Non sapete che fare col banner dei cookie? Eh no, non c’è spazio per i dubbi amletici, ormai siamo agli sgoccioli… mancano solo 2 mesi all’entrata in vigore delle linee guida del Garante sull’utilizzo di Cookie.
Ciò significa che al rientro dalle vacanze natalizie (più precisamente, dal 9 gennaio), per evitare di incorrere in sanzioni, i siti internet dovranno essersi già completamente adeguati alle nuove e più stringenti specifiche diffuse dall’Autorità italiana a luglio.
Abbiamo già visto i contenuti generali delle linee guida sui cookie in un precedente articolo, ma per avere un’idea più chiara sull’entità delle possibili sanzioni, può essere utile prendere in esame uno degli ultimi provvedimenti dell’AEPD.
A settembre, l’autorità garante spagnola ha sanzionato la società EB Creative Lab per un totale di ben € 5.000. Certo, la situazione in questo caso era piuttosto “estrema”… il sito web analizzato non consentiva agli utenti alcuna azione di rifiuto dei cookie. I cookie, inoltre, comprendevano terze parti ed erano utilizzati per finalità non tecniche e non strettamente necessarie. Non si mostrava alcun banner né un collegamento alla cookie policy, violando così non solo il principio di liceità, ma anche quello di trasparenza del trattamento di dati personali.
La corretta raccolta e gestione del consenso restano comunque i temi fondamentali anche di altri recenti interventi dei Garanti di altri paesi europei. Il punto focale riguarda pertanto le caratteristiche che deve avere il famoso banner. Vale quindi la pena di ricordare subito una regola generale. Il banner “classico”, quello che si limita a informare l’utente sull’utilizzo di Cookie, non sarà più una soluzione tecnicamente e legalmente valida. In particolare, se il nostro sito contiene cookie diversi dai soli cookie tecnici.
Insomma, la barra più detestata del web dovrà evolvere in qualcosa di più utile.
Sul tema si è espressa di recente l’autorità danese, a seguito di una denuncia specifica, è intervenuta sulle scelte di Alstrøm – Din Isenkræmmer ApS relativamente al suo sito e-commerce www.alstrom.dk.
Il caso si è sviluppato in più fasi. In un primo momento, il banner del sito riportava semplicemente i seguenti due tasti: “Leggi l’informativa”, e “Chiudi”. Quindi, la società è stata richiamata sulla mancanza di una base giuridica idonea per elaborare le informazioni degli utenti. Elemento rilevante, gli interessati non avevano modo di opporsi al trattamento dati legato all’installazione dei cookie.
Ma l’aspetto più interessante è come nemmeno il primo tentativo dell’azienda di correggere alla propria mancanza sia stato accolto positivamente dal Garante. Dopo la prima azione dell’autorità, il banner era stato modificato in modo da dare all’utente la possibilità di selezionare o deselezionare le finalità di utilizzo dei cookie, e scegliere tra “ACCETTA” o “ACCETTA TUTTO”.
Una soluzione ormai abbastanza diffusa, che d’altra parte non si discosta molto da quanto specificato anche nelle linee guida italiane sopra citate. Queste, ricordiamo, prescrivono di dare all’utente le seguenti tre scelte: 1. “Accetta tutto”, 2. “Maggiori informazioni”. E infine, 3. il troppo spesso dimenticato comando di chiusura del banner. La “X” in alto a destra dovrà essere equivalente (nella funzione) a un “Rifiuta tutto” o “Accetta solo i cookie necessari.
Ma cosa aveva sbagliato, allora, la società danese?
Le cose su cui si è focalizzato il garante danese, sono due. Ecco allora le lezioni che ci conviene imparare:
• Attenzione al design visivo del banner.
La presenza di differenze tra i pulsanti di accettazione completa, parziale, o di rifiuto, non è idonea, laddove queste differenze spingano l’utente nella direzione del pulsante “ACCETTA TUTTO” (ad es. mostrandolo più grande, più colorato, più raggiungibile… più attraente). Quando si ha a che fare col consenso, la scelta deve essere sempre libera, informata e non influenzata.
• Verificare sempre la configurazione tecnica del sito.
Il banner, di per sé, non serve a nulla, se non è configurato correttamente… Spesso, però, i cookie statistici o di marketing sono installati a prescindere dall’interazione dell’utente con il banner, o comunque prima che l’utente abbia espresso le proprie preferenze, lasciando solo l’illusione che il trattamento di dati sia conforme.