7 Dark Pattern nei cookie banner con valutazione legale

Dark Pattern 1: caselle preselezionate per i visitatori

Stato: questo non è conforme al GDPR.

Descrizione: I cookie essenziali sono consentiti e possono essere selezionati. Potrebbe essere allettante preselezionare anche altre categorie. Questo probabilmente porterebbe più visitatori ad acconsentire ai cookie funzionali, necessari per molte funzionalità di un sito web moderno. Con la combinazione dei pulsanti "Accetta tutto" e "Salva impostazioni", i visitatori potrebbero facilmente dare il proprio consenso. Tuttavia, ricorda: questa pratica non è consentita nell'UE.

Dark Pattern 2: cookie classificati in modo errato

Stato: questo non è conforme al GDPR.

Descrizione:

Se il primo trucco con le caselle preselezionate non funziona, perché non provare a dichiarare le funzionalità essenziali come... essenziali? Ovviamente, non è consentito.

Il grande problema dei cookie essenziali è che solo pochissimi sono effettivamente permessi.

• Analytics? No. Non è essenziale. Il tuo Google Analytics deve restare fuori.
• Video? Ah ah. No, soprattutto non se usi i popolari hosting video statunitensi. (Nemmeno la loro opzione con "senza cookie" o "meno tracciamento")
• Qualsiasi cosa legata alla pubblicità? Il pixel di Meta o Google? Ehm, no. Ovviamente no.
• Il tuo CRM? Chiaramente... non essenziale.

... e purtroppo l'elenco continua.

Dark Pattern 3: nessuna opzione di rifiuto nella prima schermata

Stato: questo non è conforme al GDPR.

Descrizione: una situazione comune è quella dei cookie banner in cui l'opzione per rifiutare tutti i cookie non è immediatamente disponibile. Invece, è nascosta dietro un pulsante "impostazioni" o simile. Questo aumenta significativamente i tassi di opt-out, poiché meno visitatori sono disposti a navigare attraverso il processo macchinoso. È importante sottolineare che l'opzione di opt-out deve essere facile da raggiungere quanto quella di opt-in, il che significa che deve essere ben visibile nella prima schermata.

Dark Pattern 4: rendere il pulsante di rifiuto poco visibile e nasconderlo

Stato: questo non è conforme al GDPR.

Descrizione: Se l'opzione di opt-out deve essere nella prima schermata, qualcuno potrebbe provare a renderla così discreta da essere quasi invisibile. I visitatori di solito non vogliono perdere troppo tempo a guardare i banner e spesso scelgono uno dei pulsanti più evidenti. Un design del genere può aumentare il tasso di accettazione dei cookie. Tuttavia, non è consentito: come spiegato nel Dark Pattern 3, l'opzione di rifiuto deve essere tanto accessibile e visibile quanto quella di accettazione.

Dark Pattern 5: rendere il pulsante di rifiuto meno evidente

Stato: Accettabile in alcuni paesi UE.

Descrizione: stiamo entrando in una zona grigia dove una certa manipolazione potrebbe essere ammissibile? Beh, più o meno. Seguendo la logica attuale, il passo successivo riguarda il design dei due pulsanti: Accetta e Rifiuta. Questo è marginalmente accettabile in alcuni paesi UE. Consulta la nostra fonte alla fine dell'articolo per i dettagli.

Dark Pattern 6: mostrare ripetutamente il cookie banner ai visitatori che hanno rifiutato

Stato: accettabile in alcuni paesi UE.

Descrizione:

Semplicemente non salvare quando qualcuno ha rifiutato può essere una strategia. Se i visitatori tornano regolarmente, alla fine potrebbero stancarsi abbastanza da accettare. Questo processo di richiesta ripetuta è noto come "nudging".

Naturalmente, memorizzare la risposta in un cookie banner fa parte delle tecnologie essenziali, quindi è consentito e non c'è motivo di non farlo. Tuttavia, potrebbe non essere molto piacevole per i tuoi visitatori essere infastiditi ogni volta che visitano il tuo sito, non credi?

Dark Pattern 7: cookie banner "sticky" con consenso implicito all'utilizzo

Stato: l'avevi indovinato... non è ammesso.

Descrizione:

Questa è una tattica osservata per un periodo prolungato. Un banner che rimane fisso in fondo alla pagina web ("sticky") a volte indica che l'uso continuato del sito implica il consenso.

Ci sono due punti chiave da considerare: il consenso automatico non è accettabile. Un banner sticky di per sé non viola necessariamente il Regolamento Generale sulla Protezione dei Dati (GDPR). Tuttavia, è fondamentale che la mancata interazione con il banner sia interpretata come rifiuto. Devi assicurarti che nulla venga caricato prima che i visitatori acconsentano. Niente Google Analytics prima, niente YouTube... In genere, un banner di questo tipo comporta un tasso di rifiuto molto più alto, poiché la maggior parte dei visitatori semplicemente lo ignora.

Esempio: come dovrebbero essere progettati i cookie banner nella pratica

Il messaggio fondamentale nella progettazione dei cookie banner è semplice: qualsiasi pressione sui visitatori per ottenere il consenso non è accettabile.

Una "Best Practice" per i cookie banner è stata sviluppata da ConPolicy in collaborazione con organizzazioni come CookieFirst, Access Now, Telefonica e il BMUV. I dettagli di questa iniziativa sono disponibili qui (in tedesco).

Cosa ti serve:

• Opzioni equivalenti: deve esserci un'opzione chiara per accettare tutti i cookie e una per rifiutarli tutti.
• Consenso personalizzabile: deve essere fornita un'opzione per personalizzare il consenso. Può essere nella prima schermata, ma non è obbligatorio.
• Chiudi = Rifiuta: se viene offerta un'opzione per chiudere il banner, deve equivalere alla selezione di "rifiuta tutto".

Ulteriori dettagli e fonti

Facciamo spesso riferimento al rapporto dell'estate 2024, "noyb's Consent Banner Report: How authorities actually decide" consultabile qui. Questo rapporto illustra come le autorità prendono le loro decisioni. Tuttavia, si raccomanda sempre di discutere l'opzione scelta con esperti di protezione dei dati per garantire la conformità.

Il miglior design per un cookie banner: nessun cookie banner

Sì, a volte è difficile da implementare, ma nessuno ti obbliga ad avere un cookie banner. Il punto chiave è utilizzare strumenti senza cookie e senza necessità di consenso.

Esistono alternative per molti servizi che non richiedono il consenso GDPR. Sono progettate per non lavorare con i dati personali dei tuoi visitatori.

Esempio:

• Per i video. Ehm, noi! Ignite è privacy-first e senza necessità di consenso, un'eccellente alternativa a YouTube, Vimeo, Wistia, ecc.
• Un'alternativa a Google Analytics potrebbe essere "Plausible" o "SimpleAnalytics".
• Un'alternativa al ReCaptcha di Google è Friendly Captcha. Ecc.

Non appena hai un servizio che richiede il consenso, avrai di nuovo bisogno del cookie banner. Ma questo non dovrebbe impedirti di sostituire i provider: dopotutto, gli strumenti funzioneranno per tutti i visitatori, non solo per quelli che danno il consenso.

Soprattutto con i video, questo effetto è molto evidente. Hai speso molti soldi per produrre i tuoi video; nasconderli dietro soluzioni a 2 clic non ha senso. Più persone vedono effettivamente i tuoi video, meglio è.