Cookie banner: pubblicato il report della task force dell’EDPB (English version available)

25 Gennaio 2023

English version below

***

Lo scorso 18 gennaio, la cookie banner task force dell’European Data Protection Board (“EDPB”) ha presentato il report relativo all’uso dei cookie banner e dei dark pattern.

Il report, allo stato ancora in bozza e da discutere e finalizzare, analizza diverse pratiche implementate dai gestori di siti, evidenziandone le criticità e fornendo alcune minime precisazioni utili nella implementazione/modifica dei cookie banner.

Con il report, i membri della task force si soffermano, in particolare, sulla conformità delle pratiche implementate alle disposizioni di cui:

  • alla Direttiva 2002/58/EC (“Direttiva ePrivacy”) e, pertanto, alla normativa nazionale che l’ha recepita, per quanto concerne la fase di deposito o lettura dei cookie; e
  • al Regolamento (UE) 2016/679 (“GDPR”), in relazione alla fase di trattamento dei dati, successiva alle operazioni di cui al punto che precede.

La task force dell’EDPB ha analizzato, dal punto di vista pratico, diverse casistiche riscontrando e rilevando quanto segue:

  1. assenza di un pulsante di rifiuto dei cookie, con presenza di un pulsante di accettazione e/o della possibilità di accedere a ulteriori opzioni. Sul punto, i membri della task force hanno rammentato che, per impostazione predefinita, i cookie che richiedono il consenso possono essere utilizzati previa acquisizione del consenso, il quale deve essere espressione di una azione positiva dell’utente. La task force ha altresì rilevato che molte autorità concordano nel ritenere che l’assenza di un pulsante di rifiuto non sia in linea con i requisiti richiesti per un valido consenso e, pertanto, costituisca una violazione della normativa. Altre autorità, invece, osservano che l’art. 5(3) della Direttiva ePrivacy non fa un riferimento esplicito al pulsante di rifiuto e, pertanto, la sua assenza non costituisce una violazione della normativa;
  2. presenza di caselle pre-selezionate nel secondo livello del cookie banner (ad es. dopo che l’utente ha cliccato sulla voce “Impostazioni” nel primo livello). In merito, i membri della task force confermano che caselle preselezionate, al pari del silenzio e l’inattività, non configurano un valido consenso ai sensi del GDPR (cfr. Considerando 32 del GDPR) e dell’art. 5(3) della Direttiva ePrivacy;
  3. sostituzione del banner di rifiuto e/o di maggiori informazioni con appositi link che inducono gli utenti a ritenere che occorra prestare il consenso per poter accedere ai contenuti del sito e/o che li spingano a dare il consenso. Sul punto, la task force ha ritenuto che, in ogni caso, dovrebbe essere presente una chiara indicazione del significato del banner, delle finalità del consenso richiesto e delle modalità di consenso ai cookie;
  4. configurazione ingannevole di alcuni banner con utilizzo di colori e contrasti che evidenziano i pulsanti di accettazione rispetto alle altre opzioni. Sul punto, la task force ha evidenziato che non è possibile imporre uno standard di colori e/o contrasti da utilizzare sui banner. Per valutare la conformità di un banner sarà invece necessario effettuare una valutazione caso per caso, verificando che i colori e contrasti implementati non siano “palesemente” fuorvianti per gli utenti e non determinino, pertanto, un consenso involontario e, come tale, non valido;
  5. errata individuazione quale base giuridica per i contenuti personalizzati nel legittimo interesse. Sul punto, la task force ha confermato che tale individuazione risulta in contrasto con l’art. 5(3) della Direttiva ePrivacy e con il GDPR;
  6. classificazione inaccurata e imprecisa dei cookie “essenziali” o “strettamente essenziali”. Sul punto, la task force ha evidenziato che l’individuazione dei cookie essenziali risulta difficoltoso posto che le caratteristiche degli stessi cambiano frequentemente e ciò impedisce di stilare un elenco preciso e affidabile;
  7. mancanza di una icona per la revoca del consenso. Sui siti web dovrebbero essere presenti soluzioni facilmente accessibili che consentano agli utenti di revocare il proprio consenso in qualsiasi momento (ad es. una piccola icona sempre visibile o un link collocato in un punto visibile). Oltre ai requisiti richiesti dalla normativa applicabile per la raccolta del consenso, la task force ha rammentato che l’utente deve avere la possibilità di revocare, in qualsiasi momento, il proprio consenso con la stessa facilità con cui è stato accordato.

Il tema dei cookie e, in particolare, il loro corretto utilizzo è da diverso tempo molto acceso e dibattuto. Nel nostro Osservatorio abbiamo già trattato il tema in diverse occasioni, quali, a titolo esemplificativo:

nonché, in merito al tema di Google Analytics:

In generale, in merito ai cookie, esiste ormai da diverso tempo, uno specifico framework normativo, sia a livello europeo, che a livello nazionale, quali:

Alla luce di quanto sopra, il report della task force dell’EDPB, nonché tutto lo specifico framework normativo, risultano essere, in un’ottica di conformità alla normativa applicabile, un utile riferimento da tenere in considerazione nella fase di implementazione e/o modifica dei cookie banner.

***

English version

Cookie banner: EDPB task force adopts final report

On January 18th, 2023 the cookie banner task force of the European Data Protection Board ("EDPB") has presented its final report on the work undertaken by the task force about the use of cookie banners and dark patterns.
The report, still in draft and to be discussed and finalized, results from the coordination of the members of the task force and analyzes several practices implemented by websites, highlighting their critical issues and providing some clarifications that may be useful in the implementation/modification of cookie banners.

With the report, the task force members focus, in particular, on the compliance of the implemented practices with the:

  • Directive 2002/58/EC ("ePrivacy Directive") and, therefore, the national legislation that transposed it, in relation to the placement or reading of cookies; and
  • Regulation (EU) 2016/679 ("GDPR"), in relation to the subsequent processing activities undertaken by the controller of data, meaning the processing which takes place after storing or gaining access to information stored in the terminal equipment of a user in accordance with art. 5(3) ePrivacy Directive.

The task force has analyzed, in practice, several case studies finding and detecting the following indications:

  1. absence of a reject button on the first layer, with the presence of an accept button and/or the a button that allows the data subject to access further options. On this point, the task force members recalled that, by default, no cookies which require consent can be set without a consent and that consent must be expressed by a positive action on the part of the user. The task force has also observed that a vast majority of authorities considered that the absence of refuse/reject/not consent options is not in line with the requirements for a valid consent and, therefore, constitutes an infringement. However, few authorities considered that Article 5(3) of the ePrivacy Directive does not explicitly mentioned a reject button and, therefore, its absence cannot be retained an infringementn;
  2. presence of pre-ticked boxes on the second layer of the cookie banner (e.g., after the user clicked on the "Settings" button of the first level). In this regard, the task force members confirmed that pre-ticked boxes to opt-in, as well as silence and inactivity, do not lead to valid consent under the GDPR (see in particular Recital 32 of the GDPR) and Article 5(3) of the ePrivacy Directive;
  3. replacement of the reject button and/or more information options with links that gives users the impression that they have to give a consent to access the website content and/or that clearly pushes the user to give the consent. On this point, the task force agreed that, in any case, there should be a clear indication on what the banner is about, on the purpose of the consent being sought and on how to consent to cookies;
  4. configuration of some cookie banners in terms of colours and contrasts of the buttons that clearly hightlights the "accept" button over the available options. On this point, the task force agreed that a general banner standard concerning colour and/or contrast cannot be imposed on data controller. In order to assess the conformity of a banner, a case-by-case verification must be carried out, checking that the colours and contrasts used are not "obviously" misleading for the users and do not, therefore, result in unintended and, as such, invalid consent from them;
  5. improper identification as the legal basis for personalized content in the legitimate interest. On this point, the task force confirmed that this identification is not in line with article 5(3) of the ePrivacy Directive and the GDPR;
  6. inaccurate classification of "essential" or "strictly essential" cookies. On this point, the task force agreed that the assessment of cookies to determine which ones are essential raises practical difficulties, in particular due to the fact that the features of cookies change regularly, which prevents the establishment of a stable and reliable list of such essential cookies;
  7. no withdraw icon. Website owners should put in place easily accessible solutions allowing users to withdraw their consent at any time (e.g., a small icon that is permanently visible or a link placed on a visible and standardized place). In addition to the requirements for the collection of consent to be valid in accordance with the applicable laws, the task force reminded that users should have the possibility to withdraw consent at any time and the withdrawal must be as easy as to give consent.

Cookies and, in particular, their appropriate use has been widely discussed and debated for a considerable time. In our Observatory, we have already treated the subject on several occasions, such as, but not limited to:

as well as, about Google Analytics:

In general, about cookies, there is a specific regulatory framework, both at the European and national level, such as:

In light of the above, the report, as well as the specific regulatory framework, results to be, from a compliance perspective with the applicable regulations, a useful reference to be taken into account when implementing and/or modifying cookie banners.

2024 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross