Il Regolamento generale sulla protezione dei dati (GDPR) dell'UE è stato approvato nel 2016 ed è in vigore dal 2018. Sebbene la maggior parte delle aziende abbia adottato i banner dei cookie nel tentativo di conformarsi al GDPR, molte notifiche dei cookie non soddisfano effettivamente i severi requisiti del GDPR.
Uno dei motivi principali per cui queste soluzioni non sono GDPR è che utilizzano caselle GDPR controllo pre-selezionate. Secondo il GDPR, le organizzazioni non possono utilizzare metodi di opt-out o impliciti di consenso, tra cui il silenzio, l'inattività e le caselle pre-selezionate.
Continuate a leggere per saperne di più sul motivo per cui le caselle di controllo pre-selezionate per GDPR non sono generalmente consentite per ottenere il consenso per i cookie, quando sono consentite e come potete generare una politica sui cookie GDPR.
Panoramica dei requisiti di consenso GDPR
Rispetto ad altre leggi sulla privacy, il GDPR ha una definizione ristretta di consenso. Come stabilito nell'articolo 7, alle organizzazioni è vietato utilizzare il consenso implicito o l'opt-out.
Il consenso deve invece essere:
- Un chiaro atto affermativo
- Liberamente dato
- Specifico
- Informato
- Inequivocabile
Inoltre, le aziende devono offrire agli utenti un modo semplice per ritirare il consenso dopo averlo dato. Continuate a leggere per scoprire perché le caselle di controllo pre-selezionate non soddisfano la definizione di consenso valido del GDPR.
Tutti i cookie richiedono il consenso dell'utente?
Il GDPR menziona i cookie solo una volta nelle sue 88 pagine. Per avere maggiori indicazioni dobbiamo guardare a un'altra normativa dell'UE: la Direttiva ePrivacy - soprannominata la legge sui cookie.
Se si legge il GDPR insieme alla Direttiva ePrivacy, i cookie di Internet richiedono generalmente il consenso dell'utente. Questo perché lo scopo della Direttiva ePrivacy è quello di proteggere gli utenti da interferenze nella loro "sfera privata". Ciò include i rischi associati agli identificatori nascosti e ai file simili che vengono inseriti nei dispositivi degli utenti a loro insaputa, oltre ai dati personali degli utenti stessi.
Tuttavia, esistono due tipi di cookie internet che non richiedono il consenso dell'utente.
Cookie che devono essere presenti affinché un sito fornisca funzioni di base
Non è necessario il consenso dell'utente se si utilizzano cookie strettamente necessari. Si tratta di cookie che devono essere presenti affinché il sito possa fornire funzioni essenziali, tra cui:
- Cookie che consentono al vostro negozio online di conservare gli articoli di un cliente nel suo carrello.
- Cookie di autenticazione
- Cookie di sicurezza incentrati sull'utente
- Plugin di social media per la condivisione di contenuti, a condizione che non siano utilizzati per tracciare gli utenti
- Cookie di personalizzazione dell'interfaccia utente
Cookie utilizzati esclusivamente per comunicare su una rete di comunicazione elettronica.
Questi tipi di cookie sono chiamati cookie di bilanciamento del carico. Sono inoltre considerati cookie strettamente necessari e non richiedono il consenso dell'utente, purché vengano memorizzati sul dispositivo dell'utente per la durata della sessione. Ne sono un esempio i cookie che:
- Scambio di dati nell'ordine previsto
- Inviare informazioni in rete
- Rilevare la perdita di dati o gli errori di trasmissione
Tutti gli altri cookie - tipicamente legati all'analisi e alla pubblicità - richiedono il consenso perché sono orientati al vantaggio dell'azienda e non a quello dei suoi utenti.
Perché le caselle di controllo pre-selezionate non sono ammesse?
In poche parole, le caselle pre-selezionate GDPR non sono consentite perché non costituiscono un consenso valido.
La questione è stata approfondita dalla Corte di giustizia dell'Unione europea (CGUE) nella causa Planet49 del 2019.
In sintesi: Planet49 gestiva una lotteria sul suo sito web e per partecipare gli utenti dovevano selezionare una casella per acconsentire a ricevere marketing da terze parti. Gli utenti potevano anche scegliere di deselezionare una casella pre-selezionata per acconsentire ai cookie.
Nella sua sentenza, la CGUE ha stabilito che i siti web devono ottenere un valido consenso da parte degli utenti per memorizzare i cookie sui loro dispositivi. In particolare, i siti web devono dare agli utenti la possibilità di fornire un consenso attivo prima di inserire i cookie nei loro computer.
Il consenso attivo significa che l'utente deve fare qualcosa per indicare il proprio consenso.
Poiché le caselle di controllo GDPR pre-selezionate non richiedono all'utente di fare qualcosa per indicare il proprio consenso, non sono considerate un consenso valido. Invece di chiedere all'utente di spuntare una casella per indicare il suo consenso, le caselle di controllo pre-selezionate non richiedono nulla all'utente, solo silenzio e passività.
La CGUE ha inoltre osservato che:
- Il consenso deve essere dato "in modo inequivocabile" e solo un comportamento attivo e affermativo da parte dell'utente può soddisfare questo requisito.
- È impossibile determinare in modo oggettivo se un utente ha dato il proprio consenso informato non selezionando una casella di controllo pre-selezionata. Questo perché l'utente potrebbe non aver letto le informazioni accanto alla casella pre-selezionata o averla saltata del tutto.
- Non è possibile ottenere un consenso valido per più scopi attraverso la stessa richiesta. Ad esempio, non è possibile ottenere un consenso valido da un utente se seleziona una casella di controllo per divulgare informazioni agli sponsor e consentire l'uso dei cookie.
l'utente deve essere in grado di selezionare attivamente la casella di controllo per la quale desidera fornire il consenso, se il suo consenso deve essere considerato inequivocabile.
Altre considerazioni per determinare il consenso
Secondo le linee guida del maggio 2020 sul consenso GDPR del Comitato europeo per la protezione dei dati (EDPD), le aziende devono anche rinnovare qualsiasi consenso ottenuto in base al precedente regime giuridico.
Ad esempio, prima del GDPR, la Direttiva ePrivacy consentiva l'uso di caselle di controllo pre-selezionate, a condizione che venissero utilizzate per ottenere il consenso.
Ciò significa che se prima dell'entrata in vigore del GDPR si utilizzava una casella di controllo pre-selezionata, è necessario richiedere nuovamente il consenso utilizzando un metodo valido.
Quando vanno bene le caselle pre-selezionate?
In breve, le caselle pre-selezionate non vanno bene per i cookie non essenziali perché non soddisfano i requisiti di consenso del GDPR, ma è possibile visualizzarle per i cookie essenziali.
Le caselle di controllo pre-selezionate vanno bene per i cookie essenziali?
Non è necessario utilizzare caselle di controllo pre-selezionate per i cookie "essenziali" che non richiedono alcun consenso. Poiché non richiedono alcun tipo di consenso da parte dell'utente, non è necessario dare agli utenti la possibilità di rinunciare ai cookie essenziali.
Tuttavia, se lo desiderate, potete scegliere di includere una casella di controllo pre-selezionata per i cookie essenziali. l'utilizzo di una casella di controllo pre-selezionata per i cookie essenziali può aiutare il pubblico a comprendere la differenza tra cookie essenziali e non essenziali e a capire che ha la possibilità di optare per i cookie non essenziali.
Le caselle di controllo pre-selezionate vanno bene per altri cookie?
No, le caselle di controllo pre-selezionate non vanno bene per i cookie non essenziali. Come già detto, i cookie non essenziali richiedono un consenso valido. Ciò significa che non è possibile utilizzare una casella di controllo pre-selezionata per ottenere tale consenso.
Cosa succede se si utilizzano caselle di controllo pre-selezionate per i cookie?
l'uE è sempre alla ricerca di aziende che violano i severi standard del GDPR e della Direttiva ePrivacy. Ecco due esempi recenti che illustrano cosa può accadere se non si seguono le decisioni dell'UE in materia di cookie.
Multa da 121 milioni di dollari per i cookie di Google
Il 10 dicembre 2020, l'autorità francese per la protezione dei dati, la Commission Nationale de l'informatique et des Libertés (CNIL), ha inflitto a Google una multa di ben 121 milioni di dollari (100 milioni di euro) per non aver ottenuto il consenso preventivo prima di inserire cookie non essenziali nei browser degli utenti.
La CNIL ha scoperto che ogni volta che gli utenti si recavano su Google.fr, i cookie pubblicitari venivano automaticamente inseriti nei loro browser senza che fosse richiesta alcuna azione da parte loro. Google non ha utilizzato una casella pre-selezionata, ma non ha dato agli utenti la possibilità di scegliere.
Google.fr aveva solo un banner informativo in fondo alla pagina, con un promemoria sulla privacy da parte di Google e due pulsanti, "Accedi ora" e "Ricordami più tardi".
Inoltre, non sono state fornite informazioni sui cookie pubblicitari non essenziali che erano già stati installati sui computer degli utenti quando sono arrivati su Google.fr.
Multa di 42 milioni di dollari per i biscotti di Amazon
Lo stesso giorno in cui Google è stato multato, la CNIL ha multato anche Amazon per 35 milioni di euro (42 milioni di dollari).
Come Google.fr, Amazon.fr ha inserito automaticamente dei cookie nei computer degli utenti senza richiedere loro di compiere alcuna azione per indicare il consenso. Anche le informazioni fornite sui cookie non erano "né chiare né complete".
Come nel caso di Google.fr, il cookie banner di Amazon non dava agli utenti la possibilità di accettare i cookie, e il sito ha inserito i cookie nei dispositivi degli utenti prima che questi avessero l'opportunità di leggere l'informativa sui cookie di Amazon o di rinunciare. Al contrario, si riteneva che gli utenti avessero accettato l'uso dei cookie da parte del sito utilizzando il sito stesso.
Questi casi chiariscono che affidarsi a un consenso implicito o a caselle di controllo pre-selezionate mette la vostra organizzazione a rischio di sanzioni significative. Ai sensi del GDPR e della Direttiva ePrivacy, il consenso deve essere esplicito, informato e basato su una chiara azione dell'utente, non su supposizioni.
Per garantire che le vostre pratiche relative ai cookie siano conformi agli standard legali, utilizzate una soluzione come la gestione del consenso Platform di gestione del consenso Platform diTermly, che vi aiuta a raccogliere consensi validi, a gestire le preferenze e a mantenere registrazioni corrette sul vostro sito.
