Il nuovo rapporto dell’European Data Protection Board (EDPB) presenta le nuove misure da adottare in tema di privacy.
Infatti, nonostante l’esistenza di un ordinamento specifico sul tema, ancora molte organizzazioni fanno difficoltà ad adeguarsi alle disposizioni. Per questo motivo, la stesura del nuovo report è un vero e proprio punto di svolta secondo la EDPB.
Criticità e problemi comuni
L’auspicio della EDPB è quello di trovare nello spazio europeo un approccio al tema privacy che sia comune, chiaro e nel rispetto degli utenti. I punti sui quali si è insistito sono:
- Il pulsante rifiuta deve essere visibile: la clausola della e-Privacy dell’Ue non si esprime in maniera esplicita a nessun pulsante “rifiuta” in primo piano. La maggior parte dei siti però riporta accanto ad “accetta”, solo il pulsante “altre opzioni”, quando dovrebbe essere ugualmente esposta l’alternativa. Inoltre, anche se il “rifiuta” è in secondo livello, non deve comunque essere nascosto in un link. I siti non possono dunque ingannare l’utente facendogli credere che non possano continuare sul sito se non accettando i cookies;
- No a caselle preselezionate: nel secondo livello del popup, le caselle relative alle diverse categorie di cookies non potranno essere più preselezionate in quanto tale azione viola il General Data Protection Regulation (GDPR). Sarà l’utente a dover scegliere e selezionare il consenso autonomamente;
- No a colori e contrasti ingannevoli: l’uso di colori in negativo che facciano risaltare più un’opzione rispetto a un’altra è da considerare caso per caso. Non è possibile una legge unica per determinare questo aspetto, ma i siti che abbiano un tasto “rifiuta” a malapena visibile rispetto allo sfondo sono fuorvianti, e quindi violano la legislazione dell’Ue;
- No al linguaggio del legittimo interesse: il ”legittimo interesse” è un termine nominato nel GDPR che permette ai siti di trattare i dati di base senza chiedere il consenso degli utenti. Non vi è una legislazione specifica su questo aspetto, ma se l’impatto sulla privacy del singolo è minima, si può essere autorizzati ad usare questo metodo. Il problema sorge quando questo concetto viene illecitamente utilizzato dichiarando che i dati servono per le funzioni base del sito. Il linguaggio vago inganna quindi l’utente che accetta tutti i cookies concedendo i dati, anche quelli non essenziali;
- La revoca del consenso: il GDPR chiede che la revoca sia un’opzione ugualmente facile e disponibile come l’accettazione del consenso sui dati. Non è stato specificato un obbligo di icona “fluttuante” per la revoca, ma è l’opzione più plausibile.
La task force per la privacy
Per queste nuove direttive è dunque intervenuta la task force apposita, istituita nel 2021 dall’EDPB per sopperire a queste difficoltà.
La task force è stata creata dopo che l’agenzia no-profit Noyb, che controlla la giusta applicazione delle informative sulla gestione dei dati, ha reclamato l’uso improprio dei banner sui cookies. La Noyb aveva infatti rintracciato nei banner esaminati dei cosiddetti “dark patterns”, ossia delle interfacce di difficile fruizione che ingannavano l’utente ad accettare il consenso anche contro le sue reali intenzioni.
La volontà dell’utente deve essere libera e inequivocabile e l’EDPB sta iniziando a tracciare la strada verso una regolamentazione più severa e controllata della privacy.
Articolo di T.S.