La scorsa settimana abbiamo parlato dei cookie e della loro regolamentazione ai sensi della legislazione dell'UE e abbiamo accennato al fatto che i cookie non essenziali richiedono il consenso. Questi sono i tipi di cookie che alimentano i servizi di analisi web basati sui cookie, come Google Analytics e Adobe Analytics. Oggi approfondiremo il tema del consenso e il suo significato specifico per l'analisi web.
- Come si presenta il consenso ai cookie?
- Il consenso è specifico
- Quali sono i problemi più comuni legati al consenso?
- Conclusioni
Immergiamoci!
Il consenso e i cookie
Prima di entrare nel vivo della questione, facciamo una panoramica di alto livello sul consenso e sui cookie:
- I cookie di web analytics necessitano sempre del consenso perché non sono essenziali.
- Il consenso previsto dal GDPR è valido solo se soddisfa criteri specifici: è liberamente fornito, specifico, informato, inequivocabile e può essere revocato.
Quindi: i cookie analitici richiedono il consenso e questo consenso deve soddisfare determinati standard. Ciò significa che il banner dei cookie deve essere progettato in un certo modo. Ma c'è dell'altro e, mentre la maggior parte delle regole non è controversa, alcune sono molto dibattute nella comunità legale.
Approfondiamo l'argomento!
Come si presenta il consenso ai cookie?
Il consenso è inequivocabile
In poche parole, il requisito del GDPR per il consenso inequivocabile significa che è valido solo il consenso attivo, opt-in. Non esiste un consenso implicito o opt-out ai sensi del GDPR.
La regola del consenso opt-in ha importanti conseguenze per i cookie banner. Un banner sui cookie ben progettato utilizza una formulazione affermativa come "Accetto i cookie" o "Acconsento all'uso dei cookie". Ciò è diverso dal semplice riconoscimento o comprensione dell'utilizzo dei cookie.
Inoltre, un sito web ben progettato non scrive i cookie finché gli utenti non fanno una scelta. Ignorare un banner o fare clic su un pulsante "chiudi" per eliminarlo non costituisce o implica mai un consenso.
Il consenso è specifico
Il consenso è valido solo se dato per uno scopo specifico. Ciò implica che il consenso deve essere granulare: quando gli stessi cookie vengono utilizzati per più scopi, è necessario ottenere più consensi, uno per ogni scopo.
In pratica, il modo migliore per raccogliere un consenso granulare è quello di utilizzare i cookie di analisi web solo per l'analisi web. In questo modo è possibile raccogliere un consenso separato per altri cookie, come quelli di autenticazione dell'utente, e scrivere cookie essenziali senza il consenso dell'utente (il che è assolutamente corretto ai sensi della legge).
Il consenso è informato
Questo requisito è intuitivo: se non so a cosa sto acconsentendo, non sto acconsentendo in modo significativo. Non ho necessariamente bisogno di capire tutti i piccoli tecnicismi della vostra analisi web, ma ho bisogno di capire i fatti che contano davvero per la mia decisione: chi prende i miei dati, quali dati prende, per quale scopo e con quali potenziali conseguenze.
In pratica, ciò significa che un banner sui cookie dovrebbe:
- Dire all'utente a cosa servono i cookie.
- Utilizzare un linguaggio chiaro, accessibile e accurato.
- Indicare all'utente con chi saranno condivisi i suoi dati personali. Per Google Analytics, ciò include Google e i suoi partner pubblicitari.
Queste informazioni devono essere concise e in inglese semplice. In pratica, di solito è una buona idea fornire le informazioni più importanti attraverso il banner dei cookie e rimandare a un'informativa sui cookie con informazioni più approfondite.
Il consenso può essere revocato
Il consenso è revocabile. Dovreste consentire agli utenti di rivedere le loro preferenze in materia di cookie e di rinunciare facilmente a qualsiasi cookie a cui abbiano acconsentito.
Si noti che la revoca del consenso a volte è accompagnata da una richiesta di cancellazione. In questo caso, si ottiene una scadenza per la cancellazione di tutti i dati del richiedente. Ciò significa tutti i dati di analisi web relativi ai cookie e all'ID univoco in essi contenuto.
La maggior parte delle aziende non pensa a questo aspetto quando imposta l'analisi web e non ha idea di cosa fare quando riceve una richiesta di cancellazione. Non possiamo approfondire troppo la questione, ma un'organizzazione dovrebbe, come minimo:
- stabilire una procedura chiara per la gestione delle richieste
- assicurarsi di poter recuperare e cancellare facilmente i dati dei singoli utenti. Per l'analisi web, ciò significa poter filtrare i dati in base a ID univoci.
Il consenso è dato liberamente
Il GDPR richiede che ogni consenso sia dato liberamente. Questo è il motivo per cui l'ospedale non può raccogliere il consenso all'uso dei vostri dati come requisito per fornire assistenza sanitaria e perché i datori di lavoro dovrebbero astenersi dal far firmare ai dipendenti i moduli di consenso del GDPR. Non avete alcuna scelta significativa quando negare il consenso significa morire o perdere il lavoro.
Quali sono i problemi più comuni legati al consenso?
Ultimamente sono emersi due problemi di conformità con le analisi web. I banner ingannevoli sui cookie sono diffusi in tutto il mondo e cercano di indurre gli utenti ad accettare i cookie che non desiderano veramente, mentre i cookie wall richiedono ai visitatori di pagare per liberarsi dei cookie.
Entrambe le questioni sono piuttosto controverse nella comunità della privacy. Vediamo di che cosa si tratta e che cosa significa per l'analisi web.
Banner ingannevoli
Accettare i cookie è sempre facilissimo, ma rifiutarli di solito richiede di fare i salti mortali. Si tratta di una scelta progettuale deliberata: molti banner spingono gli utenti ad accettare i cookie rendendo il processo di rifiuto il più fastidioso, confuso e lungo possibile. I visitatori spesso cedono perché non hanno il tempo o la pazienza di capire come uscire da ogni banner sui cookie che vedono.
I design ingannevoli sembrano una buona soluzione per i siti web. Dopo tutto, l'utente ha fatto clic su "Accetto", quindi tutto dovrebbe andare bene. Giusto? Non è così. Se il consenso è stato estorto con l'inganno e l'esaurimento, allora non è né libero né inequivocabile.
Fortunatamente, il Comitato europeo per la protezione dei dati ha preso posizione contro i banner ingannevoli dei cookie. La sua posizione non è unanime, ma è condivisa dalla stragrande maggioranza delle autorità di controllo. Anche noi stiamo iniziando a vedere una seria applicazione delle norme.
In conclusione, se avete davvero bisogno di utilizzare analisi basate sui cookie, siate dalla parte giusta della legge e rendete i vostri cookie facili da rifiutare. Assicuratevi che il pulsante "rifiuta tutto" sia ben visibile, chiaramente formulato e disponibile al primo livello dell'interfaccia del banner!
(E sì, questo significa che molti utenti rifiuteranno i vostri cookie).
Pareti di cookie
Alcuni banner sui cookie non includono il pulsante "rifiuta tutti i cookie" e offrono invece una scelta diversa: gli utenti possono accettare i cookie o sottoscrivere un abbonamento a pagamento che consente loro di navigare sul sito senza cookie. In altre parole: pagare con i propri soldi, pagare con i propri dati o andarsene. Questi banner vengono chiamati cookie wall e sono tipicamente utilizzati dai giornali digitali.
I cookie wall comportano una mercificazione dei dati personali che una parte della comunità della privacy considera indesiderabile nel migliore dei casi e illegale nel peggiore. I sostenitori dei cookie wall affermano che gli editori non possono fornire contenuti gratuitamente e hanno bisogno di entrate pubblicitarie per continuare a lavorare. I critici dei cookie wall indicano la pubblicità contestuale come fonte di guadagno alternativa per gli editori e osservano che un diritto fondamentale come la protezione dei dati non può essere mercificato (tra l'altro, hanno ragione).
In pratica, i chilometri percorsi da un cookie wall possono variare a seconda della giurisdizione in cui ci si trova. Ad esempio, molte testate giornalistiche tedesche utilizzano i cookie wall perché le autorità di regolamentazione tendono a essere piuttosto indulgenti su questo fronte.
Non ci piacciono i cookie wall, ma se volete davvero implementarne uno, potrebbe essere prudente aspettare un po'. Meta ha preso esempio dalle testate giornalistiche e ha implementato uno schema di abbonamento a pagamento nel tentativo di giustificare la sua pubblicità aggressiva basata sulla sorveglianza. Le autorità di regolamentazione europee dovranno presto prendere posizione sull'approccio di Meta e, una volta fatto, probabilmente anche la loro posizione sui cookie wall diventerà più chiara.
(A proposito: il pay-or-ok è una questione davvero importante per il futuro del GDPR! Se siete curiosi di conoscere questo argomento cruciale per la privacy, consultate il nostro blog sugli abbonamenti a Meta).
Conclusioni
Nel complesso, le norme sul consenso per l'analisi web sono piuttosto severe nell'UE. Questo crea un problema per le analisi basate sui cookie: le strategie che portano a buone percentuali di opt-in per i cookie, probabilmente violano la legge. I siti web si trovano tra l'incudine e il martello, dovendo scegliere tra un basso tasso di opt-in o un rischio di conformità.
Ecco perché molte aziende si stanno orientando verso soluzioni analitiche senza cookie. E noi siamo orgogliosi di offrire quella più rispettosa della privacy!
Simple Analytics è la soluzione di analisi web cookieless che non raccoglie dati personali. Questo rende semplice la conformità al GDPR e ad altre legislazioni sulla privacy. Il nostro servizio è anche facile da imparare e da navigare, grazie alla nostra intuitiva interfaccia utente e al pratico assistente AI. Se tutto ciò vi sembra interessante, non esitate a provarci!