Il 9 febbraio l'autorità bavarese per la protezione dei dati ha pubblicato un comunicato stampa (solo in tedesco) sui risultati di un'indagine su larga scala, in parte automatizzata, sui cookie. L'autorità sospetta che almeno 350 siti web e 15 app stiano violando la legge dell'UE e inseriscano cookie senza consenso.
Sebbene l'indagine sia solo preliminare, ci sono alcuni aspetti importanti che meritano di essere discussi.
- Perché questa indagine è importante?
- Cosa c'era di sbagliato nei cookie banner?
- I banner ingannevoli sui cookie sono legali?
- Perché vedo ancora un sacco di banner ingannevoli sui cookie?
- Il quadro generale
- Riflessioni finali
Perché questa indagine è importante?
Il comunicato stampa evidenzia due punti importanti. In primo luogo, l'autorità richiede un'opzione "rifiuta tutto" alla prima leva del banner dei cookie, come richiesto anche dal Comitato europeo per la protezione dei dati. In secondo luogo, l'autorità ha utilizzato strumenti automatizzati per l' indagine su larga scala e intende esplorarne ulteriormente l'uso in futuro.
Partiamo dai cookie banner. Quali problemi ha riscontrato l'autorità e come si possono evitare nel proprio sito web?
Cosa c'era di sbagliato nei cookie banner?
Secondo l'autorità, la maggior parte dei banner sui cookie non prevedeva l'opzione "rifiuta tutto" nel primo livello. Questo potrebbe sembrare un punto secondario, ma non lo è, ed ecco perché.
Lasciate che vi chieda una cosa: quando è stata l'ultima volta che avete trovato difficile o confuso accettare i cookie da un sito web? La risposta è probabilmente mai. Rifiutare i cookie è di solito fastidioso, confuso e noioso. Eppure, accettarli è facilissimo.
Ciò è dovuto al design. La legge dell'Unione Europea richiede il consenso per i cookie (con alcune eccezioni che non si applicano alla web analytics). I siti web non possono tracciare l'utente senza il suo consenso, quindi fanno di tutto per rendere il processo di rifiuto dei cookie il più difficile e fastidioso possibile.
In genere, l'opzione "rifiuta i cookie" si trova a un livello più profondo del banner dei cookie ed è sepolta tra altre opzioni inutili e confuse. In questo modo il banner dei cookie diventa un piccolo e fastidioso rompicapo: o ci si prende il tempo di risolverlo, o si accettano tutti i cookie e si va avanti con la propria vita. Ci sono altri trucchi nella cassetta degli attrezzi del banner dei cookie, ma nascondere l'opzione "rifiuta tutto" in un secondo livello è il principale.
Il trucco funziona. Molti utenti semplicemente non hanno la capacità digitale di capire il linguaggio e il layout volutamente confusi dei banner sui cookie. Stiamo parlando di milioni di persone che vengono sistematicamente ingannate da siti web non conformi! Anche gli utenti meglio equipaggiati spesso si arrendono alla stanchezza perché giocare al minigioco dei cookie per ogni singolo sito web è fastidioso e richiede molto tempo.
I banner ingannevoli sui cookie sono legali?
No. Se clicco sul pulsante "accetta tutto" perché non ho il tempo/la pazienza/l'alfabetizzazione digitale per capire come "risolvere" un pop-up ingannevole sui cookie, non ho acconsentito liberamente e il mio consenso è, quindi, completamente privo di significato ai sensi del GDPR.
Questa è anche la posizione del Comitato europeo per la protezione dei dati (cioè l'istituzione dell'UE che riunisce le autorità per la privacy). Un recente documento dell'EDPB insiste sul fatto che i pop-up dei cookie devono consentire di rifiutare facilmente il consenso, presentando un'opzione "rifiuta tutto" nel primo livello. Sebbene questa non sia una posizione del tutto unanime, è la posizione della stragrande maggioranza delle autorità di controllo della privacy in Europa, e l'autorità bavarese vi fa espressamente riferimento nel suo comunicato stampa.
In termini pratici, ciò significa che alle autorità europee non piacciono affatto i banner ingannevoli sui cookie. Non solo seppellire il pulsante "rifiuta" nel secondo strato, ma anche l'intera gamma di trucchi.
Perché vedo ancora un sacco di banner ingannevoli sui cookie?
L'autorità bavarese non ha detto nulla di nuovo. Queste regole sul consenso ai cookie esistono da decenni, sono più vecchie dello stesso GDPR.
Il problema è l'applicazione. Molte autorità per la privacy in Europa fanno un buon lavoro, ma le limitazioni di budget e di personale impediscono loro di fare di più. Non sono in grado di perseguire ogni singolo sito web che utilizza un banner di cookie non conforme.
Ecco perché è importante l'uso di strumenti automatizzati. L'automazione di una fase preliminare del lavoro potrebbe consentire alle autorità di applicare la legge in modo più efficace e di minacciare le aziende con indagini su larga scala come quella avviata in Baviera.
È la prima volta che un'autorità europea per la privacy utilizza un software per automatizzare una parte del lavoro di accertamento dei fatti, ma la strategia non è del tutto nuova nel settore della privacy: la ONG per la privacy noyb ha utilizzato con successo strumenti simili per controversie su larga scala contro la non conformità dei cookie, nonostante la modestia del personale e dei mezzi tecnici.
In conclusione, gli strumenti automatizzati non possono sostituire un finanziamento adeguato, ma possono comunque essere di grande aiuto. Sono uno strumento molto interessante e ci auguriamo che le autorità prendano esempio dalla Baviera e ne esplorino l'uso.
(E sia chiaro: nessuno verrà multato solo perché lo dice il computer! L'autorità ha automatizzato solo la parte più "stupida" del lavoro. Le multe potranno essere comminate solo dopo un'indagine umana su ciascun caso, e i siti web potranno difendersi in un'adeguata procedura legale).
Il quadro generale
Tutta questa discussione sul design dei pop-up potrebbe sembrare una questione di pignoleria, ma non è così. Il design ingannevole dei cookie banner è il sintomo di un problema più ampio.
Alle aziende piace tracciare gli utenti, ma agli utenti non piace essere tracciati. Il 96% degli utenti di iPhone ha rinunciato alla raccolta di dati da parte di terzi non appena Apple ha dato loro la possibilità di farlo. E nel 2022, il 35% degli utenti di Internet in tutto il mondo utilizzava un blocco degli annunci, nonostante il blocco degli annunci non fosse una funzione integrata nei browser predefiniti.
Poiché agli utenti non piace essere tracciati, l'industria dell'ad tech deve fare appello a una finzione di consenso, utilizzando al contempo tutti i trucchi del caso per estorcere il consenso. Questa finzione gioca un ruolo cruciale nel modo in cui l'industria dell'ad tech legittima l'uso di strumenti di tracciamento invasivi e dannosi in un mondo sempre più attento alla privacy.
Vediamo questa strategia in gioco anche in altri scenari. Google sostiene che gli utenti Android hanno in qualche modo acconsentito a essere tracciati attraverso i loro ID pubblicitari, nonostante il fatto che non sia mai stato chiesto loro di farlo. E Meta sostiene che l'utente è "libero" di acconsentire a essere profilato, senza considerare che l'alternativa è pagare 250 euro all'anno.
Ma il GDPR rende questa finzione difficile da sostenere. Questo è il motivo per cui le autorità di regolamentazione hanno messo in difficoltà Meta per il suo modello di business da un po' di tempo a questa parte, e per cui le controversie contro l'uso improprio di Google Analytics e di strumenti di tracciamento simili stanno ottenendo sempre più successo a livello europeo (ad esempio, la recente e potenzialmente rivoluzionaria vittoria contro il gigante dell'ad tech Criteo).
Riflessioni finali
Un passo alla volta, lo slancio sta finalmente cambiando contro la sorveglianza online. Eludere le regole è ancora possibile, ma diventa ogni giorno più rischioso.
Se volete assicurarvi che il vostro banner sui cookie sia conforme, consultate il nostro blog sull'argomento. Ma non fatevi illusioni: la progettazione di banner cookie conformi fa scendere i tassi di opt-in di un margine significativo. Ecco perché così tanti siti web violano le regole chiare che abbiamo!
Esiste quindi un compromesso fondamentale per l'analisi basata sui cookie. Si può avere un buon tasso di opt-in, oppure il rispetto delle regole.
Abbiamo costruito Simple Analytics in modo che non dobbiate scegliere. Vi forniamo tutte le informazioni necessarie sulle prestazioni del vostro sito web senza utilizzare i cookie e senza raccogliere alcun dato personale. Il nostro software è leggero e facile da imparare, con un'interfaccia utente intuitiva e un pratico assistente AI.
Se tutto questo vi sembra interessante, non esitate a provarci!