Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.
0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Proposte per l'uso corretto dei cookie

27/12/2023

Proposte per l'uso corretto dei cookie


Il Comitato europeo per la protezione dei dati si è espresso recentemente sull'uso dei cookie. Lo ha fatto nell'ambito, più ampio, delle prossime Linee guida che verranno pubblicate a livello europeo sull'impiego dei cookie, sopratutto per la profilazione degli utenti e per la pubblicità a pagamento.

Si tratta di un documento che esprime delle "raccomandazioni" sull'uso dei cookie alla luce delle recenti evoluzioni tecnologiche avvenute nel campo dela profilazione degli utenti. Il documento si incentra in particolar modo sui sistemi c.d. "cookie wall". Vale a dire sistemi che "impongono" all'utente di scegliere se pagare una somma oppure accettare di essere profilato.

Il documento è ancora in inglese e i nostri legali lo hanno tradotto e analizzato per la redazione della presente guida, a disposizioni di tutti i titolari di siti web ed ecommerce. 

Buona lettura!

 


 SOMMARIO


Contesto di riferimento
Cookie necessari e legittimo interesse
Obbligo di chiara informazione
Modalità di consenso per la pubblicità comportamentale
Quando non serve il consenso separato
Non richiedere il consenso prima di 1 anno
Possibilità di usare strumenti alternativi per esprimere il consenso
Conclusioni


 

Il contesto di riferimento
 


Il documento pubblicato dal Comitato europeo per la protezione dei dati (EDPB) è una lettera che fornisce feedback sui principi preliminari dell'iniziativa "Cookie Pledge" della Commissione Europea.

Si concentra su osservazioni generali e feedback specifici per ogni principio (da A a H), enfatizzando l'importanza del consenso dell'utente, della trasparenza e della conformità al GDPR nella gestione dei cookie e delle scelte pubblicitarie personalizzate.

L'EDPB sottolinea che gli impegni volontari non devono eludere gli obblighi legali e che il consenso deve essere informato, liberamente dato e specifico. Ogni principio viene analizzato, offrendo raccomandazioni per miglioramenti e chiarimenti, specialmente in relazione al GDPR e alla Direttiva ePrivacy. Il feedback dell'EDPB mira a proteggere i diritti fondamentali degli utenti e a semplificare la loro gestione dei cookie e delle scelte pubblicitarie.

 

No richiesta di consenso per cookie necessari e legittimo interesse 

 

Principio A. La richiesta di consenso non conterrà informazioni sui cosiddetti cookie essenziali né il riferimento alla raccolta di dati basata sul legittimo interesse.

Poiché i cookie essenziali non richiedono il consenso, non mostrare le informazioni su di essi nel contesto della richiesta di consenso ridurrà le informazioni che gli utenti devono leggere e comprendere. Inoltre, il legittimo interesse non è un motivo per il trattamento dei dati ai sensi dell'articolo 5(3) della Direttiva ePrivacy, pertanto non dovrebbe essere incluso nel banner dei cookie. Se del caso, la questione del trattamento successivo dei dati basato sul legittimo interesse deve essere spiegata nell'informativa sulla privacy.

 

Il Progetto di Principio A dell'EDPB indica che le richieste di consenso non devono includere informazioni sui cookie "essenziali" o riferimenti alla raccolta dati basata sul legittimo interesse. Spiega che, poiché i cookie essenziali non richiedono consenso, non dovrebbero essere menzionati nelle richieste di consenso, semplificando le informazioni per l'utente. Inoltre, afferma che il legittimo interesse non è una base giuridica valida per l'uso di cookie ai sensi della direttiva ePrivacy. Suggerisce di fornire informazioni sui cookie essenziali separatamente e di chiarire la terminologia per evitare fraintendimenti.

 

Informazione chiara su pubblicità e tracker all'accesso ai siti, con scelta di modelli pubblicitari meno invasivi 


 

Principio B. Quando i contenuti sono finanziati almeno in parte dalla pubblicità, ciò sarà spiegato in anticipo quando gli utenti accedono al sito web/app per la prima volta.
Dal momento in cui un'azienda ottiene ricavi i) esponendo i consumatori alla pubblicità basata sul tracciamento, raccogliendo e utilizzando le informazioni sul comportamento online dei consumatori attraverso i tracker o ii) vendendo ai partner il diritto di inserire i tracker nei dispositivi dei consumatori attraverso il loro sito web, i consumatori devono essere informati del modello di business in questione almeno nello stesso momento in cui viene richiesto il consenso per i cookie. Chiedere ai consumatori di leggere complessi banner sui cookie e solo dopo che non hanno dato il loro consenso metterli di fronte a un ultimatum "paga o abbandona il sito web", potrebbe essere considerato manipolativo.

Principio C. Ogni modello di business sarà presentato in modo sintetico, chiaro e facile da scegliere. Ciò includerà spiegazioni chiare sulle conseguenze dell'accettazione o meno dei tracker.
La maggior parte dei cookie viene utilizzata per implementare un modello di business e pertanto questa concomitanza dovrebbe essere facilmente descritta, compresa e implementata in un pannello comune che raggruppa gli accordi ai sensi della legge sui consumatori e il consenso ai sensi della legge e-Privacy/GDPR. In questo panel verranno presentate le opzioni del modello di business (ovvero accettare la pubblicità basata sul tracciamento, accettare altri tipi di pubblicità o accettare di pagare una tariffa) e le conseguenze in termini di finalità dei tracker, il tutto con un linguaggio semplice e chiaro.

Principio D. Se viene proposta la pubblicità basata sul tracciamento o l'opzione del pagamento di una tariffa, gli utenti avranno sempre la possibilità di scegliere un'altra forma di pubblicità meno invasiva per la privacy. Considerato il numero estremamente limitato di consumatori che accettano di pagare per contenuti online di vario tipo e dato che i consumatori possono navigare su decine di siti web diversi ogni giorno, chiedere ai consumatori di pagare non sembra un'alternativa credibile al tracciamento del loro comportamento online a fini pubblicitari che richiederebbe legalmente di ottenere il consenso.



L'EDPB sostiene la trasparenza sui modelli pubblicitari e la protezione delle apparecchiature terminali. I principi B-D riguardano il consenso valido, enfatizzando che deve essere libero, informato, e senza costrizione. È importante considerare l'assenza di squilibri di potere e la granularità del consenso. Inoltre, le informazioni chiare al momento del consenso sono cruciali, e i modelli commerciali alternativi influenzano la validità del consenso, ma non possono sostituire gli obblighi di informazione.

L'Autorità sottolinea che la pubblicità contestuale, un modello commerciale meno invasivo, dovrebbe essere inclusa nei principi B-D. Sottolinea l'importanza di informare gli utenti su questo modello al momento del consenso. Raccomanda servizi alternativi non a pagamento, oltre alle opzioni a pagamento, per garantire un consenso valido. I gatekeeper del Digital Markets Act devono offrire scelte equivalenti e di qualità simile. La Corte di giustizia europea ha stabilito che gli utenti dovrebbero avere la possibilità di rifiutare il consenso senza dover rinunciare al servizio.

 

gestione dei cookie



Consenso per pubblicità senza bisogno di selezionare ogni tracker, con dettaglio sui cookie nel secondo livello 


 

Principio E. Il consenso ai cookie per scopi pubblicitari non dovrebbe essere necessario per ogni singolo tracker. Per chi fosse interessato, in un secondo livello, dovrebbero essere fornite maggiori informazioni sui tipi di cookie utilizzati a fini pubblicitari, con la possibilità di effettuare una selezione più fine.

Quando gli utenti accettano di ricevere pubblicità, deve essere loro chiarito allo stesso tempo come ciò avviene e soprattutto se i cookie, compresi quelli di terze parti, vengono collocati sul loro dispositivo. Non dovrebbe essere necessario controllare ogni singolo tracker. In effetti, ciò potrebbe richiedere il controllo di uno o duemila partner diversi, rendendo la scelta del tutto inefficace e dando un'illusione di scelta o scoraggiando le persone a leggere ulteriormente, portandole a premere i pulsanti "accetta tutto" o "rifiuta tutto". Questo principio non dovrebbe pregiudicare regole più severe in altre legislazioni settoriali, come la DMA.



Il Principio E dell'EDPB si concentra sui requisiti per un consenso valido, ribadendo la necessità che sia libero e specifico. Sottolinea l'importanza di dare agli utenti la possibilità di rifiutare tutti i cookie non essenziali direttamente dal primo livello del banner. Inoltre, per un consenso valido, è essenziale informare l'utente sull'identità del responsabile del trattamento, sulle informazioni e gli scopi specifici. L'EDPB accetta la possibilità di consentire cookie per scopi pubblicitari specifici, ma con attenzione alla chiarezza e alla trasparenza per l'utente.

 

Nessun consenso separato richiesto per cookie legati al modello pubblicitario scelto dall'utente 


 

Principio F. Non sarà necessario un consenso separato per i cookie utilizzati per gestire il modello pubblicitario scelto dall'utente (ad esempio, i cookie per misurare le prestazioni di un annuncio specifico o per eseguire pubblicità contestuale), in quanto i consumatori hanno già espresso la loro scelta per uno dei modelli di business.

Uno dei motivi della stanchezza da cookie è che tutti i tipi di cookie sono molto spesso descritti in modo lungo e piuttosto tecnico, rendendo una scelta informata complessa e macchinosa e di fatto inefficace. Inoltre, dal momento in cui il modello di business è reso chiaro e accettato dall'utente, la necessità delle aziende di misurare le prestazioni dei loro servizi pubblicitari può essere considerata inestricabilmente legata al modello di business della pubblicità, a cui l'utente ha acconsentito. Altri cookie non strettamente necessari per la fornitura di uno specifico servizio pubblicitario dovrebbero comunque richiedere un consenso separato.



Le norme sulla protezione dei dati richiedono che il consenso sia dato per finalità specifiche e ben definite, senza combinarle. Se l'utente acconsente a determinati usi dei cookie per finalità pubblicitarie, questo si applica solo a operazioni tecnicamente legate a quella finalità, come i cookie per il frequency capping o la misurazione dell'efficacia delle campagne. Altre operazioni non strettamente legate a tale scopo richiedono consenso separato. L'EDPB suggerisce di chiarire il Principio F, riferendosi al consenso per l'uso dei cookie in specifici modelli pubblicitari.


 

 Non richiedere il consenso prima di 1 anno


 

Principio G. All'utente non deve essere chiesto di accettare i cookie entro un anno dall'ultima richiesta. Il cookie per registrare il rifiuto dell'utente è necessario per rispettare la sua scelta.

In ambito cookie, le scelte negative non vengono registrate e devono essere ripetute ogni volta che si visita un sito web o addirittura ogni pagina di un sito web. La registrazione di tali scelte è indispensabile per una gestione efficiente di un sito web e per rispettare le scelte dei consumatori. Inoltre, si dovrebbe adottare un periodo ragionevole, ad esempio un anno, prima di chiedere nuovamente il consenso dei consumatori.


 

Il Principio G riguarda la registrazione del rifiuto o della revoca del consenso. L'EDPB suggerisce di chiarire che la registrazione di un "consenso negativo" non deve contenere identificatori unici, ma informazioni generiche. Questo registro può essere mantenuto per un anno, dopo il quale, se cancellato, è ragionevole richiedere nuovamente il consenso. I gatekeeper della legge sui mercati digitali hanno regole specifiche sulla frequenza delle richieste di consenso.

 

cookie e consenso linee guida

 

Possibile usare strumenti per impostare le preferenze sui cookie 

 

Principio H. Saranno accettati i segnali provenienti da applicazioni che offrono ai consumatori la possibilità di registrare in anticipo le proprie preferenze in materia di cookie, almeno secondo gli stessi principi sopra descritti.

I consumatori dovrebbero avere voce in capitolo se decidono di rifiutare sistematicamente alcuni tipi di modelli pubblicitari. Devono avere la possibilità di farlo e la legislazione sulla privacy e sulla protezione dei dati non deve essere usata come argomento contro tale scelta, a condizione che la scelta automatizzata sia stata fatta consapevolmente.



L'EDPB riconosce l'utilità delle impostazioni software per proteggere le apparecchiature terminali e promuovere la privacy per impostazione predefinita. Supporta l'uso di tali impostazioni per esprimere il rifiuto di accesso e memorizzazione di informazioni, contribuendo a ridurre la fatica da cookie. Tuttavia, è cauto sull'uso delle impostazioni software per esprimere un consenso affermativo, poiché deve essere attivo, specifico e informato. Infine, l'EDPB afferma che le preferenze degli utenti per rifiutare certi modelli pubblicitari non dovrebbero essere ignorate usando la legislazione sulla privacy come scusa.

 
conclusioni sull'uso dei cookie
 

Conclusioni



Le raccomandazioni dell'EDPB sull'uso dei cookie enfatizzano il consenso specifico e informato, la protezione delle apparecchiature terminali e la trasparenza nella gestione dei cookie e della pubblicità online.

I legali di LegalBlink, che vantano una esperienza ultra decennale sull'uso dei cookie e sulla gestione della privacy, stanno monitorando attentamente questi sviluppi per fornire consulenza aggiornata ai siti e alle web agency, e per adeguare il nostro cookie banner in caso di modifiche alle leggi sui cookie. Questo impegno assicura che le nostre soluzioni siano sempre conformi alle normative più recenti.

Avv. Marco Sabani - Team LegalBlink