportamento online.
Quindi, l’EDPB è favorevole a un incremento in termini di trasparenza.
Principio E
Il principio E parte da questo assunto: “Il consenso ai cookie per scopi pubblicitari non dovrebbe essere necessario per ogni singolo tracker. Per gli interessati, in un secondo livello, dovrebbero essere fornite maggiori informazioni sulle tipologie di cookie utilizzati a fini pubblicitari, con la possibilità di effettuare una selezione più mirata”.
In pratica, quando gli utenti accettano di ricevere pubblicità, occorre che sia ben definito come ciò avvenga e se vengono inseriti cookie, anche di terze parti. Con ciò, non deve essere controllato ogni singolo tracker altrimenti, se così fosse o avvenisse, la scelta diverrebbe del tutto inefficace destando la pia illusione di aver scelto efficacemente nonché scoraggiando gli utenti a leggere tutto, con l’effetto o di far premere “accetta tutto” o “rifiuta tutto”.
Principio F
Il sesto principio recita: “Non sarà richiesto alcun consenso distinto per i cookie utilizzati per gestire il modello pubblicitario selezionato dal consumatore (ad esempio cookie per misurare le prestazioni di un annuncio specifico o per eseguire pubblicità contestuale) poiché i consumatori hanno già espresso la loro scelta rispetto a uno dei modelli di business”.
Poiché il modello di business pubblicitario viene accettato dall’utente, e poiché lato impresa, sussiste la necessità di misurare la performance dei servizi pubblicitari, è bene prevedere che i cookie non strettamente necessari per l’erogazione dello specifico servizio pubblicitario richiedano un consenso separato, considerata peraltro la diversa finalità.
In pratica, riecheggia la regola: “tanti consensi, tante finalità”.
Principio G
Il principio G sostiene che “Non dovrebbe essere chiesto al consumatore di accettare i cookie nell’arco di un anno dall’ultima richiesta. Il cookie per registrare il rifiuto del consumatore è necessario per rispettare la sua scelta”.
Si tratta di un altro dei principali motivi del “cd affaticamento dei cookie”, particolarmente sentito dalle persone più attente alla privacy. In altri termini, i dissensi o meglio la revoca dei consensi va registrata correttamente anche al fine di ridurre l’affaticamento dei cookie, e l’EDPB ritiene congruo e ragionevole almeno un anno, prima di richiedere nuovamente il consenso.
Non solo, l’EDPB tiene altresì a chiarire che il record del “consenso negativo” basato sui cookie non deve contenere un identificatore univoco, ma informazioni generiche, un flag o un codice, comune a tutti gli utenti che hanno rifiutato il consenso.
Principio H
Il principio H da ultimo prevede che “Saranno accettati segnali provenienti da applicazioni che offrono ai consumatori la possibilità di registrare in anticipo le proprie preferenze sui cookie con almeno gli stessi principi sopra descritti”.
In pratica, gli utenti se decidono di rifiutare sistematicamente devono essere messi in grado di poterlo fare. In caso di decisioni automatizzate, infatti l’EDPB riconosce la capacità dei software di consentire agli utenti di proteggere le proprie apparecchiature terminali, incoraggiando l’impiego della protezione dei dati per impostazione predefinita o di progettazione, ma con la dovuta cautela specie con riferimento al “sì” predefinito che in linea teorica non costituisce di per sé stesso un valido consenso.
Conclusioni e accountability
In conclusione, è interessante notare come l’EDPB nel documento/lettera disaminata ritorni più volte su due concetti: da un lato sul fatto che la legislazione in materia di privacy e data protection non deve essere un argomento “inibitorio” circa la preferenza di un individuo di accettare o meno i cookie; e dall’altro tiene a precisare in più di un’occasione nel corso della lettera in risposta, che l’adesione a questi principi non equivale al rispetto del GDPR o della Direttiva ePrivacy.
In pratica e in estrema sintesi, non basterà richiamarsi a questa lettera per potersi definire o meglio essere, per ragioni di accountability, adeguatamente compliant.
