La Commissione UE sugli strumenti di tracciamento online: 8 principi per arginare la “cookie fatigue”

Articolo header

Nel mese di marzo 2023 la Commissione europea ha lanciato una nuova iniziativa in materia di cookie. Al termine dei lavori è stato redatto un documento contenente otto principi di alto livello che le organizzazioni possono, volontariamente, impegnarsi a seguire. La bozza dei principi è stata quindi presentata all’EDPB, che, il 13 dicembre 2023 ha adottato una lettera di risposta, complessivamente favorevole all’iniziativa. I DPO che si trovino a dover valutare la conformità dei trattamenti effettuati mediante strumenti di tracciamento online stanno per avere un ulteriore, utile, riferimento in materia.




L’obiettivo della Commissione: arginare la “cookie fatigue”

Partiamo con il chiarire il principale obiettivo perseguito dalla Commissione. L’iniziativa “cookie pledge” (letteralmente un “impegno per i cookie”) mira ad arginare il fenomeno della “cookie fatigue”, ovvero la stanchezza percepita dagli utenti di Internet ogni volta che accedono ad un sito web e si trovano a dover esprimere preferenze per consentire o meno l’installazione di strumenti di tracciamento online.

 

Da cosa deriva la “cookie fatigue”? 

Leggendo il primo “DISCUSSION PAPER” pubblicato dalla Commissione si legge che, a causa degli attuali meccanismi utilizzati per la raccolta del consenso per i cookie (i “cookie banner”), gli utenti non sono messi nelle condizioni di prendere decisioni pienamente informate e consapevoli. Le opzioni sono spesso presentate in modo confusionario, i comandi cambiano così come le informazioni rese agli utenti di volta in volta, i banner risultano complessi e diversi fra loro. A ciò si aggiunge che, per fruire dei contenuti di alcuni siti (pensiamo alle testate giornalistiche online) viene richiesto il consenso a trattamenti di profilazione o, in alternativa, il pagamento di una somma di denaro.


Cosa deriva dalla “cookie fatigue”?

La principale conseguenza della cookie fatigue è che gli utenti accettano sempre o cliccano a caso, cercando di far scomparire i vari banner. Le scelte effettuate, quindi, sono condizionate dal meccanismo del cookie banner e non rappresentano la reale volontà degli utenti che, come dimostrano diverse indagini, preferirebbero non essere tracciati.


L'iniziativa "cookie pledge" 

In risposta alle preoccupazioni relative al fenomeno della cookie fatigue, Didier Reynders, Commissario per la Giustizia e i consumatori, ha avviato una riflessione su come mettere i consumatori in condizione di fare scelte realmente consapevoli. Nel corso dell’anno appena trascorso, sono state indette riunioni aperte a tutti gli stakeholder coinvolti nelle attività di tracciamento sul web (consumatori europei, associazioni commerciali e imprese globali) e sono stati istituiti tre gruppi di lavoro. I partecipanti all’iniziativa hanno potuto fornire contributi scritti e scambiare opinioni attraverso una piattaforma “wiki” dedicata. Dal dibattito è emersa l’esigenza di ulteriori riflessioni volte ad approfondire l’effettiva comprensione, da parte dei consumatori, dei vari tipi di modelli pubblicitari online, le conseguenze delle loro preferenze in materia di privacy e la fattibilità di modelli pubblicitari alternativi.


L’iniziativa “cookie pledge”: l’esito 

Al termine dei lavori è stato redatto un documento che individua otto principi di alto livello sui cookie. Tutte le organizzazioni potranno, volontariamente, decidere di manifestare il proprio impegno al rispetto di tali principi.

  1.  Al fine di ridurre le informazioni da leggere e comprendere, il banner con la richiesta di consenso non conterrà informazioni sui cosiddetti cookie essenziali né il riferimento alla raccolta di dati basata su interessi legittimi. La questione dell’ulteriore trattamento dei dati basato sul legittimo interesse, così come tutte le altre informazioni utili, dovrebbe essere spiegata in ulteriori livelli (la privacy policy completa).
  2. Quando i contenuti sono finanziati almeno in parte dalla pubblicità, ciò sarà spiegato in anticipo quando gli utenti accedono al sito web/app per la prima volta. Chiedere ai consumatori di leggere complessi banner sui cookie e solo dopo che non hanno dato il loro consenso metterli di fronte a un ultimatum “paga o vattene”, potrebbe essere considerato manipolativo.
  3. Ogni “modello di business” sarà presentato in modo sintetico, chiaro e facile da scegliere. Ciò includerà spiegazioni chiare sulle finalità perseguite e sulle conseguenze dell’accettazione o meno dei tracker.
  4. Se viene proposta la pubblicità basata sul tracciamento o sul pagamento di una tariffa, i consumatori avranno sempre la possibilità di scegliere un’altra forma di pubblicità meno invasiva per la privacy. Questo in considerazione del fatto che il numero degli utenti che accettano di pagare per i contenuti online è estremamente limitato e le forme di tracciamento attuali particolarmente invasive.
  5. Il consenso ai cookie per scopi pubblicitari non dovrebbe essere necessario per ogni singolo tracker. Per coloro che sono interessati, in un secondo livello, dovrebbero essere fornite maggiori informazioni sui tipi di cookie utilizzati a fini pubblicitari, con la possibilità di effettuare una selezione più precisa. Questo in quanto sottoporre troppe informazioni agli utenti scoraggerebbe gli stessi dalla lettura, portandoli a premere i pulsanti “accetta tutto” o “rifiuta tutto”.
  6. Dal momento in cui il “modello di business” è reso chiaro e accettato dal consumatore, la necessità delle aziende di misurare le prestazioni dei loro servizi pubblicitari o di prevenire le frodi può essere considerata inestricabilmente legata al modello di business della pubblicità, a cui il consumatore ha acconsentito. Per tale ragione, in questi casi, non sarà necessario un consenso separato.
  7. Al consumatore non deve essere chiesto di accettare nuovamente i cookie prima di un anno dall’ultima richiesta (esempio fornito dalla Commissione di periodo ragionevole). Inoltre, è necessario implementare il cookie per registrare il rifiuto del consumatore, per rispettare efficacemente la sua scelta. Uno dei motivi principali dell’affaticamento da cookie, particolarmente sentito dalle persone più interessate alla propria privacy, infatti, è che le scelte negative non vengono registrate e devono essere ripetute ogni volta che si visita un sito web o addirittura ogni pagina di un sito web.
  8. Saranno accettati i segnali provenienti da applicazioni che offrono ai consumatori la possibilità di registrare in anticipo le loro preferenze in materia di cookie, almeno secondo gli stessi principi descritti sopra.


Il parere dell’EDPB

Come anticipato, il 10 ottobre 2023 il documento contenente l’impegno al rispetto degli otto principi sopra elencati è stato presentato in bozza all’EDPB, al fine di valutarne la conformità al GDPR e alla Direttiva ePrivacy.

Il 13 dicembre 2023, in occasione dell’ultima riunione plenaria, l’EDPB ha adottato una lettera di risposta alla Commissione europea.

In generale, il Comitato europeo per la protezione dei dati accoglie con favore l’iniziativa della Commissione di riunire le parti interessate e promuovere discussioni e scambi di opinioni sull’uso dei cookie e di qualsiasi altro sistema utilizzato per tracciare la navigazione online degli utenti. Al tempo stesso, tuttavia, l’EDPB ricorda che l’assunzione di impegni volontari da parte delle aziende “non equivale né garantisce la conformità al quadro normativo applicabile in materia di protezione dei dati e della privacy” e non pregiudica l’esercizio dei poteri di vigilanza delle autorità nazionali competenti.

Ciò premesso, secondo il Comitato i principi dell’impegno rappresentano un utile riferimento da seguire, per tutelare i diritti e le libertà degli utenti e conferire agli stessi un maggiore controllo sui propri dati personali e sulla propria privacy, in conformità con il GDPR e la direttiva ePrivacy. Per tale ragione ed in considerazione dei lavori che la Commissione porterà avanti sulla bozza di impegno, l’EDPB fornisce alcune considerazioni e precisazioni, volte ad orientare la prossima fase di definizione finale del documento. A seguire si riportano le principali, in relazione agli otto principi sopra riportati:

  • l'EDPB raccomanda di chiarire che rimane necessario fornire agli utenti le informazioni in conformità agli articoli 12-14 del GDPR ogni volta che vengono trattati dati personali, anche se l'accesso o l'archiviazione delle informazioni nelle apparecchiature terminali non richiede il consenso;
  • l'EDPB concorda con quanto previsto nei principi 2 e 3, ma raccomanda alla Commissione di chiarire il concetto di “information on the business models” (informazioni sui modelli di business) che può essere inteso in modi diversi. Al tempo stesso, il Comitato ricorda che, tali informazioni sui business model, non sostituiscono gli obblighi di informazione relativi all'accesso o alla memorizzazione dei dati nelle apparecchiature terminali e al trattamento dei dati personali;
  • l'EDPB ricorda anche che i cookie possono avere molteplici funzioni, al di là dell'implementazione di un modello commerciale. L'EDPB raccomanda pertanto di modificare la prima frase della bozza del principio 3 per indicare che "i cookie possono essere utilizzati per implementare un modello commerciale";
  • l'EDPB raccomanda di aggiungere alle bozze di principi 3 e 4 un riferimento alla pubblicità contestuale come esempio di un altro tipo/forma di pubblicità;
  • l'EDPB raccomanda che la bozza dei principi rifletta la necessità di un’analisi caso per caso per stabilire se il consenso è liberamente dato e valido, tenendo conto delle diverse opzioni fornite all'utente;
  • in relazione al principio 5, l'EDPB raccomanda di confermare esplicitamente nella bozza dei principi che le persone devono avere la possibilità di "rifiutare" tutti i cookie non strettamente necessari nel primo livello del banner. Come minimo, dovrebbe essere chiarito che se un pulsante "accetta" (o "accetta tutti") è presentato su qualsiasi livello, allora dovrebbe essere presentato anche un pulsante "rifiuta" (o "rifiuta tutti"), poiché questo sarebbe un elemento essenziale a favore della validità del consenso;
  • l'EDPB suggerisce di specificare che all'utente, quando gli viene chiesto il consenso, deve essere fornita l'identità degli attori che effettivamente accedono/conservano le informazioni nell'apparecchiatura terminale e/o con cui i dati vengono successivamente condivisi, se applicabile, e non deve essere fornito un elenco di potenziali attori;
  • in relazione al principio 6, l’EDPB chiede alla Commissione di chiarire la spiegazione della bozza del principio, facendo riferimento al consenso per l'uso dei cookie per uno specifico modello di pubblicità, piuttosto che al consenso per un modello di pubblicità;
  • l’EDPB richiede di inserire ulteriori dettagli per una efficace attuazione del principio 7;
  • con riferimento al termine minimo di un anno proposto dalla Commissione al fine di ridurre la frequenza delle richieste di consenso ricevute dall'utente, l’EDPB concorda;
  • Infine, in relazione al principio 8, l’EDPB raccomanda cautela quando si vuole utilizzare le impostazioni del software per esprimere un consenso affermativo. Questo in quanto, affinché il consenso sia valido, gli utenti devono compiere una scelta attiva (ad esempio, un "sì" predefinito non costituirebbe un consenso valido) e deve, tra l’altro, essere specifico e informato, in relazione al contesto specifico in cui viene prestato.

 

A queste considerazioni se ne aggiungono altre di carattere generale:

  • gli interessati devono esprimere il loro consenso con un'azione positiva. Ad esempio, la semplice prosecuzione della navigazione in un sito web o l'utilizzo di impostazioni generali del browser che consentono l'uso dei cookie non costituiscono un consenso;
  • nei casi in cui è richiesto il consenso, l'accesso o la memorizzazione delle informazioni nelle apparecchiature terminali non deve avvenire prima che sia stato ottenuto un consenso valido;
  • gli interessati devono essere informati su come revocare il consenso e devono poter revocare il proprio consenso in qualsiasi momento.


Prossimi passaggi

Il 19 dicembre 2023, la Commissione ha incontrato le imprese dell’ecosistema della pubblicità digitale e le associazioni di consumatori e commercianti per discutere i principi dell’impegno. La Commissione e le parti interessate continueranno a lavorare insieme e a perfezionare i principi, incorporando i commenti dell’EDPB, con l’obiettivo di finalizzare i principi di impegno a gennaio e di presentare una versione finale al vertice dei consumatori nel mese di aprile 2024.

Il passo finale per le parti interessate è discutere questi principi e riflettere sulla possibilità di adottarli su base volontaria. I principi, inoltre, possono costituire un utile supporto per i DPO che si trovino a dover valutare la conformità dei trattamenti effettuati mediante strumenti di tracciamento online. Se desideri restare informato rispetto alle modifiche che verranno apportate alla bozza della Commissione, iscriviti alla newsletter ASSO DPO: clicca qui.


Fonti: 


Altre news