Cookie banner: pubblicato il report della task force dell’EDPB (English version available)

English version below

***

Lo scorso 18 gennaio, la cookie banner task force dell’European Data Protection Board (“EDPB”) ha presentato il report relativo all’uso dei cookie banner e dei dark pattern.

Il report, allo stato ancora in bozza e da discutere e finalizzare, analizza diverse pratiche implementate dai gestori di siti, evidenziandone le criticità e fornendo alcune minime precisazioni utili nella implementazione/modifica dei cookie banner.

Con il report, i membri della task force si soffermano, in particolare, sulla conformità delle pratiche implementate alle disposizioni di cui:

• alla Direttiva 2002/58/EC (“Direttiva ePrivacy”) e, pertanto, alla normativa nazionale che l’ha recepita, per quanto concerne la fase di deposito o lettura dei cookie; e
• al Regolamento (UE) 2016/679 (“GDPR”), in relazione alla fase di trattamento dei dati, successiva alle operazioni di cui al punto che precede.

La task force dell’EDPB ha analizzato, dal punto di vista pratico, diverse casistiche riscontrando e rilevando quanto segue:

1. assenza di un pulsante di rifiuto dei cookie, con presenza di un pulsante di accettazione e/o della possibilità di accedere a ulteriori opzioni. Sul punto, i membri della task force hanno rammentato che, per impostazione predefinita, i cookie che richiedono il consenso possono essere utilizzati previa acquisizione del consenso, il quale deve essere espressione di una azione positiva dell’utente. La task force ha altresì rilevato che molte autorità concordano nel ritenere che l’assenza di un pulsante di rifiuto non sia in linea con i requisiti richiesti per un valido consenso e, pertanto, costituisca una violazione della normativa. Altre autorità, invece, osservano che l’art. 5(3) della Direttiva ePrivacy non fa un riferimento esplicito al pulsante di rifiuto e, pertanto, la sua assenza non costituisce una violazione della normativa;
2. presenza di caselle pre-selezionate nel secondo livello del cookie banner (ad es. dopo che l’utente ha cliccato sulla voce “Impostazioni” nel primo livello). In merito, i membri della task force confermano che caselle preselezionate, al pari del silenzio e l’inattività, non configurano un valido consenso ai sensi del GDPR (cfr. Considerando 32 del GDPR) e dell’art. 5(3) della Direttiva ePrivacy;
3. sostituzione del banner di rifiuto e/o di maggiori informazioni con appositi link che inducono gli utenti a ritenere che occorra prestare il consenso per poter accedere ai contenuti del sito e/o che li spingano a dare il consenso. Sul punto, la task force ha ritenuto che, in ogni caso, dovrebbe essere presente una chiara indicazione del significato del banner, delle finalità del consenso richiesto e delle modalità di consenso ai cookie;
4. configurazione ingannevole di alcuni banner con utilizzo di colori e contrasti che evidenziano i pulsanti di accettazione rispetto alle altre opzioni. Sul punto, la task force ha evidenziato che non è possibile imporre uno standard di colori e/o contrasti da utilizzare sui banner. Per valutare la conformità di un banner sarà invece necessario effettuare una valutazione caso per caso, verificando che i colori e contrasti implementati non siano “palesemente” fuorvianti per gli utenti e non determinino, pertanto, un consenso involontario e, come tale, non valido;
5. errata individuazione quale base giuridica per i contenuti personalizzati nel legittimo interesse. Sul punto, la task force ha confermato che tale individuazione risulta in contrasto con l’art. 5(3) della Direttiva ePrivacy e con il GDPR;
6. classificazione inaccurata e imprecisa dei cookie “essenziali” o “strettamente essenziali”. Sul punto, la task force ha evidenziato che l’individuazione dei cookie essenziali risulta difficoltoso posto che le caratteristiche degli stessi cambiano frequentemente e ciò impedisce di stilare un elenco preciso e affidabile;
7. mancanza di una icona per la revoca del consenso. Sui siti web dovrebbero essere presenti soluzioni facilmente accessibili che consentano agli utenti di revocare il proprio consenso in qualsiasi momento (ad es. una piccola icona sempre visibile o un link collocato in un punto visibile). Oltre ai requisiti richiesti dalla normativa applicabile per la raccolta del consenso, la task force ha rammentato che l’utente deve avere la possibilità di revocare, in qualsiasi momento, il proprio consenso con la stessa facilità con cui è stato accordato.

Il tema dei cookie e, in particolare, il loro corretto utilizzo è da diverso tempo molto acceso e dibattuto. Nel nostro Osservatorio abbiamo già trattato il tema in diverse occasioni, quali, a titolo esemplificativo:

• Cookie wall: sotto la lente del Garante privacy le iniziative degli editori;
• EDPB adopts Guidelines on Right of Access and letter on cookie consent;
• Cookie: l’Autorità di controllo Francese sanziona Google e Facebook;

nonché, in merito al tema di Google Analytics:

• Danish DPA: Q&A on the use of Google Analytics;
• Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie.

In generale, in merito ai cookie, esiste ormai da diverso tempo, uno specifico framework normativo, sia a livello europeo, che a livello nazionale, quali:

• le Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, dell’Autorità garante per la protezione dei dati personali italiana (il “Garante”);
• le FAQ fornite dal Garante;
• la sentenza nella causa C-673/17, ove viene specificato che, per l’installazione di cookie, è necessario il consenso attivo degli utenti, mentre una casella di spunta preselezionata risulterebbe insufficiente;
• l’Opinion 04/2012 on Cookie Consent Exemption adottate il 7 giugno 2012 dall’Art. 29 WP (predecessore dell’EDPB prima dell’adozione del GDPR);
• il Working Document 02/2013 providing guidance on obtaining consent for cookies adottate il 2 ottobre 2013 dall’Art. 29 WP; nonché
• le Linee guida 3/2022 sui dark pattern nei social media adottate il 14 marzo 2022 dall’EDPB.

Alla luce di quanto sopra, il report della task force dell’EDPB, nonché tutto lo specifico framework normativo, risultano essere, in un’ottica di conformità alla normativa applicabile, un utile riferimento da tenere in considerazione nella fase di implementazione e/o modifica dei cookie banner.

***

English version

Cookie banner: EDPB task force adopts final report

On January 18th, 2023 the cookie banner task force of the European Data Protection Board ("EDPB") has presented its final report on the work undertaken by the task force about the use of cookie banners and dark patterns.
The report, still in draft and to be discussed and finalized, results from the coordination of the members of the task force and analyzes several practices implemented by websites, highlighting their critical issues and providing some clarifications that may be useful in the implementation/modification of cookie banners.

With the report, the task force members focus, in particular, on the compliance of the implemented practices with the:

• Directive 2002/58/EC ("ePrivacy Directive") and, therefore, the national legislation that transposed it, in relation to the placement or reading of cookies; and
• Regulation (EU) 2016/679 ("GDPR"), in relation to the subsequent processing activities undertaken by the controller of data, meaning the processing which takes place after storing or gaining access to information stored in the terminal equipment of a user in accordance with art. 5(3) ePrivacy Directive.

The task force has analyzed, in practice, several case studies finding and detecting the following indications:

1. absence of a reject button on the first layer, with the presence of an accept button and/or the a button that allows the data subject to access further options. On this point, the task force members recalled that, by default, no cookies which require consent can be set without a consent and that consent must be expressed by a positive action on the part of the user. The task force has also observed that a vast majority of authorities considered that the absence of refuse/reject/not consent options is not in line with the requirements for a valid consent and, therefore, constitutes an infringement. However, few authorities considered that Article 5(3) of the ePrivacy Directive does not explicitly mentioned a reject button and, therefore, its absence cannot be retained an infringementn;
2. presence of pre-ticked boxes on the second layer of the cookie banner (e.g., after the user clicked on the "Settings" button of the first level). In this regard, the task force members confirmed that pre-ticked boxes to opt-in, as well as silence and inactivity, do not lead to valid consent under the GDPR (see in particular Recital 32 of the GDPR) and Article 5(3) of the ePrivacy Directive;
3. replacement of the reject button and/or more information options with links that gives users the impression that they have to give a consent to access the website content and/or that clearly pushes the user to give the consent. On this point, the task force agreed that, in any case, there should be a clear indication on what the banner is about, on the purpose of the consent being sought and on how to consent to cookies;
4. configuration of some cookie banners in terms of colours and contrasts of the buttons that clearly hightlights the "accept" button over the available options. On this point, the task force agreed that a general banner standard concerning colour and/or contrast cannot be imposed on data controller. In order to assess the conformity of a banner, a case-by-case verification must be carried out, checking that the colours and contrasts used are not "obviously" misleading for the users and do not, therefore, result in unintended and, as such, invalid consent from them;
5. improper identification as the legal basis for personalized content in the legitimate interest. On this point, the task force confirmed that this identification is not in line with article 5(3) of the ePrivacy Directive and the GDPR;
6. inaccurate classification of "essential" or "strictly essential" cookies. On this point, the task force agreed that the assessment of cookies to determine which ones are essential raises practical difficulties, in particular due to the fact that the features of cookies change regularly, which prevents the establishment of a stable and reliable list of such essential cookies;
7. no withdraw icon. Website owners should put in place easily accessible solutions allowing users to withdraw their consent at any time (e.g., a small icon that is permanently visible or a link placed on a visible and standardized place). In addition to the requirements for the collection of consent to be valid in accordance with the applicable laws, the task force reminded that users should have the possibility to withdraw consent at any time and the withdrawal must be as easy as to give consent.

Cookies and, in particular, their appropriate use has been widely discussed and debated for a considerable time. In our Observatory, we have already treated the subject on several occasions, such as, but not limited to:

• Cookie wall: sotto la lente del Garante privacy le iniziative degli editori (the content is available only in Italian);
• EDPB adopts Guidelines on Right of Access and letter on cookie consent;
• Cookie: l’Autorità di controllo Francese sanziona Google e Facebook (the content is available only in Italian);

as well as, about Google Analytics:

• Danish DPA: Q&A on the use of Google Analytics;
• Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie (the content is available only in Italian).

In general, about cookies, there is a specific regulatory framework, both at the European and national level, such as:

• Guidelines on the use of cookies and other tracking tools - 10 June 2021, by the Italian Data Protection Authority;
• Italian Data Protection Authority FAQ (the content is available only in Italian);
• Judgment of the Court (Case C-673/17), about the concept of consent of the data subject and the circumstances that silence, pre-ticked boxes or inactivity cannot constitute a valid consent;
• Opinion 04/2012 on Cookie Consent Exemption, adopted on 7 June 2012 by the Article 29 Data Protection Working Party (the EDPB's predecessor before the adoption of the GDPR);
• Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 by the Article 29 Data Protection Working Party; as well as
• Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them, adopted on 14 March 2022, by the EDPB.

In light of the above, the report, as well as the specific regulatory framework, results to be, from a compliance perspective with the applicable regulations, a useful reference to be taken into account when implementing and/or modifying cookie banners.