I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali…buoni, si scherza. Per lo smarmello su cosa sono i cookie ci sono infinite ripetizioni della formula, seconda solo al Lorem Ipsum per frequenza d’impiego e notorietà all’interno dell’ecosistema dei siti web. Qui cerchiamo di capire come fare un cookie banner perfetto per il proprio sito web in modo pratico.
Una task force dell’EDPB ha pubblicato un report dedicato alle prassi illecite più diffuse per la gestione dei cookie, segnalandole e fornendo delle indicazioni a chiarimento.
Ma perchè ci dovrebbe interessare? Tutto nasce dagli obblighi previsti dall’incontro fra direttiva ePrivacy (che speriamo prima o poi possa diventare un Regolamento) e GDPR. E il nodo fondamentale svolto dal consenso da fornire per alcuni cookie, dal momento che per installarli sul dispositivo dell’utente occorre rispettare una prescrizione specifica:
“Gli Stati membri assicurano che l’uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente interessato sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l’eventuale memorizzazione tecnica o l’accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente.” (art. 5.3 Dir. ePrivacy)
Cerchiamo di essere chiari: per essere in regola con la normativa cookie non è sufficiente installare un banner e un cookie manager, ma almeno è un inizio. Gran parte sta però nel saperli impostare correttamente evitando una serie di errori di design dei siti web. Altrimenti, il rischio è cadere quanto meno in una violazione di trasparenza, o peggio. Si vanno a realizzare quei famigerati dark pattern che forzano il consenso dell’utente ad un’azione specifica. Il problema riguarda infatti l’aspetto UI e UX (ovverosia: interfaccia ed esperienza utente), e può comportare conseguenze di’illiceità dei trattamenti (leggasi: raccolta, elaborazione, conservazione, trasmissione etc.) dal momento che il consenso acquisito da parte dell’utente non può essere valido in quanto non libero.
Errori comuni nella gestione cookie
Viste le premesse, quali possono essere e quali sono gli errori più comuni nella gestione dei cookie? Riportiamo tre principali esempi.
Nel primo livello del banner cookie (quello che si apre e presenta all’utente) non è presente il pulsante “Rifiuta tutto”, mentre invece è presente (eccome!) il pulsante “Accetta tutto”. Così, se la possibilità di accettare cookie è presto servita quella di rifiutarli viene disponibile solo cliccando su “Gestisci preferenze” e accedendo ad un secondo livello del pannello di gestione delle preferenze.
Caselline precompilate e consensi da deselezionare. Veramente, per rispetto verso la vostra intelligenza non credo sia necessario spiegare perchè questa pratica è illecita ma limitarmi a riportarla. Va di pari passo con la perversione del gioco Whac-A-Mole (Acchiappa la talpa: quello che insegna a risolvere i fastidi a martellate) in salsa cookie in cui deselezionando il consenso “appare” il legittimo interesse per quella finalità/cookie. E in questo caso tocca darne non una ma due martellate, che chiameremo in modo semplificativo opt-out giusto per fare bella figura.
Design ingannevole delle funzioni per accettare, rifiutare o gestire i cookie. E qui c’è una rosa di opzioni ampia tanto quanto la creatività umana e l’idea che eludere una norma sia qualcosa di cui potersi vantare: si gioca sui colori (verde/rosso ad esempio), sulle dimensioni, sul posizionamento dei link/pulsanti, e molto altro. Insomma, tutto ciò che fa dire a una persona sensata “Ma sei serio?” quando ci si trova di fronte a quella che spesso viene presentata come una soluzione geniale.
C’è limite alla creatività? Certamente non in astratto, ma in concreto le prescrizioni normative in materia di trasparenza e liceità vanno rispettate. E quindi il controllo della gestione cookie deve fare ricorso innanzitutto a questi due principi come criteri orientativi.
Consigli pratici di web design
Vediamo qualche consiglio pratico per la corretta progettazione del sito web e la ricetta per avere dei cookie quanto meno ben gestiti.
Uno su tutti: siamo sicuri che i cookie installati nel proprio sito web siano utilmente impiegati? Insomma: se non si sa a cosa serve un determinato cookie – o script di terza parte – le operazioni consigliate sono almeno due:
(i) chiedere chiarimenti al proprio Web Designer/Developer di fiducia;
(ii) decidere se si intende utilizzare o meno proprio quella la funzione.
Ricordiamoci una cosa fondamentale: se raccogliamo/trattiamo dati personali (quali quelli riferiti ai visitatori del nostro sito web) inutili, significa che non abbiamo definito una finalità. E quindi non solo c’è un problema di rispetto del GDPR (che richiede finalità determinate, esplicite, legittime) ma anche di rischio.
Infatti stiamo tenendo nella pancia del nostro sito una serie di attività di cui non siamo consapevoli e che non utilizziamo ma di cui siamo comunque chiamati ad essere responsabili. E magari giovano ad altri. Ad esempio: a chi ha sviluppato e fornito aggratis quel meraviglioso widget o cookie di terza parte.
Ma di sicuro non giovano a noi.
E quindi: chi ce lo fa fare? Di sicuro non un buon consulente privacy.