Facendo seguito alla relazione adottata dall’EDPD sul lavoro svolto dalla Cookie Banner Task Force alcune settimane fa, l’EDPD ha ora pubblicato esempi di pratiche non conformi per aiutare meglio i gestori di siti web a raggiungere la conformità. In risposta alle pubblicazioni dell’EDPD, l’autorità francese per la protezione dei dati,
“incoraggia fortemente le organizzazioni a rivedere i propri cookie banner alla luce delle raccomandazioni contenute nel rapporto.”
Questo rapporto è il risultato della collaborazione tra le varie agenzie europee per la protezione dei dati, che è stato presentato per rispondere ai reclami ricevuti dall’organizzazione NOYB sui cookie banner.
La ricerca include una serie di pratiche diffuse rilevate sui cookie banner dei siti web operanti nella regione europea e valuta se sono conformi ai vari standard in vigore (in particolare: la direttiva ePrivacy e il GDPR). Potrebbe essere possibile utilizzarlo come guida per i gestori di siti Web e applicazioni quando chiedono il permesso dell’utente di leggere o memorizzare i cookie (e/o altre tecnologie equivalenti) sul proprio dispositivo.
Il rapporto esamina, tra l’altro, le seguenti pratiche:
Le caselle preselezionate . Indipendentemente dal livello del banner in cui è presente la casella di controllo, le caselle preselezionate non rappresentano un’autorizzazione legittima ai sensi del GDPR o dell’ePrivacy.
Disegno fuorviante . La task force ha richiamato l’attenzione su molte pratiche fuorvianti di layout dei banner.
L’interesse legittimo . Alcuni siti Web elaborano ulteriormente i dati dopo aver inserito o letto i cookie in base all’interesse legittimo piuttosto che al consenso dell’utente. Il documento ricorda ai lettori che la mera memorizzazione o lettura dei cookie non può essere giustificata da un interesse legittimo e che anche qualsiasi ulteriore trattamento derivante da tali azioni deve essere conforme al GDPR.
L’assenza di un pulsante “rifiuta tutto” allo stesso livello del pulsante “accetta tutto”. La maggior parte delle agenzie per la protezione dei dati, tra cui l’ODA, ha considerato ciò come una violazione e ha ritenuto che gli utenti dei siti Web dovessero avere accesso alla scelta di consentire o disabilitare il deposito/la lettura dei cookie sui propri dispositivi.
L’ODA vuole ricordare ai lettori che il GDPR e l’articolo 5.3 dell’ePrivacy hanno un’ampia applicazione e si applicano a una varietà di piattaforme tecnologiche (come, tra l’altro, l’uso della “memorizzazione locale”).
Richiama inoltre l’attenzione sul fatto che lo studio si limita a fornire esempi di infrazioni palesi, senza andare oltre. Pertanto, non si può presumere che qualsiasi comportamento non specificato nella segnalazione si attenga automaticamente alla normativa vigente.
Visita il sito Web dell’EDPB per leggere l’intero rapporto: https://edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-cookie-banner-taskforce_en