Cookie wall Linee guida dell’EDPB sui cookie wall e il consenso valido
Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui il titolare di un sito web, deve ottenere e conservare il consenso ai cookie dei visitatori provenienti dall'UE.Fine modulo
Il cookie wall è una tecnica utilizzata dai siti web per negare l'accesso agli utenti che non acconsentano a tutti i cookie e tracker presenti su un determinato sito.
Si tratta di una sorta di barriera che mette l'utente in una situazione di "prendere o lasciare", in cui questi deve scegliere di accettare i cookie di marketing e simili tecnologie di tracciamento, oppure vedersi precluso l’accesso al sito web e ai relativi servizi.
A partire da maggio 2020, tuttavia, le linee guida del Comitato europeo per la protezione dei dati (EDPB) sul consenso valido escludono i cookie wall dalle modalità valide per ottenere il consenso dell’utente al trattamento dei dati personali e all’uso dei cookie.
Cos'è un cookie wall?
I cookie wall sono dei veri e propri muri, delle pareti che circondano i siti internet, che gli utenti possono attraversare solo accettando i cookie e i tracker del dominio, la maggior parte dei quali elaborerà i loro dati personali.
Come detto, i cookie wall delineano uno scenario del tipo “prendere o lasciare”, predisposto dai siti web in modo tale da assicurarsi che tutti i cookie e i tracker siano attivati, raccogliendo così quanti più dati possibili, anche contro la volontà degli utenti.
Alcuni siti web, magari, utilizzano i cookie wall nel timore che il consenso specifico comprometta il loro funzionamento, nel caso in cui agli utenti sia concessa la possibilità di accettare solo una parte dei cookie. Più avanti sfateremo anche questo mito!
Che aspetto ha un cookie wall?
Di fatto, il cookie wall è una particolare variante del cookie banner con cui gli utenti interagiscono quotidianamente su Internet. Solo che un cookie wall non lascia all'utente alcuna reale possibilità di selezionare o deselezionare determinate categorie di cookie, come i cookie di marketing che in genere ospitano miriadi di tracker finalizzati a tracciare i dati privati per conto di aziende ad tech. Ciò significa che il cookie banner, che dovrebbe essere una soluzione interattiva che permette all'utente di esprimere un consenso specifico, diventa invece un cookie wall - e l'unico modo per liberarsene è cliccare su OK.
Il cookie banner, quando viene implementato in modo tale da forzare il consenso di massa degli utenti, è noto anche come "cookie wall". Può essere implementato in diversi modi per soddisfare le differenti leggi sulla privacy di tutto il mondo: nell’UE, tuttavia, questa implementazione non è conforme.
I cookie wall esistono su innumerevoli siti in tutto il web, anche su molti portali di notizie a cui la gente si affida per le informazioni quotidiane (e anche, ironia della sorte, per quelle riguardanti la privacy).
Immagina di voler comprare un giornale, ma di poterlo fare solo a condizione di rivelare allo sconosciuto edicolante, e a decine di altre terze parti, informazioni private estremamente dettagliate sulla tua vita, sulla tua famiglia e sui tuoi rapporti più stretti.
Oppure immagina di voler entrare in un supermercato, ma di potervi accedere per fare acquisti solo dopo esserti spogliato e aver consegnato il tuo portafoglio, compreso di tessera sanitaria.
Sembra assurdo, ma tutto ciò è paragonabile alla situazione che i cookie wall creano per l’utente finale quando, come pagamento per l’accesso a un sito, richiedono che questi rinunci al controllo dei propri dati privati, consegnandoli invece a società di tecnologia pubblicitaria, le quali creano profili spaventosamente dettagliati su ciascuno di noi e poi li vendono in tempo reale in aste di dati comportamentali.
Non sai se il tuo sito web è conforme al GDPR?
Le linee guida dell'EDPB sul consenso valido: i cookie wall sono legali?
Certo che no! I cookie wall sono una modalità illecita per ottenere il consenso delle persone situate nell’Unione Europea.
Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha rilasciato nuove linee guida che fanno chiarezza sulla legalità dei cookie wall e su ciò che costituisce un valido consenso.
L'EDPB è un organo di controllo indipendente composto dai rappresentanti di tutte le autorità nazionali per la protezione dei dati dell'UE.
Il compito dell'EDPB è quello di garantire un'applicazione coerente del GDPR e della Direttiva ePrivacy all'interno dell'UE, emanando linee guida e indirizzando le autorità nazionali per la protezione dei dati verso un'applicazione coerente.
Le linee guida dell'EDPB del 05/2020 escludono di fatto i cookie wall dai mezzi validi che i siti web possono utilizzare per ottenere il consenso dei loro utenti al trattamento dei dati personali.
Nelle sue linee guida, l'EDPB afferma chiaramente che i cookie wall sono illegali.
I cookie wall agiscono ponendo il consenso degli utenti al trattamento dei loro dati personali come condizione per l'accesso a un servizio: l'EDPB stabilisce nelle sue linee guida che ciò non costituisce un consenso valido.
“L'accesso a servizi e funzionalità non può essere subordinato al consenso dell'utente alla memorizzazione, o all'accesso a informazioni già memorizzate, nel dispositivo dell'utente” (linee guida EDPB 05/2020, pagina 11; traduzione a cura di Cookiebot)
Le presenti linee guida dell'EDPB non ammettono l'uso dei cookie wall, in quanto - come abbiamo spiegato - i cookie wall agiscono costringendo gli utenti a installare cookie o a farsi dare accesso a cookie già memorizzati, in cambio dell'accesso ai servizi e alle funzionalità.
I cookie wall, quindi, non sono conformi al GDPR, dal momento che non soddisfano i requisiti che prevedono che il consenso debba essere espresso liberamente e sulla base di una vera e propria scelta.
Il GDPR e il consenso
Ai sensi del GDPR, un consenso valido deve essere:
- Accordato liberamente
- Specifico
- Consapevole
- Inequivocabile rispetto alla volontà dell'utente
In altri termini, un consenso valido deve essere un'indicazione libera, specifica, consapevole e inequivocabile del fatto che l'utente accetta l'uso di cookie e tracker del tuo sito web per il trattamento dei suoi dati personali. Un consenso, per essere valido, deve essere un'azione chiara e affermativa da parte dell'utente.
Il GDPR specifica chiaramente che il consenso deve essere fornito liberamente, e le linee guida dell'EDPB di maggio 2020 precisano che il consenso dell'utente ottenuto attraverso i cookie wall non è valido, proprio perché il consenso non è stato fornito liberamente, essendo condizione necessaria per la visita del sito web.
Le linee guida di maggio 2020 stabiliscono l’illegalità dei cookie wall.
Come agisce un cookie wall?
La maggior parte dei siti web nel mondo ha cookie di prima e terza parte incorporati nel proprio codice sorgente. Si spazia dai cookie necessari, fondamentali per il funzionamento di un sito web, ai cookie statistici, che spesso utilizzano dati anonimizzati per fornire informazioni sul funzionamento di un sito web.
Ci sono poi i cookie di marketing che vengono impostati da aziende ad tech esclusivamente allo scopo di raccogliere dati personali per profilare gli utenti nel quadro della pubblicità comportamentale (e per altre finalità sinistre).
I cookie wall agiscono rendendo il consenso una condizione per l'accesso a un sito web e ai suoi servizi, negando l'accesso agli utenti che non danno il loro pieno consenso a tutti i cookie.
I diversi tipi di cookie hanno molti scopi differenti - alcuni sono addirittura una violazione della privacy, ed è per questo che le normative europee sulla protezione dei dati - il Regolamento generale sulla protezione dei dati e la Direttiva ePrivacy - sono in vigore per controllare e disciplinare le modalità di utilizzo di questi cookie e tracker da parte di aziende, organizzazioni e siti web.
Il GDPR prescrive che i responsabili del trattamento dei dati debbano ottenere il consenso preventivo degli utenti, prima di poter procedere a qualsiasi trattamento dei loro dati. Il consenso è una delle sei basi legali per il trattamento dei dati personali nell'UE ed è la più diffusa per i siti web e le aziende in tutto il mondo.
In questo contesto, il banner di consenso ai cookie è nato come un modo per far sì che i responsabili del trattamento dei dati siano conformi al GDPR e all'ePR nel momento in cui acquisiscono i consensi degli utenti per il trattamento dei dati.
Un cookie wall è un cookie banner ibrido che procura qualcosa di simile al consenso dell'utente, ma senza lasciare all'utente la possibilità di accordare il proprio consenso ad alcuni tipi di cookie piuttosto che ad altri. Agisce bloccando l'accesso al sito, a meno che l'utente non clicchi "ok" a tutti i cookie e i tracker.
Cos'è il consenso specifico?
Il consenso specifico implica che i tuoi utenti possano indirizzare separatamente il loro consenso alle diverse categorie di cookie:
- Cookie necessari
- Cookie di preferenza
- Cookie statistici
- Cookie di marketing
Il consenso specifico è il futuro
Offrendo agli utenti la possibilità di scegliere autonomamente i cookie e i tracker di cui intendono permettere l'installazione sui propri dispositivi, i siti internet rispettano il requisito del GDPR relativo alla base giuridica per il trattamento dei dati personali.
Ma non è tutto: rispettano anche la privacy e l’autonomia degli individui che stanno dall’altra parte dello schermo – quelli che, al di là delle definizioni tecniche di “soggetti” o “interessati” - sono persone in carne e ossa, le cui vite intime e riservate rischiano di essere gravemente violate dalla raccolta dei dati da parte dei tracker di terzi.
Sul rispetto della dignità della privacy e il sincero riguardo per l'autonomia delle altre persone è difficile legiferare: più che legge, è... cultura.
La posizione dell autorità nazionali per la protezione dei dati sui cookie wall
Prima che l'EDPB adottasse le linee guida sui cookie wall nel maggio 2020, le autorità nazionali per la protezione dei dati di alcuni paesi dell'UE avevano già iniziato a pronunciarsi sulla legittimità dei cookie wall ai sensi del GDPR.