Progettazione di banner di contenuti conformi al GDPR

I banner dei cookie ci ronzano intorno come mosche fastidiose. Alcuni sono del tutto superflui, altri si limitano a fingere di essere conformi al GDPR e la stragrande maggioranza non è conforme. Ecco perché di seguito cercherò di fare luce sui punti chiave più importanti.

1. il GDPR non è responsabile di tutto!

Il motivo per cui il consenso deve essere ottenuto in anticipo dal visitatore del sito web per alcuni servizi su di esso non è il GDPR, ma l'articolo 5 (3) della direttiva ePrivacy:

Gli Stati membri provvedono affinché la memorizzazione di informazioni o l'accesso a informazioni già memorizzate nell'apparecchiatura terminale di un abbonato o di un utente siano autorizzati solo se l'abbonato o l'utente in questione ha dato il proprio consenso sulla base di informazioni chiare ed esaurienti che gli sono state fornite, tra l'altro, sulle finalità del trattamento. .....

Poiché la direttiva ePrivacy prevale sul GDPR, la base giuridica per l'utilizzo di tali servizi non può essere l'art. 6, par. 1, lett. f "interesse legittimo" del GDPR, ma si applica solo l'art. 6, par. 1, lett. a, GDPR "consenso".
La forma in cui il consenso deve essere ottenuto si trova nuovamente nel GDPR.

2. Per cosa è necessario il consenso e per cosa no?

a. Il consenso non è necessario, ad esempio, per

• Informazioni sul dispositivo finale lato client (ad es. indirizzi IP, risoluzione dello schermo, sistema operativo) per la visualizzazione di siti web/app e per la sicurezza del sito web/app
• Cookie tecnicamente necessari per l'impostazione della lingua e dei caratteri, per l'autenticazione dell'utente al momento del login, per le impostazioni dell'utente, per la funzione di carrello della spesa o per la fornitura di moduli online (cookie di sessione)
• Integrazione di servizi per migliorare la presentazione, ridurre i tempi di caricamento o ottimizzare il sito web (ad es. consegna di contenuti tramite CDN, font web, ecc.).

In linea di principio, quindi Nessun consenso necessari per i cookie/servizi che garantiscono il funzionamento del sito web o sono richiesti per la fornitura di un servizio espressamente richiesto dall'utente. Se utilizzate solo tali funzioni sul vostro sito web, non avete bisogno di un cookie o di un banner di consenso, ma dovete solo integrare di conseguenza la vostra informativa sulla privacy.

I famigerati banner "Utilizziamo i cookie bla, bla, bla... OK" sono superflui e servono solo a confondere e a rimbambire gli utenti.

Il consenso non è inoltre normalmente richiesto per gli strumenti utilizzati per effettuare analisi web puramente statiche (ad esempio, per ottimizzare il sito web). Matomo, ad esempio, rientra in questa categoria, soprattutto perché il servizio può essere ospitato anche sui nostri server. L'utilizzo di tali servizi può basarsi sulla base giuridica del legittimo interesse (art. 6, comma 1, lettera f, GDPR). In alcuni casi è opportuno effettuare e documentare una ponderazione degli interessi. Tuttavia, questa è una questione puramente di protezione dei dati e non ha nulla a che fare con il banner design.

Google Analytics rappresenta un'eccezione in questo caso, in quanto è un "vero" strumento di tracciamento dal punto di vista delle autorità di vigilanza, anche se l'operatore del sito web è effettivamente interessato solo alle statistiche del sito. Google Analytics richiede pertanto il consenso.

b. Il consenso è necessario per:

• Analisi statistica e misurazione della portata
• Pubblicità comportamentale/localizzata
• Plugin per i social media

Una possibile alternativa ai plugin per i social media può essere la soluzione Heise 2-click (pulsante Shariff). Oppure si possono semplicemente utilizzare grafiche o icone con un link al posto dei plugin. In questo caso, il consenso non è necessario e solo le informazioni pertinenti devono essere incluse nell'informativa sulla privacy. Opzionalmente, si può anche utilizzare un pop-up al passaggio del mouse con un avviso (ad esempio "Si viene reindirizzati alla pagina di Facebook" o simile). In questo modo siete già in prima linea.

La cosa più importante per gli elementi che richiedono il consenso è che il consenso deve essere sempre ottenuto prima che avvenga qualsiasi raccolta e/o trasferimento di dati!

3. servizi di mappe, piattaforme video e di streaming

Al momento non c'è consenso su questo punto. Alcuni esperti di protezione dei dati ipotizzano che il consenso preventivo sarà richiesto anche per questi servizi una volta adottato il regolamento ePrivacy (che dovrebbe entrare in vigore contemporaneamente al GDPR, ma ci vorrà del tempo). Anche le attuali sentenze della Corte di giustizia europea (autunno 2019) e della Corte federale di giustizia (maggio 2020) vanno in questa direzione.

L'Ufficio statale bavarese per il controllo della protezione dei dati (LDA Bayern) afferma attualmente sul suo sito web che l'integrazione di video senza previo consenso è consentita se il video si avvia solo dopo che l'utente ha cliccato attivamente su di esso e non è avvenuto alcun trasferimento di dati fino a questo punto (soluzione 2-click o Embetty). Inoltre, i video di YouTube dovrebbero essere integrati in modalità di protezione dei dati estesa (no-cookie).

L'ADL Bayern ha una visione simile della situazione con Google Maps. Il contenuto di Google Maps dovrebbe essere caricato solo quando l'utente utilizza attivamente il servizio di mappe, ad esempio con un clic in più (soluzione 2-click).

Ho chiesto informazioni in merito all'autorità bavarese per la protezione dei dati. Attualmente la descrizione sopra riportata corrisponde ancora alla valutazione dell'autorità. Tuttavia, è stato sottolineato che le ragioni della sentenza devono ancora essere analizzate in dettaglio. Ciò potrebbe comportare una modifica della valutazione.

Quindi, se volete essere preparati per il futuro, dovreste prendere in considerazione l'idea di lavorare con il consenso per questi servizi fin da ora. Perché nella protezione dei dati è sempre possibile fare di più!

4. principi per il consenso

Il consenso deve essere dato in anticipo, informato e volontario. Questo significa, in parole povere, che:

a. PRIMA:
Quando si apre un sito web per la prima volta, è necessario disattivare tutti gli script che potenzialmente raccolgono dati dell'utente e li trasmettono a terzi.
b. INFORMATO:
L'utente deve ricevere informazioni compatte sui servizi implementati in un linguaggio semplice e chiaro. Un design chiaro ha davvero senso in questo caso. Dopo tutto, l'utente deve essere informato e non scoraggiato.
c. GRATUITÀ:
Il consenso non deve essere preassegnato per nessuna casella di controllo. L'utente deve acconsentire attivamente, senza doverlo deselezionare.

Nota:
Informazioni generiche come "Questo sito utilizza i cookie per l'analisi web e la pubblicità" o "... per migliorare la tua esperienza di navigazione" da sole non sono sufficienti perché il trattamento associato non è reso trasparente.

Inoltre, la volontarietà significa che il visitatore ha una reale possibilità di scelta, ossia può utilizzare il sito web anche se non dà il proprio consenso all'utilizzo di servizi opzionali.

5 Documentazione e obbligo di fornire prove

Il consenso deve essere documentato e verificabile. Secondo molti esperti di protezione dei dati, è sufficiente una prova attraverso informazioni "astratte" (ad esempio, il testo del consenso con la data, lo script o il codice del banner con la data, l'ora e la versione, l'ID del cookie dell'utente, ecc.) La raccolta di ulteriori dati dell'utente per la fornitura della prova non è necessaria e contraddice il principio della minimizzazione dei dati.

6. funzione di cancellazione/opt-out

Gli utenti hanno il diritto di revocare il proprio consenso in qualsiasi momento. Ciò significa che deve sempre esistere una soluzione di opt-out per i servizi utilizzati. Questa funzione di opt-out deve essere facilmente accessibile ai visitatori del sito in qualsiasi momento e, ovviamente, deve funzionare.

7. che aspetto può avere il banner di consenso?

I seguenti contenuti sono obbligatori nel banner:

• Persona responsabile (se non è abbastanza chiaro nella pagina)
• Nome dello strumento
• Finalità del trattamento
• Destinatario dei dati
• Riferimento alla natura volontaria con opzione di revoca (soluzione opt-out)
• Link all'informativa sulla privacy
• Fate attenzione quando posizionate il banner: l'accesso alle note legali e all'informativa sulla privacy non deve essere coperto!

Viene specificato solo il contenuto necessario; si è liberi di progettare il banner come si desidera. Per non sovraccaricare il display, le informazioni possono essere rese disponibili in vari sottomenu. Ecco come potrebbe essere progettato il 1° livello di un banner che copre i requisiti minimi:

Questo esempio è solo una delle tante possibili varianti di design del primo strato informativo e serve solo come orientamento.

Esiste un'intera gamma di strumenti di Consent Management Provider (CMP). Su Internet è possibile trovare informazioni sulla portata dei servizi e sulle differenze. Alcuni esempi degli strumenti più noti sono Cookiebot, Borlabs Cookie, Usercentrics o Consentmanager.

I requisiti di base di uno strumento per i contenuti dovrebbero includere

• Visualizzazione immediata dello strumento di consenso quando si visita la pagina (vale anche per le APP)
• Visualizzazione del banner senza coprire le informazioni legali obbligatorie sul sito web, come le note legali, i termini e le condizioni o l'informativa sulla privacy
• I cookie o gli ID pubblicitari dei dispositivi mobili finali possono essere impostati/elaborati solo se il consenso dell'utente viene dato attivamente (cioè nessun consenso attraverso un comportamento passivo come la navigazione sul sito web, la chiusura automatica dopo un periodo di tempo o il clic sullo strumento di consenso).
• Deve essere possibile visitare il sito web/app anche se gli utenti rifiutano i cookie o gli ID pubblicitari, ecc.
• Funzione di opt-out
• Registrazione e reporting per supportare l'obbligo del sistema di fornire prove.

Ulteriori informazioni sono disponibili, ad esempio, nella guida per i fornitori di servizi telematici della Conferenza per la protezione dei dati e in una lista di FAQ sui cookie e il tracciamento dell'autorità per la protezione dei dati del Baden-Württemberg.

Ogni gestore di siti web, anche con la consulenza della propria agenzia web, deve decidere in ultima istanza quale soluzione fa al caso suo. Vale la pena di controllare e confrontare gli strumenti di tutti i fornitori interessati se si vuole risparmiare la fatica di programmare una soluzione da soli.
Dal punto di vista della protezione dei dati, i criteri di selezione dovrebbero includere anche se il fornitore garantisce la conformità al GDPR o quali sono le sedi dei server utilizzati.

8 E il marketing?

Non si può negare che molti visitatori del sito non vogliano essere tracciati e quindi clicchino su "rifiuta tutto". Anche se ciò può essere deplorevole dal punto di vista del marketing e dell'analisi, i visitatori del sito stanno semplicemente esercitando il loro diritto legalmente sancito all'autodeterminazione informativa.

Di recente ho partecipato a un evento informativo durante il quale un dipendente del fornitore svedese di consent manager Jaohawi AB ha tenuto una presentazione. La presentazione conteneva alcuni dati molto interessanti al riguardo:

Analizzando il tasso di accettazione, i nostri colleghi hanno determinato, ad esempio, che in media 40-50% dei visitatori del sito seleziona il pulsante "Accetta tutti i servizi". Al contrario, ovviamente, ciò significa che 50-60% rifiutano di dare il loro consenso.

Secondo il relatore, l'indice di gradimento può essere aumentato a circa 65% ottimizzando il banner. Con i clienti abituali e fedeli, l'indice di gradimento aumenta fino a circa 70%.

Secondo le sue spiegazioni, si può ipotizzare che in media circa la metà dei dati di marketing manchi dalle analisi non appena viene implementato un banner di consenso. Questi valori possono essere compensati statisticamente includendoli nelle previsioni.

È possibile tenere conto della protezione dei dati e allo stesso tempo, dal punto di vista del marketing, cercare di convincere un maggior numero di visitatori del sito a consentire i servizi che richiedono il consenso, ottimizzando il banner (ad esempio attraverso il posizionamento, la colorazione, la formulazione, ecc.)