Intervista con un esperto sul Regolamento sui cookie: "Ben intenzionata, ma mal realizzata"

MA avevamo ancora alcune domande in sospeso. Siamo forse troppo critici perché affrontiamo naturalmente l'argomento da un'angolazione diversa? Se dipendesse da noi, non opteremmo per una soluzione esclusivamente tedesca; punteremmo piuttosto a soluzioni in cui il problema non si presenta affatto. Nel nostro contesto, questo significa video hosting completamente senza necessità di consenso e cookie, pensato per l'Europa.

Per fare chiarezza sui nostri dubbi, abbiamo consultato il Dr. jur. Thomas Schwenke, LL.M. (UoA). Thomas è un avvocato tedesco ed esperto di protezione dei dati che fornisce consulenza alle aziende su marketing e utilizzo dell'IA. Conduce anche un podcast su Rechtsbelehrung.com e offre uno strumento molto utilizzato per creare dichiarazioni sulla protezione dei dati e linee guida sull'IA su Datenschutz-Generator.de.

Anticipazione: purtroppo la nostra opinione sulla gestione centralizzata del consenso non è migliorata, come conclude Thomas:

"[...] Il Regolamento sui cookie è un buon esempio dell'approccio 'ben intenzionata, ma mal realizzata'. Sembra che gli autori abbiano trascurato il fatto che le regole sul consenso sono stabilite dall'UE. Pertanto, una semplificazione efficiente del consenso sui cookie può avere successo solo a livello europeo.[...]" (Nota: questa citazione è tradotta)

Le nostre domande principali si concentravano su:

• l'ambito di applicazione della gestione del consenso,
• la sua applicabilità internazionale, dato che pochi siti web operano esclusivamente in Germania,
• e le questioni di responsabilità nella pratica, soprattutto considerando che un numero significativo di siti web non è ancora conforme al GDPR.

Abbiamo affrontato ciascuna di queste preoccupazioni con esempi pratici. Puoi trovare le risposte a queste domande nella nostra intervista con Thomas.

Intervista: Con Thomas Schwenke sulla gestione centralizzata del consenso

Ciao Thomas, entriamo subito nel vivo con la prima domanda.

Tema #1: Ambito di applicazione limitato della gestione del consenso

I critici sostengono che la gestione centralizzata del consenso copra solo l'ambito del § 25 TDDSG. Molti consensi, come quelli richiesti per il trattamento dei dati personali ai sensi del GDPR, non vengono contemplati.

Esempio:

• Utilizzo Google Analytics sul mio sito web. Il § 25 TDDSG (relativo alla tecnologia) regola la possibilità di memorizzare un cookie di tracciamento sul dispositivo dell'utente – per il quale ho bisogno del consenso.
• Tuttavia, ciò che il § 25 TDDSG non regola è il trattamento dei dati raccolti attraverso questo cookie. Questi includono l'indirizzo IP e il comportamento di navigazione. Tali dati possono essere trattati solo secondo i requisiti del GDPR (relativo ai dati), che richiede un consenso separato.

Per le aziende, questo significa che devono continuare a gestire sistemi paralleli? Come si possono combinare in modo sensato le normative del TDDSG e del GDPR nella pratica?

"È possibile ottenere più consensi con un unico clic, ad es. cliccando sul pulsante 'Accetta tutti i cookie'. Questo avviene già oggi in ogni banner sui cookie. Ciò significa che un sistema che raccoglie consensi centralizzati ai sensi del TDDSG può anche raccogliere consensi ai sensi del GDPR. Tuttavia, è importante che gli utenti siano informati sulla portata del loro consenso e che questo serva anche altri gestori di siti web.

Un'altra questione, tuttavia, è se sia ammissibile rilasciare un consenso che riguardi tutti i gestori di siti web, come prevede il Regolamento sulla gestione del consenso (EinwV). Questo si avvicina a un consenso generico, che a sua volta non è consentito dal GDPR. Ciò significa che non è certo che l'EinwV sia giuridicamente ammissibile ai sensi del diritto UE." (Nota: questa citazione è tradotta)

Tema #2: Questioni di responsabilità per errori nel servizio centralizzato

Secondo gli studi, il 54% dei siti web (fonte) non è implementato in conformità al GDPR. Quando un gestore di un sito web utilizza il servizio centralizzato tedesco per il consenso e questo non funziona correttamente su un altro sito, non è chiaro chi sia responsabile.

Esempio:

1. Un altro sito web memorizza un consenso errato dell'utente perché un servizio è erroneamente classificato come "essenziale", e io come gestore del sito non posso né tracciarlo né visualizzarlo.

Chi è legalmente responsabile in questi casi? Come possono le aziende tutelarsi quando utilizzano servizi centralizzati di consenso?

"La responsabilità in materia di protezione dei dati per i servizi integrati nel sito web spetta al gestore del sito. Il regolamento tedesco non prevede alcuna esenzione che sollevi il gestore del sito dalla responsabilità. Ciò significa che se utilizza un sistema esterno, il gestore del sito può solo rivalersi sul fornitore del servizio con richieste di garanzia. Poiché l'"EinwV" stabilisce che i fornitori di 'servizi riconosciuti di gestione del consenso' non devono avere un interesse economico nei dati degli utenti, dovrebbero sviluppare un modello di business diverso per offrire tale garanzia.

In alternativa, la responsabilità dovrebbe essere esclusa, il che è giuridicamente problematico e difficilmente rafforzerebbe la fiducia dei gestori di siti web in un tale sistema." (Nota: questa citazione è tradotta)

Tema #3: Complessità della conformità al GDPR

Il GDPR stabilisce che i consensi debbano essere "volontari, specifici e informati". Garantire ciò è fondamentale anche quando si utilizza un servizio centralizzato. Nella pratica, esiste un'ampia gamma di banner per il consenso, alcuni dei quali sono giuridicamente controversi. Ad oggi, non esiste una soluzione unica per tutti.

Esempio: Supponiamo che il consenso venga ottenuto tramite un banner "Pay-or-Okay" giuridicamente controverso, come utilizzano molte testate giornalistiche, con tassi di consenso quasi universali. Utilizzo lo stesso servizio sul mio sito B2B...

Quali ritieni siano le sfide più grandi nel colmare il divario tra requisiti legali e implementazione pratica? Dovrebbero continuare ad esistere versioni diverse di questi banner per il consenso?

"La sfida principale risiede nell'adozione del consenso centralizzato. Trattandosi di una normativa locale tedesca, è improbabile che i provider di browser la integrino volontariamente. Inoltre, si applicano gli ostacoli per i fornitori commerciali menzionati nella Domanda 2. Un'ulteriore complicazione è che il consenso deve essere applicabile a ciascun servizio specifico, alla sua versione corretta e alle impostazioni scelte. Questa complessità rende rischioso il sistema per i gestori di siti web, che potrebbero essere ritenuti responsabili per eventuali consensi non validi.

Tuttavia, riguardo all'esempio citato, un banner 'Consent-or-Pay' non è intrinsecamente illegale. La sua legittimità dipende in modo significativo da come è progettato."

Tema #4: Sfide internazionali

Il regolamento è applicabile solo in Germania, mentre altri paesi UE possono avere regole proprie, spesso più severe, per i banner sui cookie. Questo rappresenta una sfida per le aziende che operano a livello internazionale e cercano di creare soluzioni uniformi.

Esempio:

• Ho un sito web in tedesco e francese. In Francia non esiste un sistema centralizzato di raccolta.

Come possono le aziende gestire tali differenze regionali?

"Le aziende hanno la possibilità di attenersi alle normative più restrittive all'interno dell'UE oppure di sviluppare soluzioni personalizzate sui cookie per i diversi paesi. La maggior parte delle aziende opta per il primo approccio. Sebbene il consenso per l'uso dei cookie sia regolamentato in modo uniforme in tutta l'UE, c'è poco margine per gli stati membri per divergere in termini di semplificazione o complicazione del processo di ottenimento del consenso. L'EinwV tedesca rappresenta un esempio emblematico delle difficoltà nel divergere dalle regole UE." (Nota: questa citazione è tradotta)

Tema #4: Quanto è realistico il regolamento?

Sulla base delle tue risposte precedenti e delle critiche generali, la tua conclusione non sembra molto positiva. Il che ci porta alla domanda finale:

L'obiettivo del regolamento è realistico, oppure genera maggiore complessità per aziende e utenti?

"Il Regolamento sui cookie è un buon esempio dell'approccio 'ben intenzionata, ma mal realizzata'. Sembra che gli autori abbiano trascurato il fatto che le regole sul consenso sono stabilite dall'UE. Pertanto, una semplificazione efficiente del consenso sui cookie può avere successo solo a livello europeo.

Il Regolamento tedesco sui cookie potrebbe al massimo servire come proposta per come potrebbe apparire una tale semplificazione a livello UE. Nella pratica, l'implementazione del Regolamento tedesco sui cookie fornirebbe sollievo solo a quegli utenti generalmente disposti a dare il consenso con facilità. Gli utenti che rifiutano potrebbero, al contrario, trovarsi di fronte a una confusione ancora maggiore a causa delle diverse procedure sui cookie. Per frustrazione, questo potrebbe portarli a cliccare semplicemente 'Accetta tutto'.

C'è un rischio significativo che l'EinwV, dal punto di vista della tutela dei consumatori, finisca per fare più danni che benefici." (Nota: questa citazione è tradotta)

Grazie per le tue risposte alle nostre domande, Thomas!

Se sei interessato, dai un'altra occhiata alla nostra presentazione generale dell'EinwV. Maggiori informazioni sul Dr. jur. Thomas Schwenke le trovi qui: