Cookie banner terror, l’iniziativa di noyb contro i cookie banner selvaggi - Cyber Security 360

DATA PROTECTION

Cookie banner terror, l’iniziativa di noyb contro i cookie banner selvaggi

È chiamato con il nome evocativo “cookie banner terror” il nuovo progetto di Maximilian Schrems che, dopo aver contribuito a rivoluzionare le regole per il trasferimento dati extra-UE, ora si scaglia contro le modalità con cui molti siti web estorcono il consenso ai cookie di profilazione

08 Giu 2021
G
Riccardo Giacobbi

Legal Consultant presso P4I - Partners4Innovation

L
Francesca Lonardo

Associate Partner presso P4I - Partners4Innovation

M
Nicole Mazzocchi

Business Analyst presso P4I - Partners4Innovation

Dopo avere ottenuto l’annullamento degli accordi che legittimavano il trasferimento dei dati personali verso gli Stati Uniti (Safe Harbour prima e Privacy Shield poi), lo scorso 31 maggio 2021 Maximilian Schrems, con la sua iniziativa “cookie banner terror“, si è scagliato contro i cookie banner illeciti presenti nei siti web.

Cookie banner terror: i dettagli dell’iniziativa

Tramite l’associazione no profit none of your business (“noyb”), di cui è fondatore, Schrems ha inviato più di 500 “pre-reclami” a società europee “colpevoli” di aver implementato sui loro siti web cookie banner ritenuti non conformi.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Bisogna riconoscere a Schrems di essere stato l’unico a tentare di porre freno, in qualche modo, alle pratiche dei titolari dei siti web di costringere – talvolta in modo subdolo – gli utenti a prestare il consenso ai cookie di profilazione o comunque di influenzarli nelle loro scelte, invece di prevedere “simple and clear “yes or no” options”.

Ma arrivare a scandagliare il web, individuando, tramite un sistema automatizzato, una “target list” di siti ritenuti non conformi, intimando loro di cambiare, entro un termine di 30 giorni, le impostazioni del software usato – attenendosi alle specifiche modalità indicate dalla stessa noyb – con l’avvertimento che, in difetto, sarà presentato il reclamo definitivo alle competenti autorità di controllo, pare eccessivo.

E ciò soprattutto quando, probabilmente a causa del meccanismo automatizzato, finiscono nel “calderone” anche società che non appaiono violare né il GDPR né la normativa nazionale di recepimento della direttiva ePrivacy.

Viene infatti da chiedersi: tutte le condotte indicate nell’immagine proposta da noyb nel suo comunicato stampa rappresentano delle chiare violazioni della normativa applicabile in ogni paese europeo?

L’iniziativa cookie banner terror nel contesto italiano

Si pensi, ad esempio, ad un sito web italiano che:

  1. preveda sia un tasto per accettare tutti i cookie che quello per rifiutarli, ma con il primo più enfatizzato graficamente;
  2. fornisca sia informativa sintetica (tramite cookie banner) che informativa estesa (contenente tutti gli elementi di cui all’art. 13 del GDPR);
  3. metta a disposizione sistemi user friendly di revoca del consenso, anche se non esattamente quelli proposti da noyb.

Può essere ritenuto non conforme all’art. 122 del Codice Privacy e, quantomeno nelle sue parti “compatibili” con il GDPR, al relativo provvedimento di attuazione dell’Autorità dell’8 maggio 2014 sulle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie?

A maggior ragione se si considera che, allo stato, le linee guida del Garante sull’utilizzo di cookie e di altri strumenti di tracciamento e il Regolamento ePrivacy non sono ancora stati approvati.

E se anche detta impostazione fosse perfettibile, sarebbe giusto equiparare tale sito web a quelli che ricorrono a caselle preselezionate o inseriscono cookie di profilazione tra quelli “essenziali”, ottenendo così un “imaginary consent”?

E a tale proposito, perché tra le non conformità individuate da noyb mancano i cookie walls e lo scrolling, esplicitamente ritenuti illeciti dall’EDPB nelle linee guida sul consenso n. 5/2020[1]?

Destano inoltre perplessità le modalità utilizzate. Il rimedio di cui all’art. 80 del GDPR (che consente a un’associazione senza scopo di lucro di proporre reclamo all’Autorità per conto dell’interessato) consente di spingersi fino ad attivare un sistema di “global test” per rilevare automaticamente non conformità e generare (sempre automaticamente) reclami? Può un’associazione rappresentare un interessato, quando quest’ultimo è, in realtà, un algoritmo?

Viene anche da chiedersi: è giusto che i titolari dei siti si conformino a quanto intimato in quanto “minacciati” di essere segnalati all’Autorità?

Conclusioni

Forse, se l’esito dell’iniziativa sarà quello di liberarci di cookie banner ingannevoli e insistenti, bisognerà alla fine riconoscerne l’efficacia, al di là delle modalità utilizzate.

C’è da dire però che se l’intento di Schrems sia quello di porre fine alla pratica di “costringere” gli utenti ad essere profilati, il progetto in questione potrebbe non centrare pienamente il bersaglio.

Difatti, i browser più famosi stanno sviluppando altri meccanismi di tracciamento basati su algoritmi di machine learning e non più su cookie di terze parti.

Google, ad esempio, ha recentemente annunciato che sospenderà l’uso di tale tipologia di cookie su Chrome a partire dal 2022, avendo sviluppato una tecnologia che gli permetterà di raggiungere risultati analoghi a quelli che si ottengono con i cookie di profilazione, ma, aggregando in modo anonimizzato le informazioni degli utenti e tenendo molte più informazioni sui loro dispositivi.

Magari gli sviluppi della vicenda– a partire dalle reazioni delle società coinvolte e, perché no, delle stesse Autorità di controllo de facto sostituite da noyb – forniranno qualche risposta agli interrogativi in sospeso.

 

NOTE

  1. In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user (so called cookie walls) […] Based on recital 32, actions such as scrolling or swiping through a webpage or similar user activity will not under any circumstances satisfy the requirement of a clear and affirmative action” (in italiano: “Affinché il consenso sia dato liberamente, l’accesso ai servizi e alle funzionalità non deve essere subordinato al consenso di un utente alla memorizzazione di informazioni, o all’ottenimento dell’accesso a informazioni già memorizzate, nell’apparecchiatura terminale di un utente (i cosiddetti cookie wall) […] In base al considerando 32, azioni come lo scorrimento o lo swiping di una pagina web o attività simili dell’utente non soddisfano in nessun caso il requisito di un’azione chiara e affermativa”).

WHITEPAPER
Come realizzare una strategia di SICUREZZA per la RESILIENZA integrata
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4