Consenso sui cookie: la maggior parte dei siti non rispetta la legge Ue

Consenso sui cookie: la maggior parte dei siti non rispetta la legge Ue

L’informativa sui cookie imposta dal GDPR a livello europeo e dal Garante della Privacy rappresenta un passaggio fondamentale per tutte quelle realtà che usano un sito Internet. Ma, secondo uno studio, gli strumenti per esprimere il consenso non rispetterebbero quanto prescritto dalla legislazione Ue

di pubblicata il , alle 16:41 nel canale Web
 

Siamo ormai abituati ai pop-up legati alla legge sui cookie che appaiono quando accediamo per la prima volta a un nuovo sito: servono a esprimere il consenso sull'uso che viene fatto dei nostri dati. Si tratta di un obbligo regolamentato all'interno del GDPR (Regolamento Generale sulla Protezione dei Dati, ufficialmente regolamento n. 2016/679 in sigla RGPD), il quale stabilisce severi requisiti sulle procedure di gestione dei dati, sulla trasparenza, sulla documentazione e sul consenso dell'utente, al fine principalmente di evitare selvagge pratiche di somministrazione di messaggi pubblicitari sulla base delle abitudini di navigazione.

Lo scopo principale del Regolamento voluto dall'Unione Europea è quello di restituire agli utenti il controllo dei propri dati, dove per "dato personale" si intende "Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)". Il GDPR copre sia i dati direttamente personali, come il nome, la foto, l’indirizzo e-mail, i dati bancari, l'indirizzo IP, sia i dati che potrebbero essere combinati in modo da individuare e identificare i singoli utenti.

Quasi tutti i siti si sono uniformati ma, secondo quanto emerge da uno studio realizzato da alcuni ricercatori del MIT, della Ucla e dell'Università di Aarhus, la maggior parte degli strumenti per l'espressione del consenso sarebbero inappropriati rispetto agli intenti della legge. In altre parole, all'utente non viene offerta alcuna vera scelta, e non vi è alcuna comprensione dei cookie installati, della loro provenienza e della loro finalità.

Consent-o-Matic

Lo scopo della legge, infatti, è proprio quello di mettere l'utente nelle condizioni di esprimere una scelta e, qualora non ritenga che ci siano i presupposti per la protezione della propria privacy, impedire l'installazione dei cookie. La recente giurisprudenza della Corte di Giustizia dell'Unione Europea ha inoltre specificato ulteriormente che il consenso deve essere attivamente segnalato, il che significa che un servizio digitale non può considerare un'azione indiretta come espressione di consenso. Ci si riferisce, soprattutto, alla sempre più comune pratica di chiusura del pop-up da parte dell'utente senza una reale scelta per continuare a interagire con il servizio.

Diversi editori si sono dotati di CMP (Consent Management Platform), piattaforme create appositamente per la raccolta e la gestione dei consensi degli utenti, ma anche in questi casi, qualora delle scelte siano pre-selezionate attivando la condivisione dei dati in maniera predefinita, non si rispetta la legge. Inoltre, il consenso al tracciamento deve essere ottenuto prima dell'accesso al cookie da parte del servizio digitale. Solo i cookie essenziali per il funzionamento servizio possono essere rilasciati senza prima aver ottenuto il consenso.

In altre parole, secondo il diritto Ue, per i visitatori dei siti web dovrebbe essere altrettanto facile scegliere di non essere tracciati rispetto alla concessione del consenso sul trattamento dei propri dati personali.

"Abbiamo scoperto che i modelli oscuri basati sul consenso implicito sono onnipresenti", scrivono in sintesi i ricercatori, affermando che solo poco più di uno su 10 (11,8%) dei CMP che hanno esaminato "soddisfa i requisiti minimi stabiliti in base alla legge europea". Quasi tutti i CMP hanno caselle pre-selezionate, il rifiuto non è facile come l'accettazione e il consenso è implicito.

Per realizzare lo studio, i ricercatori hanno esaminato i primi 10 mila siti del Regno Unito così come sono classificati dal sito di analisi del traffico Alexa. Lo scopo era raccogliere dati sui CMP più popolari, forniti da cinque società: QuantCast, OneTrust, TrustArc, Cookiebot e Crownpeak. Infine, hanno analizzato come il design e le configurazioni di questi strumenti hanno influenzato le scelte degli utenti di Internet.

Il consenso implicito, ovvero l'assunzione (illegale) del consenso attraverso azioni dell'utente non affermative (per esempio, basta scorrere una pagina per concedere il consenso o chiudere il pop-up) è risultato molto comune tra i siti studiati, con una percentuale del 32,5%.

Hanno anche scoperto che la stragrande maggioranza dei CMP rende il rifiuto di ogni tracciamento "sostanzialmente più difficile" rispetto alla concessione. La maggior parte dei siti studiati, infatti, non ha un pulsante che consenta di rifiutare qualsiasi trattamento dei propri dati personali. I pulsanti "accetta tutto" sono sempre chiaramente in mostra, mentre nella maggior parte dei casi i pulsanti "rifiuta tutto" sono collocati in posizioni svantaggiate.

Consent-o-Matic

Il 56,2% dei siti presenta delle caselle pre-selezionate, il che è in forte contrasto con gli scopi della legislazione Ue. Lo studio va poi ad analizzare anche il fenomeno dei cosiddetti tracker di terze parti, ovvero quei sistemi che puntano a mascherare l’origine del tracker in modo che sembri provenire dall’editore. Si tratta, in altri termini, di sistemi di tracciamento del consenso trasversali e non realizzato sulla base dello specifico sito, in forte conflitto con l'idea del consenso esplicito per ogni sito navigato.

Una seconda parte della ricerca ha riguardato un esperimento sul campo che ha coinvolto 40 partecipanti allo scopo di studiare in che modo gli otto CMP più comuni influenzano le scelte di consenso degli utenti di Internet.

"Abbiamo scoperto che lo stile di notifica (banner o barriera) non ha alcun effetto sulla scelta del consenso; la rimozione del pulsante per il rifiuto dalla prima pagina aumenta il consenso di 22-23 punti percentuali; e fornire controlli più granulari sulla prima pagina riduce il consenso di 8-20 punti percentuali", si legge nello studio. Secondo i ricercatori, questa parte dello studio conferma come l'assenza del pulsante "rifiuta tutto" nella prima pagina del pop-up di consenso aumenta considerevolmente le probabilità che gli utenti forniscano il consenso, senza che riflettano sulla granularità delle opzioni a loro disposizione.

Naturalmente questo ragionamento non può essere fatto senza tralasciare l'aspetto dell'invasività del controllo del consenso per ogni sito web e quanto comprometta la fluidità dell'esperienza di navigazione. Inoltre, il solo fatto di interrompere un utente Web per chiedergli di esprimere o rifiutare il consenso di per sé applica una pressione abbastanza sostanziale da rendere non valido qualsiasi assenso.

La conclusione a cui giunge lo studio è che gli utenti di Internet in Europa non stanno effettivamente beneficiando di un quadro giuridico che dovrebbe proteggere i loro dati digitali dallo sfruttamento indiscriminato. Si tratta, piuttosto, di un "teatro del consenso rumoroso, indisciplinato e disincentivante".

"Credo che pochissime persone siano sorprese dal fatto che i pop-up non rispettino il GDPR" ha detto Midas Nouwens, responsabile principale dello studio, a Tech Crunch. "Le compagnie che mettono a disposizione pop-up per il consenso forniscono esplicitamente delle interfacce che non aderiscono alla legislazione Ue. Perché permettono agli utenti di esprimere consenso scorrendo la pagina o relegano il pulsante 'rifiuta tutto' da qualche parte nella terza pagina?"

In attesa che i legislatori pongano dei paletti sulle procedure di autorizzazione al trattamento dei dati personali, gli utenti possono ovviare alle scocciature di dover esprimere il consenso per ogni sito che navigano installando delle estensioni per il browser web. Gli stessi ricercatori autori dello studio di cui stiamo parlando, infatti, hanno preparato Consent-o-Matic, il quale risponde automaticamente alle richieste dei vari siti sulla base delle scelte effettuate dall'utente all'interno del plug-in. Lo si può scaricare per Google Chrome e per Mozilla Firefox. Tra le altre cose, questo strumento è molto chiaro circa le scelte operabili dall'utente e offre la possibilità di rifiutare qualsiasi tipo di cookie, la quale è evidenziata in modo paritario rispetto al consenso. In assenza di opzioni all'interno dei browser per respingere qualsiasi tipo di cookie, può essere una strada particolarmente interessante per l'utente che vuole proteggere la propria privacy sul web.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Nui_Mg11 Gennaio 2020, 17:06 #1
Redazione wrote:
> la maggior parte dei siti non rispetta la legge Ue

Maddai?
JohnnyD203611 Gennaio 2020, 18:08 #2
Ma se voi siete i primi a non dare la possibilità di non accettare i cookies.. Ma di cosa parliamo..
Symonjfox11 Gennaio 2020, 18:35 #3

I don't care about cookies

Da quando c'è questa legge europea, i siti sono diventati ancora peggio di com'erano prima (popup, pubblicità, accetta i cookies, ecc).
Consiglio di installare su Chrome e su Firefox il plugin che si chiama "I don't care about cookies". E' in grado di evitare la comparsa della maggior parte dei banner per i cookies.
L'ho installato anche su firefox per Android, perchè spesso capita che sul cellulare sia più difficile fare click per accettare sto cavolo di cookies.
galerio11 Gennaio 2020, 18:51 #4
La legge obbliga i siti, ma rende così la navigazione uno strazio. Basterebbe invece che ogni sito inserisca la descrizione dei cookie nei campi meta invisibili, che poi sarà il browser a chiederci di volta in volta se vogliamo accettarli o meno con la possibilità ad esempio di accettare sempre i cookie di google, o di facebook e così via fino a rendere sempre implicita l'accettazione dei cookie. Così ci si deve muovere. Sennò tra un po' prima di leggere la pagina di un sito dovremo passare mezz'ora a firmare carte e autorizzazioni.
Per quanto sono convinto che informare l'utente sia un dovere, la legge in questo modo non ha fatto altro che mettere i bastoni tra le ruote agli utenti stessi e non chi li sfrutta.
Krusty11 Gennaio 2020, 19:02 #5
Originariamente inviato da: Symonjfox
Da quando c'è questa legge europea, i siti sono diventati ancora peggio di com'erano prima (popup, pubblicità, accetta i cookies, ecc).
Consiglio di installare su Chrome e su Firefox il plugin che si chiama "I don't care about cookies". E' in grado di evitare la comparsa della maggior parte dei banner per i cookies.
L'ho installato anche su firefox per Android, perchè spesso capita che sul cellulare sia più difficile fare click per accettare sto cavolo di cookies.


ma un plugin per rifiutarli tutti automaticamente non c'è?
JohnnyD203611 Gennaio 2020, 19:44 #6
Brave browser is the way
calabar11 Gennaio 2020, 20:19 #7
Bene, che prendano provvedimenti ora.

Non mi trovo d'accordo con chi trova che la richiesta di consenso renda la navigazione scomoda: è un click in più e solo sui siti a cui accedi per la prima volta o comunque di rado, ma è una gran comodità (se fatto a dovere, ovviamente) quando non si intende consentire l'uso di cookie commerciali, un click e via.
Quindi per me ben venga il sistema, ma è ora di bastonare chi cerca di aggirare le leggi che regolano le modalità in cui va presentato.

In certi siti rifiutare i cookie commerciali è una vera follia, ti portano verso elenchi lunghissimi di partner a cui secondo loro dovresti negare il consenso (ovviamente consentito di default) e non si capisce neppure se l'elenco sia esaustivo o meno, rischiando di levare giusto qualcuno degli innumerevoli consensi.

Altra pratica antipatica è quella di chiederti saltuariamente il consenso nel caso in cui lo neghi: una volta negato non dovrebbe chiederlo più a meno che non faccia pulizia dei cookie funzionali. Se per una volta fai l'errore di concederlo, allora non si fanno più vedere
Shank8711 Gennaio 2020, 20:19 #8
Vorrei tanto stringere la mano all'idiota / agli idioti che hanno pensato a questa legge. Da quando l'hanno introdotta si passano le giornate a chiudere poup up di ogni genere, senza ovviamente leggere nulla perchè sarebbe impossibile, oltre che totalmente inutile.


E va bene che ci sono i plugin per i vari browser, ma si rischia di perdere anche altri contenuti che invece si vorrebbero vedere.
Dei cazzo di geni
Jack.Mauro12 Gennaio 2020, 09:21 #9
Problema: I siti web tracciano gli utenti tramite cookies, soprattutto di terze parti.
Soluzione europea: Imporre a milioni di siti di avvisare che ti stanno per tracciare, senza di fatto prevenirlo.
Soluzione valida: Imporre a tutti i browser (5-10 soggetti) di cancellare i cookies alla chiusura come opzione di default.

Bonovox76712 Gennaio 2020, 09:41 #10
Originariamente inviato da: Shank87
Vorrei tanto stringere la mano all'idiota / agli idioti che hanno pensato a questa legge. Da quando l'hanno introdotta si passano le giornate a chiudere poup up di ogni genere, senza ovviamente leggere nulla perchè sarebbe impossibile, oltre che totalmente inutile.

Infatti...rifiutarli è inutile.

Originariamente inviato da: Krusty
ma un plugin per rifiutarli tutti automaticamente non c'è?

C'è un'estensione per accettarli senza dover cliccare millemila consensi.
Si chiama "I don't care about cookies"

Tanto vale usare questa estensione per evitare i vari pop up, e impostare la rimozione automatica dei cookies quando si chiude il browser

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^