Il regolamento tedesco sulla gestione centralizzata del consenso

Ma come funziona questo nuovo regolamento? Quali sono i suoi vantaggi e svantaggi? Quanto è pratico per i proprietari di siti web? E, soprattutto, riuscirà davvero a ridurre il diluvio di cookie banner che frustra gli utenti e complica la conformità per le aziende?

Le basi: cos'è il sistema centralizzato di gestione del consenso?

"Il sistema centralizzato di gestione del consenso mira a ridurre il numero di richieste di consenso e a fornire una soluzione più semplice per gli utenti finali." (Fonte - Nota: l'originale è in tedesco. Abbiamo tradotto il testo.)

Il sistema centralizzato di gestione del consenso consente agli utenti di salvare le proprie preferenze sui cookie presso un unico servizio centralizzato. I siti web che integrano questo servizio possono recuperare e applicare tali preferenze senza dover mostrare singoli cookie banner a ogni visita. In teoria, è un "win-win": meno banner per gli utenti e una conformità GDPR più semplice per le aziende.

La base giuridica di questo regolamento è il § 25 del Telecommunications-Telemedia Data Protection Act (TTDSG) (legge tedesca sulla protezione dei dati nelle telecomunicazioni e nei telemedia). Secondo questa legge, i cookie e le tecnologie simili possono essere impostati solo con il consenso dell'utente, a meno che non siano tecnicamente necessari. Il sistema centralizzato di gestione del consenso è progettato per standardizzare e semplificare questo processo, affrontando sia la frustrazione degli utenti sia le sfide di conformità per i proprietari di siti web.

Contesto: perché la Germania introduce questo regolamento?

L'EinwV fa parte degli sforzi della Germania per migliorare la conformità al Regolamento generale sulla protezione dei dati dell'Unione Europea (GDPR) e al suo equivalente nazionale per le telecomunicazioni, il Telecommunications-Telemedia Data Protection Act (TTDSG).

In base a queste leggi, i siti web devono ottenere il consenso esplicito dell'utente per i cookie e le tecnologie di tracciamento, ad eccezione dei cookie strettamente necessari al funzionamento del sito. Questo ha portato all'adozione diffusa dei cookie banner, che hanno creato un'esperienza utente scadente e confusione sulla gestione del consenso.

L'EinwV introduce un sistema centralizzato di gestione del consenso, che consente agli utenti di salvare le proprie preferenze sui cookie in un unico luogo. I siti web che aderiscono a questo sistema possono quindi recuperare e applicare automaticamente queste preferenze, senza richiedere banner di consenso ripetitivi.

Questo regolamento si applica solo in Germania ed è separato dalle iniziative più ampie dell'UE come la proposta di Regolamento ePrivacy, che mira a unificare le normative sui cookie in tutta Europa. I proprietari di siti web internazionali dovrebbero notare che questo sistema non è obbligatorio e la sua implementazione è attualmente limitata agli utenti e alle aziende tedesche.

La nostra competenza e prospettiva sulla gestione del consenso

Affrontiamo il tema della gestione del consenso e della privacy dei dati da una prospettiva diversa. Mentre molte soluzioni si concentrano sull'aggiungere ulteriore complessità — come i servizi di consenso centralizzato — noi ci siamo posti una domanda semplice: Non esiste un modo più semplice?

La nostra risposta è stata creare una soluzione che elimina del tutto la necessità di cookie e complicati banner di consenso. Invece di appesantire l'esperienza utente con ulteriori livelli, abbiamo optato per un approccio che evita completamente il trattamento dei dati. Ecco perché restiamo scettici sul fatto che i servizi di consenso centralizzato affrontino davvero il problema di fondo. La nostra esperienza dimostra che sistemi di privacy dei dati troppo complessi spesso portano a maggiore frustrazione per gli utenti e a un impegno più gravoso per le aziende.

Invece di ospitare i tuoi video su YouTube, Vimeo o Wistia, puoi ospitarli con noi — bypassando completamente la necessità di gestione del consenso. Non è solo più semplice; ti offre anche molta più flessibilità nel design del tuo sito. Funzionalità come l'autoplay dei video? Nessun problema. Esplora le funzionalità che offriamo e scopri come possono trasformare la tua esperienza di hosting video.

Quali sono i vantaggi della gestione centralizzata del consenso per le aziende?

1. Riduzione dello sforzo tecnico Utilizzando un servizio di consenso centralizzato, le aziende possono ridurre al minimo le risorse necessarie per implementare e mantenere i singoli cookie banner. Questo è particolarmente vantaggioso per le piccole e medie imprese che potrebbero non disporre delle capacità per soluzioni complesse di privacy dei dati.
2. Migliore esperienza utente (UX) Meno cookie banner invasivi portano a un'esperienza utente più fluida, che può influenzare positivamente le metriche di tempo sul sito e i tassi di conversione. Una navigazione più fluida aiuta a trattenere gli utenti e migliora il coinvolgimento complessivo.
3. Standard unificati La gestione centralizzata del consenso introduce un quadro standardizzato per ottenere il consenso degli utenti. Questo semplifica la conformità GDPR e riduce il rischio di problemi legali associati a meccanismi di consenso incoerenti o non conformi. Questo approccio unificato non solo avvantaggia le aziende, ma rafforza anche la fiducia degli utenti offrendo pratiche di privacy chiare e coerenti.

Come funziona nella pratica?

Il sistema centralizzato di gestione del consenso consente agli utenti di salvare le proprie preferenze sui cookie presso un servizio centralizzato, che condivide questi dati con i siti web partecipanti. Nella pratica, il processo è simile all'integrazione di un cookie banner tramite una piattaforma di gestione del consenso (CMP). Le aziende selezionano un fornitore di consenso centralizzato, lo integrano nel proprio sito e lasciano che il sistema gestisca le preferenze sui cookie. Ecco come funziona il processo passo dopo passo:

1. Integrazione di un "servizio di consenso centralizzato" certificato

• Seleziona un servizio di consenso centralizzato certificato ai sensi del nuovo regolamento.
• Integra il servizio nel tuo sito web tramite un Software Development Kit (SDK) o plugin.
• L'implementazione è simile alle CMP esistenti, con il servizio incorporato nello script header del tuo sito per controllare tutti i cookie e gli script.

2. Recupero dei dati utente da parte del servizio

Quando un utente visita il sito web, il servizio di consenso centralizzato verifica, utilizzando un Browser ID o un altro identificatore univoco, se le preferenze sono già state salvate.

• Se le preferenze esistono:
  • Il servizio informa il sito web su quali cookie e script sono consentiti.
  • Vengono attivati solo gli script approvati (ad es. Google Analytics o YouTube).
• Se le preferenze non esistono:
  • Il sito web invita l'utente a impostare le preferenze tramite il servizio di consenso centralizzato.
  • Una volta salvate, queste preferenze vengono applicate automaticamente nelle visite future.

3. Adattamento dei contenuti del sito web

In base alle preferenze salvate:

• Contenuti consentiti: I cookie e gli script approvati (ad es. video o strumenti di tracciamento) vengono attivati automaticamente.
• Contenuti bloccati: Gli utenti vedono messaggi alternativi, come: "Questo video è bloccato perché i cookie non sono stati abilitati."

Gli utenti possono modificare le proprie preferenze direttamente tramite il servizio centralizzato o un'interfaccia integrata nel tuo sito.

4. Documentazione e tracciabilità

Il servizio centralizzato registra tutte le attività di consenso, tra cui:

• Timestamp del consenso.
• Origine del consenso (ad es. il sito web iniziale in cui sono state impostate le preferenze).
• Durata di validità del consenso.

Le aziende possono accedere a questi dati tramite una dashboard per dimostrare la conformità. Tuttavia, per tutelare la privacy degli utenti, le aziende non possono visualizzare dettagli su altri siti web in cui sono state registrate le preferenze dell'utente.

Quali requisiti deve soddisfare un servizio centrale di consenso?

Perché un servizio centrale di consenso possa essere certificato ai sensi della nuova normativa, deve soddisfare criteri specifici in tre aree chiave: conformità legale, standard tecnici e funzionalità. Questi requisiti garantiscono che il servizio tuteli i diritti degli utenti, offra una sicurezza dei dati affidabile e si integri perfettamente con le tecnologie esistenti.

1. Requisiti legali

Il servizio deve rispettare standard legali rigorosi per garantire i diritti degli utenti e la conformità ai principi del GDPR.

Requisiti principali:

• Consenso volontario e informato:
  • Il consenso deve essere dato liberamente, in modo specifico e informato.
  • Gli utenti non devono essere influenzati attraverso design manipolativo (ad es. nudging) o coercizione.
• Diritto di revoca e trasparenza:
  • Gli utenti devono poter revocare o modificare il proprio consenso in qualsiasi momento.
  • Il servizio deve rendere queste opzioni chiare e facilmente accessibili.

Riferimento normativo: "I servizi centrali di consenso [...] sono obbligati a tutelare in modo trasparente i diritti degli utenti finali e a consentire loro di prendere una decisione libera." (BT-Drs. 20/12718, p. 4 - Nota: l'originale è in tedesco. Abbiamo tradotto il testo.)

2. Requisiti tecnici

I servizi di consenso certificati devono mantenere i più elevati standard di sicurezza dei dati e affidabilità tecnica.

Requisiti principali:

• Sicurezza dei dati:
  • I dati degli utenti devono essere crittografati e protetti da accessi non autorizzati.
  • Il servizio deve rispettare i principi di privacy-by-design, minimizzando la quantità di dati raccolti.

• Alta disponibilità:
  • Il servizio deve essere affidabile e offrire risposte a bassa latenza, poiché i siti web interrogano il servizio ad ogni visita.

• Capacità di integrazione:
  • Il servizio dovrebbe supportare tutte le principali piattaforme e strumenti di terze parti (ad es. Google Analytics, YouTube) per garantire un'ampia compatibilità.

Riferimento normativo: "I servizi certificati devono garantire che i dati siano protetti da accessi non autorizzati e che la conformità alle normative sulla protezione dei dati sia permanentemente assicurata." (BT-Drs. 20/12718, p. 6 - Nota: l'originale è in tedesco. Abbiamo tradotto il testo.)

3. Requisiti funzionali

Oltre alla conformità legale e tecnica, i servizi centrali di consenso devono soddisfare esigenze funzionali per semplificare l'implementazione per le aziende e l'usabilità per gli utenti finali.

Funzionalità principali:

• Interoperabilità: Il servizio deve integrarsi perfettamente con i sistemi di gestione del consenso esistenti e le architetture dei siti web.
• Accessibilità per l'utente: Le interfacce devono essere intuitive, permettendo agli utenti di gestire facilmente le proprie preferenze.

• Registrazione completa: Il servizio deve documentare l'attività di consenso (ad es. timestamp, origine del consenso e validità) per la tracciabilità e l'audit di conformità.

Verifica della realtà: quanti banner in meno sono realisticamente possibili?

L'obiettivo principale della Regolamento Centrale sulla Gestione del Consenso (EinwV) è ridurre il numero di cookie banner invadenti. Tuttavia, l'implementazione pratica solleva domande significative sulla sua efficacia. Sebbene l'intenzione sia chiara, uno sguardo più attento alla realtà rivela perché la riduzione dei banner potrebbe rimanere limitata.

1. I cookie tecnicamente necessari sono già esenti

I siti web che utilizzano solo cookie tecnicamente necessari non richiedono già cookie banner. Esempi includono:

• Siti web aziendali senza tracciamento basato sull'utente o strumenti di marketing.
• Siti e-commerce che usano cookie esclusivamente per carrelli della spesa o gestione delle sessioni.

Per questi casi, il sistema centrale di gestione del consenso non offre alcun valore aggiunto, poiché non è necessario alcun banner. Il nostro sito web, ad esempio, dimostra questo principio: hai visto un cookie banner accedendo a questo articolo? Probabilmente no. Per le aziende che prendono sul serio la privacy degli utenti, la nuova normativa non è una necessità.

2. La partecipazione è volontaria

Secondo la normativa, i siti web non sono obbligati a implementare un sistema centrale di gestione del consenso:

"L'integrazione dei servizi di gestione del consenso da parte dei gestori di siti web è volontaria (§ 18 para. 1 EinwV)." (Fonte: LfD Niedersachsen - Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

Questa natura volontaria crea diverse sfide:

• Controllo strategico sui dati: Alcune aziende potrebbero preferire mantenere i propri banner di consenso per conservare il controllo sui dati degli utenti.
• Preoccupazioni sui costi: L'implementazione di un sistema centrale comporta adeguamenti tecnici e spese aggiuntive.
• Requisiti internazionali: Le aziende con portata globale potrebbero necessitare di alternative per la conformità in diverse giurisdizioni.

Senza un'adozione diffusa, l'impatto del sistema rimarrà probabilmente limitato a una cerchia ristretta di partecipanti.

3. I servizi di terze parti complicano l'implementazione

La maggior parte dei siti web si affida a molteplici strumenti di terze parti, come YouTube, Google Analytics o HubSpot. Questi strumenti spesso richiedono impostazioni di consenso individuali.

Anche se gli utenti accettano il sistema centrale, queste preferenze devono corrispondere esattamente agli strumenti utilizzati dal sito web.

Esempio:

• Un utente acconsente a Google Analytics ma rifiuta HubSpot.
• I siti web spesso hanno combinazioni uniche di 30–50 servizi di terze parti, rendendo improbabile che le preferenze preimpostate corrispondano perfettamente.

Di conseguenza, le aziende potrebbero comunque aver bisogno di cookie banner per gestire i servizi che non rientrano nel sistema centrale.

4. Comportamento degli utenti: una sfida chiave

Affinché il sistema funzioni, gli utenti devono salvare attivamente le proprie preferenze. Tuttavia, i modelli comportamentali suggeriscono delle criticità:

• Comportamento "Accetta tutto":
  • Può essere comodo per le aziende, ma contraddice l'obiettivo del GDPR di un consenso informato.
  • Molti utenti cliccano "Accetta tutto" per bypassare i banner senza comprendere le impostazioni.
• Aggiornamento raro delle preferenze:
  • Gli utenti raramente tornano ad aggiornare le proprie impostazioni, il che significa che le preferenze salvate possono diventare obsolete.
  • Quando ciò accade, i banner possono riapparire, annullando i benefici del consenso centralizzato.

5. Differenze nazionali nella regolamentazione

Il sistema centrale di consenso si applica solo in Germania, creando sfide per i siti web internazionali:

"Quando gli utenti attraversano il 'confine' virtuale su internet, si applicano le normative esistenti. Per i siti web orientati a livello internazionale, ciò significa che sarebbero necessari adeguamenti differenziati." (Fonte: IITR - Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

Problemi principali:

• In paesi come la Francia, dove la CNIL applica regole più severe sul consenso ai cookie, i banner rimangono obbligatori.
• I siti web internazionali devono o:

In pratica, la maggior parte delle aziende probabilmente sceglierà le ultime opzioni, limitando ulteriormente l'impatto della normativa.

6. Ambito limitato: TTDSG vs. GDPR

Una critica significativa riguarda il campo di applicazione ristretto della normativa:

"I servizi di gestione del consenso coprono solo i consensi ai sensi del § 25 TTDSG, non i consensi richiesti dal GDPR. Di conseguenza, i servizi non semplificano la gestione dei consensi." (Fonte: LfD Niedersachsen - Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

Il TTDSG (Legge tedesca sulla protezione dei dati nelle telecomunicazioni e nei media digitali) disciplina i consensi specifici per la tecnologia (ad es. impostazione dei cookie), mentre il GDPR disciplina i consensi specifici per i dati (ad es. trattamento dei dati raccolti).

Esempio:

Utilizzi Google Analytics sul tuo sito.

• Requisito TTDSG: È necessario il consenso per memorizzare un cookie di tracciamento sul dispositivo dell'utente
• Requisito GDPR: È necessario il consenso per trattare i dati (ad es. indirizzo IP, comportamento) raccolti dal cookie.

Il sistema centrale affronta il requisito TTDSG ma lascia intoccato il requisito GDPR, costringendo le aziende a gestire due sistemi separati.

7. E adesso? Il GDPR è già mal implementato...

Prendiamo uno dei punti più importanti del regolamento:

"I servizi centrali di gestione del consenso [...] sono obbligati a tutelare i diritti degli utenti finali in modo trasparente e a consentire loro di prendere una decisione libera." (Source: BT-Drs. 20/12718, p. 4 - Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

Guardando lo stato attuale a diversi anni dall'introduzione del GDPR, si potrebbe descrivere la situazione come un pasticcio più o meno grande. Da un lato ci sono siti web che fanno tutto correttamente. Dall'altro, gli studi dimostrano che molti siti web non sono ancora conformi GDPR (Source: arXiv.org).

"Il problema principale è che i fornitori di servizi digitali non sono obbligati ad accettare le decisioni degli utenti prese tramite i servizi di gestione del consenso (§ 19 EinwV). Se gli utenti rifiutano il consenso, i fornitori possono richiederlo ripetutamente quante volte vogliono. Questo mette pressione sugli utenti affinché diano il consenso. Ciò è inaccettabile, contraddice i requisiti del GDPR e rimuove l'incentivo per gli utenti a utilizzare i servizi di gestione del consenso. Il regolamento deve stabilire che i fornitori di servizi digitali rispettino le decisioni degli utenti." (Source: DATEV Magazin - Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

I maggiori problemi della gestione del consenso oggi

• Servizi classificati erroneamente Più e più volte, per ignoranza o deliberatamente, i servizi vengono inseriti nella categoria dei "cookie necessari" e non possono essere rifiutati. In questi casi, il consenso ottenuto è invalido. Ad es., Google Analytics richiede chiaramente il consenso, così come YouTube, Vimeo e altri servizi di hosting video (anche nelle loro varianti "NoCookie"), nonché Google reCAPTCHA.

• Dark pattern – Banner cookie ingannevoli Molti siti web progettano i loro banner cookie in modo da evidenziare il pulsante "Accetta" nascondendo o rendendo difficile da trovare l'opzione "Rifiuta". Questi "dark pattern" sono pensati per manipolare gli utenti affinché diano il consenso e sono stati dichiarati illeciti dalle autorità per la protezione dei dati.

"Abbiamo esaminato i 100 siti web più visitati del paese alla ricerca di dark pattern e abbiamo scoperto che quattro su cinque utilizzano banner cookie manipolativi." (Source: Netzpolitik.org - Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

• Nudging Alcune aziende bombardano i loro visitatori con banner cookie così frequentemente e insistentemente che gli utenti alla fine cedono e danno il consenso. Questo accade, ad es., quando siti web o app richiedono il consenso a ogni nuova visita e non salvano i rifiuti.

• Modelli "Pay or OK" Alcuni portali di notizie, come SPIEGEL, utilizzano modelli in cui gli utenti devono acconsentire al trattamento dei dati oppure acquistare un abbonamento. Questo approccio è stato criticato da organizzazioni per la privacy come noyb ed è attualmente oggetto di controversie legali. (Source: noyb)
• Consenso automatico tramite scrolling Alcuni siti web interpretano azioni come lo scrolling o la semplice permanenza sulla pagina come consenso dell'utente al trattamento dei dati, senza ottenerlo esplicitamente. Questa pratica viola i requisiti del GDPR per un consenso informato e volontario. (Source: Usercentrics)

8. Ok, ma a me cosa importa?

Perché tu, non il servizio centrale di consenso, sarai ritenuto responsabile. Se la tua implementazione non è conforme, è la tua azienda a correre i rischi legali e finanziari.

Conclusione: Beh...

Il Garante per la protezione dei dati della Bassa Sassonia riassume perfettamente la situazione:

"Il LfD Niedersachsen presume che le pratiche attuali riguardanti il consenso sui siti web purtroppo cambieranno molto poco, e gli utenti continueranno a essere infastiditi dalle richieste di consenso visualizzate." (Source: Data Protection Authority of Lower Saxony Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

Il nuovo regolamento sulla gestione centralizzata del consenso è ben intenzionato, ma solleva serie preoccupazioni riguardo alla sua efficacia e implementazione pratica.

"Peraltro, il problema dei fastidiosi banner di consenso potrebbe essere facilmente risolto senza introdurre servizi di gestione del consenso. I gestori dei siti web dovrebbero semplicemente progettare i loro siti in modo rispettoso della privacy — ad esempio, evitando servizi di terze parti e cookie, soprattutto per il marketing digitale eccessivo e imprevedibile. Inoltre, molti banner di consenso sono così invasivi perché gli utenti non possono semplicemente 'chiuderli con un clic'." (Source: Data Protection Authority of Lower Saxony Nota: l'originale è in tedesco, abbiamo tradotto la citazione)

La nostra prospettiva

Invece di sviluppare l'ennesima soluzione tedesca complessa che lascia così tante domande senza risposta nella pratica, perché non concentrarsi sull'eliminare del tutto il problema?

È esattamente per questo che abbiamo ripensato l'hosting video con un approccio Privacy First:

• Hosting all'avanguardia senza requisiti di consenso e tracciamento degli utenti.
• Video che vengono riprodotti per tutti i visitatori — nessuna gestione del consenso, nessun overlay e nessun dato inviato negli USA.

Risolviamo il problema alla radice invece di costruirci attorno strutture ancora più complicate.